Từ việc bảo mật tài khoản ngân hàng!
(ĐCSVN) – Sự việc một người dân bị tin tặc đánh cắp nửa tỷ đồng từ tài khoản ngân hàng đã gây xôn xao dư luận trong những ngày gần đây. Lỗi của người sử dụng dịch vụ Internet Banking là có thật, nhưng liệu phía ngân hàng có thực sự vô can trong câu chuyện này?
Một trang web giả mạo ngân hàng Vietcombank. (ảnh: vnexpress.net)
Trước hết phải khẳng định rằng, việc mất 500 triệu đồng của chị Hoàng Thị Na Hương tại Cầu Giấy, Hà Nội là khá hy hữu tại Việt Nam. Tuy nhiên, với cách xâm nhập và chiếm quyền kiểm soát tài khoản một cách chuyên nghiệp của tin tặc, người sử dụng các dịch vụ tiện ích của ngân hàng không thể suy luận theo kiểu: “Chắc nó chừa mình ra!”. Sự nguy hiểm trong lỗi hệ thống kiểm soát và bảo mật của ngân hàng không chỉ là mối nguy với mỗi người dân, mà còn là hồi chuông báo động cho thị trường thương mại điện tử nói chung.
Vậy hacker đã làm thế nào để qua mặt cả người sử dụng lẫn cơ chế bảo vệ của cả một ngân hàng? Trước hết, lỗi bị chiếm quyền kiểm soát tài khoản hoàn toàn thuộc về người dùng ở 2 trường hợp phổ biến:
Thứ nhất, cài mã độc lên smartphone của nạn nhân dưới các ứng dụng hấp dẫn và khó phân biệt chính xác về sự an toàn khi tải về để cài đặt. Rất nhiều ứng dụng của tin tặc có chức năng truy cập xem tin nhắn, xóa tin nhắn, đánh cắp dữ liệu trực tiếp hay gián tiếp từ các account đăng nhập thẻ tín dụng hay dịch vụ Internet Banking. Ở cấp độ cao hơn, các ứng dụng đen thậm chí còn đọc được mã yêu cầu xác nhận của ngân hàng. Nhằm xóa dấu vết, phần mềm sau khi gửi nội dung tin nhắn cho tin tặc sẽ tự động biến mất khỏi smartphone của nạn nhân. Cách này vẫn đang gây tranh cãi trong giới công nghệ thông tin về tính khả thi, bởi độ khó và khả năng lập trình có giới hạn của các hacker.
Thứ hai, cách truyền thống nhất của hacker chính là việc tạo lập các email giả mạo lồng chứa website có giao diện “fake”. Khi nạn nhân click vào đường link nằm trong email, lập tức điện thoại hoặc máy tính sẽ dẫn đến một trang web có giao diện tương tự như của ngân hàng. Tin tặc sẽ dễ dàng lấy được cả tên truy cập lẫn mật khẩu để chiếm quyền kiểm soát tài khoản trong trường hợp này.
Ở cả 2 cách nêu trên, hacker có thể đánh lừa được người dùng, nhưng không lừa được hệ thống bảo mật của ngân hàng. Vì sao? Bởi chúng ta còn có một thành trì cuối cùng, mang tên OTP.
OTP, viết tắt của One-Time-Password trong tiếng Anh, nghĩa là mật khẩu chỉ dùng 1 lần. OTP, nói nôm na chính là chiến lũy cuối cùng để ngân hàng xác nhận các giao dịch từ chủ nhân thực sự của tài khoản chứ không phải là từ hacker.
Đến đây, chúng ta bắt đầu nói về trách nhiệm của ngân hàng đối với việc bảo mật và bảo vệ khách hàng bằng ổ khóa mang tên OTP!
