Ngày 4/9, tài khoản của ông Trần Việt Luận (TP HCM) bị kích hoạt ứng dụng VCB Digibank trên thiết bị khác và chuyển 406 triệu cho người thụ hưởng tại MSB, SEABank. Ông Luận không nhận được tin nhắn thông báo mã xác thực, biến động số dư qua điện thoại nên chỉ trong vòng vài phút ông đã mất một số tiền lớn. 

Trước sự việc này, ông Nguyễn Tử Quảng, CEO Bkav nói: "Trong năm qua, chúng tôi biết có nhiều vụ đánh cắp tài khoản ngân hàng mà hacker khai thác điểm yếu của công nghệ xác thực SMS OTP". Ông Quảng cho rằng vụ việc trên cũng liên quan đến việc hacker khai thác các điểm yếu này.

OTP (mật khẩu dùng một lần) gửi qua tin nhắn SMS là phương pháp xác thực bảo mật được sử dụng nhiều, nhất là trong những lĩnh vực như tài chính, ngân hàng. Tuy nhiên dù bước trong quy trình bảo mật hai lớp, theo các chuyên gia bảo mật, OTP vẫn có thể bị hacker khai thác, đặc biệt là với người dùng smartphone.

Theo ông Quảng, hacker có ít nhất 2 cách để lấy mã OTP đó là lừa nạn nhân nhập mã OTP vào một website giả mạo để chiếm mã; ngoài ra, chúng có thể lừa nạn nhân cài phần mềm gián điệp lên smartphone. Phần mềm gián điệp sẽ theo dõi tất cả thông tin, trong đó có tin nhắn SMS chứa mã OTP và các thông tin đăng nhập vào ứng dụng Mobile Banking. 

Điểm yếu của phương pháp lấy mã OTP chính là "tính chống chối bỏ", điều này tạo kẽ hở cho hacker thực hiện giao dịch. "Chống chối bỏ" là hệ thống không thể xác minh được ai đang thực hiện giao dịch. 

Theo ông Nguyễn Văn Cường, Trưởng phòng An ninh mạng của Bkav, hiện nay, nhiều nước trên thế giới đã ứng dụng các phương pháp bảo mật có tính "chống chối bỏ" nhằm khắc phục kẽ hở này. Mã xác thực sẽ được cung cấp cho một thiết bị duy nhất để đảm bảo an toàn và người dùng phải chịu trách nhiệm về việc bảo quản mã đó. Trường hợp của ông Luận là "nghi ngờ bị giả mạo giao dịch qua ứng dụng VCB Digibank dẫn đến bị rút tiền trong tài khoản".

Vietcombank đã dẫn xác nhận của nhà mạng cho thấy đã gửi tổng cộng 8 tin nhắn (4 tin xác thực và 4 tin biến động số dư) đến điện thoại khách hàng, trong khi người này không nhận được bất kỳ tin nhắn nào.

Ông Võ Đỗ Thắng, Giám đốc Trung tâm an ninh mạng Athena, cho biết, việc tấn công tài khoản bằng cách khai thác mã OTP xảy ra khá thường xuyên, yếu tố quyết định sự an toàn nằm ở người dùng. Nguyên nhân chính là từ sự chủ quan và thiếu kinh nghiệm tự bảo vệ của người dùng smartphone. Họ đăng nhập mạng ở nhiều nơi hay tải các phần mềm về máy dễ tạo cơ hội cho hacker. 

Theo các chuyên gia bảo mật, người dùng không nên click vào các link lạ, đặc biệt là khi thực hiện giao dịch tiền bạc; không cài đặt ứng dụng lạ từ các nguồn không chính thống; không cung cấp quá nhiều quyền cho các ứng dụng, như đọc SMS, truy cập Internet...

Chuyên gia bảo mật Nguyễn Văn Cường cho rằng, các dịch vụ, đặc biệt dịch vụ ngân hàng cần có cảnh báo đến người dùng khi phát hiện đăng nhập từ một thiết bị mới. Ngoài ra, các đơn vị này có thể ứng dụng phương pháp bảo mật bằng chữ ký số - một thiết bị cắm ngoài, hoặc nằm trên thiết bị nhưng định danh gắn liền với thiết bị đó. Loại này có thể xác minh nguồn gốc người gửi, do đó nó có tính chất "chống chối bỏ" và được pháp luật bảo hộ theo Nghị Định 130/2018/NĐ-CP.

Mặc dù phương pháp này phổ biến trên thế giới và hiện được nhiều lĩnh vực tại Việt Nam như Hải Quan, Bảo hiểm, Thuế, sử dụng, ông Cường cho biết phương pháp này hiện chưa được các ngân hàng phát triển vì một số rào cản về pháp lý khi dùng trên di động. Đồng thời chữ ký số còn bất tiện hơn so với OTP khi chuyển đổi giao dịch giữa các thiết bị khác nhau.