Nếu các ngân hàng còn gắn bó với OTP, ngân hàng nên sẵn sàng với số lượng các cuộc tấn công lừa đảo ngày một tăng và thiệt hại cuối cùng là sẽ do chính khách hàng và ngân hàng gánh chịu.
Thành trì bảo mật cuối cùng mang tên OTP có thể bị vượt qua như thế nào?
- Cập nhật : 13/08/2016
(Tai chinh)
Làm sao thành trì tưởng chừng như rất vững chắc - OTP lại có thể sụp đổ?
Khi thực hiện các giao dịch chuyển tiền qua Internet Banking hay một số tác vụ khác, bạn sẽ gặp thuật ngữ OTP. Vậy OTP là gì? OTP là viết tắt ba chữ cái đầu tiên của One-Time-Password, tạm dịch là mật khẩu dùng một lần. Cũng giống như tăm xỉa răng, OTP chỉ dùng một lần rồi vứt đi vì không còn tác dụng sau đó nữa.
Khi muốn thực hiện giao dịch chuyển tiền qua Internet, bạn cần có tài khoản (account)/mật khẩu (password) để đăng nhập trên website hoặc mobile app trên điện thoại di động. Vậy có mật khẩu sao lại chưa đủ, mà lại cần OTP nữa? Vì lý do bảo mật, hệ thống cần biết bạn là“người chủ tài khoản thật” chứ không phải các hệ thống được lập trình để hack tài khoản.
Trên thực tế, tại bước cuối cùng của giao dịch chuyển tiền, hệ thống của ngân hàng sẽ gửi mã OTP qua email, SMS hoặc qua một thiết bị gọi là Token để hoàn tất giao dịch. Email, SMS hay Token là thiết bị riêng tư của mỗi người, trừ khi bạn bị lộ mật khẩu hay đánh mất Token vào tay kẻ xấu, nếu không thì khó mà hack được cả account đăng nhập/email lẫn điện thoại của bạn để lấy OTP.
Vậy bỗng nhiên vào một ngày đẹp trời, tiền trong tài khoản của bạn bỗng chốc bay hơi, nhưng điện thoại không hề nhận được một SMS OTP nào để xác nhận giao dịch, điều gì đã xảy ra?
Trường hợp 1: Smartphone của bạn đã bị cài mã độc (thiết bị iOS chưa jailbreak thường gặp ít rủi ro hơn trong khi Android lại dễ là nạn nhân).
- Đầu tiên, hacker sẽ cài mã độc dưới 1 ứng dụng hấp dẫn (18+, hack Pokemon Go chẳng hạn) và dụ bạn tải về & cài đặt trên smartphone.
- Ứng dụng này sẽ yêu cầu quyền được đọc/xóa tin nhắn - đa số người dùng hiện nay thường không quan tâm tới quyền truy cập khi cài đặt ứng dụng. Họ chỉ next, next & next thôi.
- Ứng dụng độc hại trên sẽ đánh cắp dữ liệu của người dùng (có thể là account đăng nhập tại các ngân hàng, thẻ tín dụng,... lưu trên trình duyệt web).
- Sau khi có được tài khoản đăng nhập, hacker sẽ thực hiện chuyển tiền qua Internet Banking. Tất nhiên lúc này 1 SMS OTP sẽ được gửi về smartphone của nạn nhân. Một lần nữa, ứng dụng kia sẽ đọc OTP và gửi lại cho hacker, đồng thời xóa SMS OTP kia.
- Xong, tiền trong tài khoản của nạn nhân bay mất, và trên smartphone cũng không còn một dấu vết nào liên quan.
Trường hợp 2: Lừa đảo qua phising email/fake website (email giả mạo, website lừa đảo)
- Hacker đánh lừa nạn nhân bằng một email giả mạo với nội dung hấp dẫn: nhận thưởng bất ngờ, thanh toán hóa đơn,... Đường link trong email này sẽ dẫn đến 1 website fake nhưng có giao diện/ tính năng giống hoàn toàn với website thật của ngân hàng.
- Website fake yêu cầu người dùng đăng nhập với username/password và một số thông tin khác.
Đến đây, chúng ta hẳn sẽ thắc mắc, phải xác nhận giao dịch bằng mã OTP nữa mà, làm sao hacker có thể lấy được OTP từ điện thoại của người dùng để chuyển tiền thành công?
Câu trả lời đến từ Smart OTP - việc ủy quyền cho 1 thiết bị khác, không phải là điện thoại của người dùng - có thể sinh ra mã có tác dụng tương đương với OTP để hoàn thành giao dịch.
Để dễ hiểu, Smart OTP là một dạng soft token key - phần mềm cung cấp mã OTP được cài trên điện thoại di động của khách hàng và gắn duy nhất với tài khoản đăng nhập eBank. Phần mềm này thường do ngân hàng phát triển và chỉ hết giá trị sử dụng khi hủy dịch vụ.
Bình thường mỗi lần thực hiện chuyển tiền, người dùng sẽ nhận được OTP qua tin nhắn để xác thực. Nhưng nếu sử dụng Smart OTP, ứng dụng này sẽ chỉ yêu cầu xác thực qua số điện thoại lần đầu tiên - và duy nhất!
Từ thời điểm đó, khi người dùng có nhu cầu chuyển tiền, họ chỉ việc nhập mã giao dịch vào ứng dụng Smart OTP để nhận được 1 mã khác (có tác dụng tương tự OTP) để xác thực giao dịch trên Internet Banking.
Tóm lại, việc sử dụng Smart OTP trên một thiết bị khác cũng giống như bạn tiết lộ cho người khác mã két của bạn, việc còn lại mà họ cần làm là đi tìm chiếc chìa khóa - công việc đơn giản hơn rất nhiều.
Thế mới biết, trong thời đại công nghệ, tiện chưa chắc đã lợi - nhất là đối với những hệ thống có cơ chế bảo mật lỏng lẻo như hiện nay.