* Ngân hàng phải kiểm soát được quy trình OTP
Như đã nói ở trên, mã xác nhận OTP thường có tính bảo mật cao, là chìa khóa được gửi từ hệ thống ngân hàng về điện thoại của khách hàng. Tuy nhiên, câu trả lời cho rủi ro của tính năng này lại nằm ở cái tên “Smart OTP” – một ứng dụng rất tiện lợi cho người dùng, với tính năng ưu việt về việc ủy quyền xác nhận cho một thiết bị khác. Nói một cách đơn giản, thay vì bắt buộc sử dụng OTP qua điện thoại để hoàn thành giao dịch, Smart OTP có thể kích hoạt sinh mã ở một điện thoại khác, hoặc một máy tính bảng truy cập internet.
Bây giờ, hãy trở lại với câu chuyện của chị Na Hương. Theo Viecombank, tin tặc đã chiếm quyền kiểm soát tài khoản Internet Banking của khách hàng từ ngày 28/7, sau khi chị Hương có thao tác trên một website giả mạo. Tạm xem thông tin này là đúng, vậy thì tại sao nạn nhân không nhận được phản hồi tin nhắn OTP?
Để làm được điều này, về lý thuyết, hacker chỉ có 3 cách để “phá sóng” bảo mật của ngân hàng:
1, Đổi số điện thoại nhận OTP của khách hàng từ X sang Y, rồi lại đảo ngược lại khi giao dịch hoàn tất. Điều này lý giải vì sao nạn nhân chỉ có tin nhắn trừ tiền chứ không có tin nhắn xác nhận chuyển tiền.
2, Hacker bằng cách nào đó xâm nhập và chặn được tin nhắn OTP từ ngân hàng tới khách hàng, chuyển hướng sang một số điện thoại định sẵn khác.
Và thứ 3, sau khi kết nối thành công ứng dụng Smart OTP, hacker chuyển tiền thông qua hình thức xác nhận mã trên một App OTP khác. Có nghĩa là, tin tặc sử dụng Smart OTP, nhập mã giao dịch vào ứng dụng, rồi nhận lại một mã xác nhận chuyển tiền trên Internet Banking – tất cả đều ở một số điện thoại khác với số được đăng ký tại ngân hàng của nạn nhân.
Trong các cách làm này, 2 cách đầu tiên thường chúng ta chỉ thấy xuất hiện trên... các bộ phim của Hollywood. Còn lại cách thứ 3, công đoạn khó nhất của hacker chính là việc làm sao đọc được mã kích hoạt của khách hàng được gửi từ ngân hàng. Đây chính là lỗ hổng (bug) có tính quyết định để giao dịch của tin tặc thành công.
Thật bất ngờ, trong quá khứ, rất nhiều người dùng đã vô tình phát hiện lỗi hệ thống của các ngân hàng lớn tại Việt Nam ở quy trình OTP. Lỗ hổng phổ biến nhất như sau: Giả sử bạn đăng ký một số điện thoại để kích hoạt Smart OTP. Vào một ngày nào đó, số điện thoại này bị trục trặc khiến bạn buộc phải đổi sang 1 số khác (bằng cách ra ngân hàng hoặc đăng ký trực tuyến ngay trên tài khoản online). Sau khi nhập mã kích hoạt Smart OTP, cả 2 số đều đồng loạt xác nhận hiệu lực sử dụng. Có nghĩa là trong rất nhiều trường hợp, hệ thống tự động của ngân hàng không xác định đúng số điện thoại nào để nhận thông báo, số nào để dùng cho Smart OTP. Đây có thể xem là sơ hở chết người giúp hacker lấy được xác nhận OTP trong khi cả khách hàng lẫn ngân hàng đều không hay biết. Rất đơn giản và cũng rất nguy hiểm!
Tất nhiên, câu chuyện đáng tiếc liên quan tới khách hàng của Vietcombank sẽ cần sự vào cuộc của an ninh mạng cũng như các cơ quan chức năng. Nhưng nếu quy trình OTP thực sự có vấn đề để tin tặc khai thác, thì trong trường hợp đó, phía ngân hàng cũng không thể vô can./.