Nguy cơ từ tin nhắn bảo mật

Thứ Bảy, 06/01/2018, 02:19:31
 Font Size:     |        Print

Hầu hết các giao dịch trực tuyến hiện nay đều thông qua xác thực bằng hình thức gửi mật khẩu sử dụng một lần (One Time Password - OTP) qua tin nhắn. Thế nhưng, tin tặc đã có những phương pháp để lấy mật khẩu này, chiếm đoạt số tài khoản của người dùng để thực hiện các giao dịch. Người sử dụng cần nâng cao cảnh giác và các đơn vị cung cấp dịch vụ cần tăng cường các biện pháp để bảo vệ khách hàng.

Người dùng các tài khoản điện tử, thư điện tử, mạng xã hội… muốn thực hiện một giao dịch trực tuyến không chỉ cần tài khoản, mật khẩu để đăng nhập mà còn cần mã xác thực OTP. Ðây được xem là lớp bảo vệ thứ hai cho các giao dịch. Nhưng thời gian qua, không ít người dùng than phiền về tình trạng bị mất tiền trong tài khoản ngân hàng, ví điện tử, các tài khoản điện tử. Trong trường hợp này, người dùng đã không nhận được mã OTP. Chẳng hạn, trong tháng 10-2017, anh Nguyễn Huy Hoàng (Ðống Ða, Hà Nội) mua một vé máy bay trên trang điện tử của Hãng hàng không Jetstar Pacific bằng thẻ ngân hàng Citibank. Giao dịch bị trừ tiền và không đòi hỏi phải xác thực OTP như bình thường. Khi anh Hoàng phản ánh đến đơn vị bán vé máy bay và ngân hàng thì vẫn chưa có câu trả lời thỏa đáng, các đơn vị đổ lỗi cho nhau. Trước đó, không ít khách hàng đã khiếu nại về vấn đề bị mất tiền trong tài khoản ngân hàng, bị thực hiện các giao dịch trực tuyến, chuyển tiền mà không nhận được mã xác thực OTP.

Anh Nguyễn Tuấn Vinh (Hà Nội) một chuyên gia trong lĩnh vực bảo mật cho biết, phương thức xác thực OTP bằng gửi tin SMS (giao thức gửi tin nhắn dịch vụ ngắn dưới 160 ký tự chữ cái hoặc số) đang ngày càng lỗi thời. Có nhiều mã độc có thể khai thác để lừa đảo người dùng. Thông qua dữ liệu thông tin cá nhân của người dùng được bán trái phép trên mạng, tin tặc sẽ có thông tin để lừa đảo thông qua việc "mời" tải ứng dụng độc hại, mã độc. Sau khi điện thoại bị nhiễm mã độc, tất cả những giao dịch của người dùng sẽ bị sao chép lại bao gồm thẻ tín dụng, tài khoản và mật khẩu của các website trực tuyến. Bằng mã độc theo dõi tin nhắn, tin tặc nhận được các mã OTP giao dịch, ra lệnh gửi tin xác thực mà người dùng không biết. Như vừa qua, một mã độc chạy trên hệ điều hành Android được ngụy trang như một phiên bản của ứng dụng Flash để lừa người dùng tải về. Mã độc ẩn mình cho đến khi người dùng mở ứng dụng ngân hàng trực tuyến trên điện thoại sẽ xuất hiện một màn hình đăng nhập giả để lấy thông tin. Mã độc này còn được thiết kế để vượt qua hai bước xác thực, chuyển tất cả OTP đến tin tặc mà người dùng không biết cho đến khi kiểm tra số dư tài khoản.

Hiện nay, ở Việt Nam, có nhiều đơn vị cung cấp dịch vụ ví điện tử nhằm tăng tính tiện lợi trong việc kết nối giữa các đơn vị cung cấp dịch vụ và người mua hàng, nhưng theo nhiều chuyên gia an ninh mạng cho biết, ví điện tử có liên kết trực tiếp với các ngân hàng, cho nên đây cũng là một "cửa ngõ" để tin tặc khai thác. Nếu việc kiểm soát an ninh của các ví điện tử không tốt sẽ tạo ra các lỗ hổng bảo mật để tin tặc chiếm đoạt tiền trong tài khoản của chủ sở hữu.

Thêm nữa, tình trạng mất an toàn thông tin không chỉ nằm ở người dùng mà do hệ thống cũng chưa bảo mật thông tin trên thẻ thanh toán của khách hàng. Nhiều đơn vị cung cấp dịch vụ do muốn tạo sự thông thoáng cho các dịch vụ thanh toán đã chủ động bỏ phần xác thực OTP, chỉ xác thực qua mã Card Verification Value (CVV - mã dùng xác minh thẻ bao gồm cả thẻ ghi nợ và thẻ tín dụng) trên thẻ thanh toán. Ðiều này tạo ra nguy cơ mất an toàn khi những thông tin CVV rất dễ bị lộ thông qua các giao dịch trực tuyến trên các trang mua bán trên in-tơ-nét. Chỉ cần kẻ xấu chiếm được cơ sở dữ liệu từ những đơn vị cung cấp dịch vụ thì có thể thực hiện thanh toán không cần các phương pháp xác thực sẽ tạo ra những giao dịch trái phép. Bên cạnh đó, người dùng do sử dụng các thiết bị thông minh hay cài đặt phần mềm từ các kho không an toàn, truy cập các đường dẫn lạ qua thư điện tử, mạng xã hội... sẽ dẫn đến mất các thông tin cá nhân, thông tin truy cập dịch vụ, từ đó tin tặc sẽ tiếp tục kiểm tra hành vi của người dùng và chờ đợi thời điểm để rút tiền. Theo chuyên gia an ninh mạng Ngô Tuấn Anh, hiện nay người dùng cần cẩn trọng hơn trong việc sử dụng điện thoại thông minh trong các giao dịch trực tuyến, không tự ý cài đặt các phần mềm từ nguồn không đáng tin cậy, thường xuyên sử dụng phần mềm phòng, chống mã độc. Ngoài ra, các bên cung cấp dịch vụ như ngân hàng, ví điện tử cũng cần rà soát để bảo đảm hệ thống của mình an toàn, đồng thời triển khai các giải pháp công nghệ xác thực mạnh hơn để bảo vệ người sử dụng.

HUY HOÀNG

Chia sẻ

TIN BÀI CÙNG CHUYÊN MỤC