Xác thực giao dịch (Kỳ 2): SMS OTP có thực sự lạc hậu?

ĐINH HIỆP• 14/10/2020 05:32

SMS OTP- một phương thức xác thực bảo mật giao dịch tài khoản ngân hàng, đang được nhiều chuyên gia nhận định tiềm ẩn những điểm yếu.

Ông Nguyễn Tử Quảng, CEO BKAV, chia sẻ quan điểm trên trang cá nhân rằng, có 2 cách khai thác điểm yếu của SMS OTP. Thứ nhất, hacker lừa nạn nhân nhập mã SMS OTP vào một website giả mạo. Thứ hai, hackerlừa nạn nhân cài phần mềm gián điệp chiếm quyền điều khiển thiết bị di động.

SMS OTP vẫn đang được nhiều nhà băng sử dụng nhưng đã bị cho là lạc hậu và có những điểm yếu để tội phạm mạng tấn công

SMS OTP vẫn đang được nhiều nhà băng sử dụng, nhưng đã bị cho là lạc hậu và có những điểm yếu để tội phạm mạng tấn công

Có lẽ cách thứ nhất mà ông Nguyễn Tử Quảng đề cập đến là cách mà chúng tôi đã nêu trong trường hợp chủ tài khoản của Vietcombank bị mất 406 triệu đồng trong tài khoản, trong khi nạn nhân khẳng định không hề thực hiện giao dịch. Và phía Vietcombank lại khẳng định giao dịch được thực hiện ở VCB DigiBank- mô hình ngân hàng số mà Vietcombank vừa ra mắt chưa lâu, theo đúng quy trình và các quy định cung cấp xác thực bảo mật giao dịch của ngân hàng.

Còn cách thứ hai là lừa nạn nhân cài phần mềm gián điệp chiếm quyền điều khiển thiết bị di động thì sao? Phần mềm gián điệp xâm nhập vào thiết bị bằng cách dụ người dùng tải và cài đặt ứng dụng di động nào đó có chút hữu ích, rồi bắt người dùng đồng ý cho ứng dụng truy cập vào camera, tin nhắn SMS, định vị… Người dùng không để ý nên cứ bấm đồng ý cho ứng dụng chứa phần mềm gián điệp truy cập vào các tính năng trên thiết bị.

Song hiện tại, cách thứ hai này không dễ thực hiện, vì các kho ứng dụng CH Play trên Android hay App Store trên iOS tầm soát các ứng dụng di động rất kỹ, ứng dụng nào có chút dấu hiệu lừa đảo sẽ bị trục xuất khỏi kho ứng dụng. Trên môi trường web, các trình duyệt Chrome, Firefox cũng tầm soát kỹ, đường link nào có dấu hiệu không tốt là họ cảnh báo người dùng trước khi truy cập. Tất nhiên, nếu có cài đặt các phần mềm chống mã độc hay phần mềm gián điệp xâm nhập cũng tốt hơn.

Ngoài ra, còn có một "lỗ hổng" khác khiến SMS OTP khá mong manh, thay vì cảm tưởng của đại đa số chúng ta là vô cùng an toàn bảo mật, trong đó có yếu tố bảo mật của SMS phụ thuộc vào bảo mật của mạng di động và với các cuộc tấn công nhằm vào GSM và 3G, 4G, thậm chí tương lai là 5G, luôn có thể xảy ra. Vì vậy, sự tin cậy của SMS không được bảo đảm. Chưa kể, nhiều điện thoại là đối tượng của các trojan dẫn đến việc "trổ cửa" SMS trên đi dộng để đánh cắp OTP không phải bất khả thi. Cùng với đó còn phải kể đến việc tráo SIM, làm giả SIM, chuyển số, giả mạo người gọi, chuyển tiếp cuộc gọi có sự tiếp tay của những nhân viên bất nhân của nhà mạng... là một số trong nhiều yếu tố khiến SMS OTP không hoàn toàn là tường thành bảo mật.

Ông Quảng cũng cho rằng, công nghệ xác thực SMS OTP không đảm bảo an toàn và giải pháp ông Quảng đưa ra là dùng Chữ ký số (Digital Signature) để thay thế cho SMS OTP. Thật ra, Chữ ký số về bản chất không khác so với Smart OTP mà nhiều ngân hàng đang áp dụng thay cho SMS OTP. Cả Chữ ký số và Smart OTP đều là mô hình sử dụng các kỹ thuật mật mã để gắn với mỗi người sử dụng một cặp khóa công khai – bí mật.

Theo quy định của NHNN, từ 2019, nhiều Ngân hàng đã thay đổi phương thức nhận mã giao dịch, tích hợp Smart OTP áp dụng cho các khách hàng doanh nghiệp, cá nhân có giao dịch cao và số tiền lớn

Theo quy định của NHNN, từ năm 2019, nhiều ngân hàng đã thay đổi phương thức nhận mã giao dịch, tích hợp Smart OTP áp dụng cho các khách hàng doanh nghiệp, cá nhân có giao dịch cao và số tiền lớn.

Về lịch sử, việc cung cấp mật khẩu một lần (OTP - one time password) đã là câu chuyện đỉnh cao công nghệ của... hàng chục năm về trước. Trong khi, mỗi ngày, mỗi giờ, công nghệ thông tin nói chung và công nghệ ứng dụng vào lĩnh vực tài chính ngân hàng đã có thể nói là phát triển phi mã. Do đó, việc gọi tên "lạc hậu" của công nghệ này không hẳn không có lý. Đặc biệt, khi đây là công nghệ của những năm trước thì sự "đứng lại" cũng tương đương như sự tụt hậu trước tốc độ chuyển dịch về điện toán, sự tân tiến của Internet, di động và sự bùng nổ trong tội phạm mạng. Ngoài trường hợp chủ tài khoản Vietcombank mất 406 triệu đồng và tiền chuyển đến MSB, SeaBank trong nháy mắt, dù chủ tài khoản khẳng định không giao dịch, đã và còn có hàng chục trường hợp mất tiền khác xảy ra khi không thực hiện giao dịch và công nghệ bảo mật 2 lớp được vận dụng.

Nhưng, cũng phải nói thêm rằng đầu tư công nghệ OTP khá tốn kém. Nhà băng không thể một sớm một chiều nói "thay là thay". Cùng với đó, việc ứng dụng các công nghệ mới cũng đòi hỏi sự thử nghiệm, kiểm chứng độ tương thích với hệ thống lõi, dữ liệu, trải nghiệm của khách hàng và đánh giá mức độ bảo mật, hiệu quả, trong đó các yếu tố bảo mật, tiết kiệm chi phí và sự thuận tiện cho người dùng phải được cân bằng. Bởi vậy, xác thực bảo mật 2 lớp với SMS OTP có thể vẫn chưa đến lúc để trở thành quá khứ trong lịch sử công nghệ ở Việt Nam.