Cảnh báo nguy cơ mất tiền oan từ tin nhắn OTP

Cộng đồng Whitehat (hacker mũ trắng) vừa cảnh báo có nhiều nạn nhân bị đánh cắp tiền trong tài khoản ngân hàng dựa trên khai thác điểm yếu của phương pháp bảo mật SMS OTP.

Bài viết trên Whitehar đề cập tới tình trạng một vài chủ tài khoản ngân hàng đã trở thành nạn nhân bị đánh cắp số tiền lớn, có người lên tới vài trăm triệu đồng, mà không hề hay biết.

Mấu chốt của vấn đề là trong khi nạn nhân cho biết không hề nhận được tin nhắn thông báo mã xác thực, biến động số dư bằng SMS qua điện thoại như thông lệ, nhưng các giao dịch chuyển khoản bằng một cách nào đó vẫn diễn ra hợp lệ sau khi chấp nhận mã OTP (không xuất hiện) trên điện thoại của chủ tài khoản.

Lỗ hổng bảo mật từ tin nhắn OTP

Một trường hợp cụ thể đã diễn ra chiều ngày 4/10, khi nhiều trang tin rộ lên sự việc một chủ tài khoản ngân hàng phát hiện mình bị "bốc hơi" hơn 400 triệu đồng trong tài khoản.

Theo thông tin được đăng tải, tài khoản của nạn nhân được xác định có 4 giao dịch phát sinh, lần lượt chuyển toàn bộ số tiền bị mất nói trên đến các tài khoản thuộc 2 ngân hàng khác trong vòng 7 phút. Chủ tài khoản khẳng định bản thân không nhận được thông báo, không thực hiện các giao dịch trên và cũng không biết người thụ hưởng là ai.

Theo Whitehat, lỗ hổng ở đây chính là điểm yếu công nghệ trong phương thức xác thực SMS OTP, nơi mà kẻ xấu đã lợi dụng điều này để tấn công lừa đảo (còn gọi "phishing") mà nạn nhân không hề hay biết.

Có 2 kịch bản được Whitehat đề cập, cho phép hacker có thể dựng lên để lừa người sử dụng như sau: Đầu tiên, kẻ xấu sẽ lừa nạn nhân nhập mã OTP vào một website giả mạo (ngân hàng, dịch vụ chuyển tiền…) để chiếm mã OTP, từ đó tạo ra giao dịch chuyển tiền giả mạo. Thứ hai, kẻ xấu sẽ lừa nạn nhân cài đặt một phần mềm gián điệp trên điện thoại. Phần mềm này sẽ theo dõi tất cả thông tin, trong đó có tin nhắn SMS chứa mã OTP và các thông tin đăng nhập vào ứng dụng Mobile Banking. Một khi lấy được các thông tin này, hacker sẽ có thể tạo ra các giao dịch chuyển tiền giả mạo.

Thủ đoạn lừa đảo ngày càng tinh vi

Mới đây, ví điện tử MoMo cũng cảnh báo thủ đoạn kẻ gian giả danh nhân viên của MoMo gọi điện, nhắn tin từ số điện thoại lạ thông báo trúng thưởng lớn, rồi yêu cầu người dùng hoàn tất thủ tục nhận thưởng bằng cách cung cấp các thông tin bảo mật của tài khoản (mật khẩu đăng nhập, mã xác thực (OTP), số thẻ ngân hàng) "để đối chiếu thông tin".

Theo MoMo, một số người dùng ví điện tử MoMo phản ánh họ đã bị mất tiền bằng thủ đoạn lừa đảo để đánh cắp mã OTP như trên.

Tương tự, Ngân hàng TMCP Sài Gòn (SCB) vừa cảnh báo gần đây có một số đối tượng giả danh cán bộ, nhân viên gọi điện thoại, nhắn tin, email tư vấn khách hàng mở thẻ tín dụng, thẻ khách hàng thân thiết hạn mức 30 triệu đồng, miễn lãi suất trong 3 năm…

Khách hàng chỉ cần thanh toán phí 300.000 đồng rồi cung cấp, xác nhận thông tin qua điện thoại; thẻ sẽ được giao tận nhà qua đường bưu điện. Sau khi đóng phí, nhận thẻ xong nhưng không sử dụng được, khách hàng mới biết bị lừa.

Thủ đoạn này được nhiều ngân hàng liên tục cảnh báo trong những ngày gần đây. Tuy nhiên, do một số khách hàng ít quan tâm, bỏ sót thông tin nên mới bị kẻ gian lừa đảo, chiếm đoạt tài sản. Thủ đoạn phổ biến gần đây là lừa khách hàng mở thẻ tín dụng không lãi suất và thu phí phát hành thẻ hoặc quảng cáo nhận hồ sơ mở thẻ tín dụng qua các trang mạng, ứng dụng mạng xã hội (Facebook, Zalo) rồi thu phí người dùng…

Thủ đoạn mới nhất, các đối tượng lừa đảo còn giả danh nhân viên tuyển dụng của một số công ty để gọi điện khai thác thông tin người dùng.

Nhiều ngân hàng khẳng định mật khẩu và mã OTP là tài sản của người dùng nên không có bất kỳ quy trình nào hay bất cứ ai có quyền yêu cầu người dùng cung cấp mã xác thực này. Nếu có chắc chắn là hành vi lừa đảo.

Để đối phó với tình trạng này, các chuyên gia bảo mật đưa lời khuyên rằng đối với người sử dụng, cần cảnh giác trước các chiêu thức tấn công lừa đảo của kẻ xấu, đồng thời chuẩn bị sẵn phương án đối phó. Những biện pháp tự phòng vệ khả dĩ nhất được đưa ra đó là kiểm tra kỹ tên miền của website, không tải về các ứng dụng thanh toán lạ, không dùng mạng Wi-fi công cộng,... để thực hiện giao dịch trực tuyến.

Ngoài ra, người dùng nên cài đặt phần mềm diệt virus trên máy tính để chống đánh cắp dữ liệu website và cài phần mềm chống mã độc trên thiết bị di động để ngăn chặn các phần mềm gián điệp, chiếm quyền kiểm soát điện thoại./.