10:35 28/09/2016

Mất tiền ngân hàng là do OTP đã lỗi thời?

Thủy Diệu

Dù là SMS hay mã OTP thì tin tặc đều có thể tấn công lừa đảo

Tọa đàm về chủ đề “An toàn Thông tin và mối đe dọa tới nền kinh tế" do ICT Press Club tổ chức chiều 27/9.
Tọa đàm về chủ đề “An toàn Thông tin và mối đe dọa tới nền kinh tế" do ICT Press Club tổ chức chiều 27/9.
Hình thức mật khẩu dùng một lần (OTP) mà nhiều đơn vị, tổ chức hiện nay đang áp dụng là giải pháp xác thực bảo mật đã lỗi thời.

Đó là ý kiến của một số chuyên gia về bảo mật tại cuộc  tọa đàm mở với chủ đề “An toàn Thông tin và mối đe dọa tới nền kinh tế" diễn ra chiều 27/9, tại Hà Nội.

SMS hay OTP  đều có thể bị tấn công lừa đảo

Ông Ngô Tuấn Anh, Phó tổng giám đốc phụ trách về an ninh mạng của Bkav, cho rằng, câu chuyện khách hàng của Vietcombank bị mất mấy trăm triệu đồng vừa rồi là do ngân hàng này sử dụng bảo mật thanh toán điện tử theo hình thức mật khẩu dùng một lần OTP hoặc phần mềm smart OTP cài trên điện thoại.

Theo ông Tuấn Anh, với dạng bảo mật OTP như trên, kẻ gian có thể sử dụng phần mềm tự động để tạo giao dịch giả.

Đại diện đến từ công ty an ninh mạng này cũng cho rằng, dù là SMS hay mã OTP thì tin tặc đều có thể tấn công lừa đảo qua hình thức tin nhắn. Hacker có thể tạo các phần mềm giao dịch giả để tiến hành tự động những vụ chuyển tiền online, nên mã OTP có thời gian tồn tại 60 giây hay 90 giây cũng đều có thể bị tấn công.

Theo ông Triệu Trần Đức, Giám đốc CMC InfoSec, trên thực tế, nếu không biết giao thức cụ thể của ngành điện, hàng không...thì không thể nói an toàn, bởi vì hacker sẽ mua cái tương tự về nghiên cứu trước khi tấn công hệ thống. Theo ông Đức, ngay như hạn mức rút tiền tại các ngân hàng cũng chỉ là con số, có thể thay đổi, hay cây ATM có thể chống đọc trộm thẻ cũng… rất xưa rồi.

“Hacker mũ đen rất giỏi. Công nghệ có bảo vệ kiểu gì cũng không thể hơn được hacker mũ đen, vì họ bỏ nhiều tiền nghiên cứu, luôn biết nhiều hơn đội ngũ quản trị mạng. Tin tặc biết rất nhiều thứ mà chúng ta không biết. Không có chuyện họ chẳng may hack vào hệ thống. Họ nghiên cứu ra thẻ đút vào rút tiền ra luôn”, Giám đốc CMC InfoSec, cho biết.

Ông Tuấn Anh cho rằng, nên chuyển dần sang phương pháp xác thực chữ ký số thay vì xác thực như hiện tại và rủi ro mất tiền của khách hàng sẽ được giảm thiểu nếu các ngân hàng sử dụng giải pháp chữ ký số, bởi , theo ông, chữ ký số thì không thể làm giả, còn chữ ký bằng tay thì hoàn toàn có thể làm giả được.

Chủ yếu là tấn công lừa đảo

Theo ông Nguyễn Hưng, Tổng giám đốc Ngân hàng Thương mại Cổ phần Tiên Phong (TPBank), các trường hợp mất tiền trong tài khoản ngân hàng gần đây chủ yếu ở dạng bị lừa đảo phishing, còn hệ thống máy chủ vẫn an toàn.

Ông Hưng cho rằng, hiện nay các ngân hàng đầu tư nhiều vào hệ thống máy chủ, bảo mật để đảm bảo an toàn cao nhất, hacker khó có thể tấn công được vào hệ thống máy chủ của ngân hàng, mà chỉ là máy trạm xử lý các dịch vụ của đối tác bên ngoài.

Thậm chí ngay cả khi một hệ thống máy chủ bị tấn công, hacker tấn công lấy dữ liệu, làm sai lệch thông tin… thì các ngân hàng vẫn có thể sao lưu, cơ chế bảo mật khác nhau để đảm bảo an toàn.

Theo ông Hưng, các ngân hàng có quy trình để đảm bảo khi xảy ra rủi ro, thất thoát khách hàng không bị lớn. Kể cả hacker tấn công đánh cắp nhiều tỷ đồng nhưng với việc quy định giới hạn giao dịch từng lần, từng ngày được quy định giữa liên ngân hàng (ví dụ chuyển 1 ngày 200 – 300 triệu đồng), thì hacker không thể đánh cắp được số tiền lớn cùng lúc.

Tuy nhiên, theo vị lãnh đạo này, đối với khách hàng, giao dịch trên các kênh điện tử, mobile banking, Internet Banking hoặc giao dịch tại POS đều có những rủi ro nhất định. Tình trạng gian lận thẻ đã xuất hiện từ 30 – 40 năm, phishing (lừa đảo nhằm đánh cắp các thông tin nhạy cảm như tên đăng nhập, mật khẩu hay thông tin về các loại thẻ tín dụng của người dùng) cũng có từ chục năm nay.

Về tình trạng làm giả thẻ ATM của một số ngân hàng, ông Hưng cho biết, thời gian qua đã phát hiện một số kẻ gian đến từ Trung Quốc, Đông Âu cũ mang thiết bị, camera cài lên trạm ATM để quay trộm dải số (chỉ vài giây đọc được hết thông tin khách hàng) để in và mang đến ATM khác để rút tiền của người dùng.

Mỗi năm ngân hàng có nhiều tỷ giao dịch, với lượng tiền lớn lên đến hàng ngàn triệu tỷ đồng. Vì thế, những sự việc vừa qua là lời cảnh tỉnh đối với các ngân hàng, gióng lên hồi chuông cảnh báo các ngân hàng có thể đôi khi lơ đễnh ở khâu nào đó sẽ dẫn đến thiệt hại…, vị lãnh đạo này nói, đồng thời cho biết, ngân hàng đang áp dụng hệ thống trên thẻ có mã số đặc biệt, ngân hàng gửi OTP, password 1 lần cho khách hàng qua SMS, tuy nhiên, các ngân hàng sắp ra chuẩn mới về thẻ chip dùng cho thẻ nội địa khiến kẻ trộm không thể đọc trộm thẻ, không bị lo ngại ăn cắp tiền vì lộ số PIN.

Dù vậy, ông khuyến nghị, vấn đề bảo mật thông tin cá nhân vẫn cần được đặt ra cấp thiết, người dùng cần nhìn nhận được các rủi ro để ý thức hơn trong việc giữ gìn thông tin cá nhân, không được chia sẻ password, mã Pin, không cho mượn thẻ.