Mất tiền do lỗ hổng OTP
-
Chia sẻ
-
Bình luận
0
Các vụ tiền trong tài khoản ngân hàng “bốc hơi” mà khách hàng khẳng định không đăng nhập đường link lạ, cung cấp thông tin tài khoản cho người khác, trong khi ngân hàng thông tin giao dịch hợp lệ khiến nhiều người hoang mang.
Chủ tài khoản ngân hàng thận trọng khi tải các app, phần mềm trên điện thoại ẢNH: ĐÀO NGỌC THẠCH
Phần mềm gián điệp đánh cắp
Chiều 7/10, ông Trần Việt Luận (ở quậnThủ Đức, TP.HCM), người bị mất 406 triệu đồng trong tài khoản ngân hàng V. qua ứng dụng Digibank, cho biết sau khi sự việc được thông tin trên báo, phía ngân hàng (NH) vẫn chưa có thêm thông tin gì về việc ông không đăng nhập tài khoản cũng như thực hiện 4 lệnh giao dịch chuyển khoản 406 triệu đồng.
“Trong công văn phản hồi khách hàng, V. chỉ thông tin là đơn vị cung cấp dịch vụ gửi tin nhắn đã gửi mã OTP vào điện thoại của tôi mà không đưa thông tin chứng minh, trong khi tôi đã nói không nhận được bất cứ tin nhắn nào về OTP cả. Quá mệt mỏi, tôi sẽ báo công an và đã ủy quyền cho công ty luật sư để theo vụ việc này”, ông Luận nói.
OTP - mật khẩu sử dụng một lần chỉ tồn tại trong thời gian ngắn nhất định, thường là sau 60 giây thì mã sẽ không còn hiệu lực, được coi là chốt chặn hiệu quả nhất để bảo vệ tài khoản.
Vì thế, việc mã OTP cũng có thể bị đánh cắp gây hoang mang cho người sử dụng. Diễn đàn Whitehat (hacker mũ trắng) tại Việt Nam phân tích lỗ hổng ở đây chính là điểm yếu công nghệ trong phương thức gửi OTP qua tin nhắn truyền thống trên điện thoại di động (SMS OTP), nơi mà kẻ xấu đã lợi dụng điều này để tấn công lừa đảo (còn gọi phishing) mà nạn nhân không hề hay biết.
Nếu có “lỗ hổng” từ phương thức SMS OTP thì đã trở thành câu chuyện lớn hơn vì bất kỳ ai cũng có thể mất tiền nhưng tình trạng này rất khó. Tuy nhiên, gửi SMS OTP có hạn chế như trong các dịch vụ xuyên biên giới không thực hiện được. Hoặc có tồn tại nguy cơ bị đọc trộm từ mạng viễn thông, nhưng thực tế cũng không dễ. Hiện nay, nhiều đơn vị đã chuyển sang sử dụng việc xác thực OTP trên ứng dụng như Google Authenticator… vì tiện lợi hơn.
Chuyên gia bảo mật Nguyễn Minh Đức
Có 2 kịch bản được Whitehat đề cập. Thứ nhất, kẻ xấu sẽ lừa nạn nhân nhập mã OTP vào một website giả mạo (NH, dịch vụ chuyển tiền...) để chiếm mã OTP, từ đó tạo ra giao dịch chuyển tiền giả mạo. Đối với kịch bản thứ hai, kẻ xấu sẽ lừa nạn nhân cài đặt một phần mềm gián điệp trên điện thoại. Phần mềm này sẽ theo dõi tất cả thông tin, trong đó có tin nhắn chứa mã OTP và các thông tin đăng nhập vào ứng dụng Mobile Banking.
Liên quan điểm yếu bảo mật của phương thức xác thực OTP, mới đây vào tháng 6, Tập đoàn công nghệ Bkav đã đưa ra cảnh báo về một phần mềm gián điệp có tên Việt Nam84App. Phần mềm này đánh cắp dữ liệu người dùng Việt Nam, đặc biệt tập trung đánh cắp các mã SMS OTP.
Ước tính tại Việt Nam đã có hơn 300 nạn nhân chỉ trong một thời gian ngắn. Phần mềm gián điệp Việt Nam84App được phát tán thông qua các website giả mạo cơ quan chức năng và khi người dùng truy cập vào website này, tải về điện thoại ứng dụng Việt Nam84App dưới dạng tập tin .apk.
Lúc này Việt Nam84App sẽ âm thầm thu thập tin nhắn, số điện thoại, thông tin IMEI… gửi về máy chủ điều khiển của hacker. Phân tích Việt Nam84App, các chuyên gia phát hiện máy chủ điều khiển có giao diện bằng tiếng Trung Quốc và tin nhắn được thu thập từ điện thoại là những giao dịch NH có số tiền lớn lên tới hàng tỷ đồng.
Nhiều nghi vấn mã độc
Chuyên gia bảo mật Nguyễn Minh Đức phân tích để lấy tiền trong tài khoản NH thì kẻ lừa đảo phải đánh cắp toàn bộ thông tin về tài khoản NH và sau đó là mã OTP. Trong trường hợp của khách hàng nêu trên, kẻ lừa đảo đã kích hoạt tài khoản NH trên một thiết bị khác. Khi đó bắt buộc kẻ lừa đảo cũng phải có được mã OTP để cài đặt. Có nhiều khả năng mã OTP được đánh cắp.
Chẳng hạn khi tin nhắn gửi OTP đến người dùng hiện lên màn hình thiết bị thì có người nhìn lén và nhập ngay vào để kích hoạt tài khoản. Hoặc thông qua đường link đến website giả mạo tương tự Vietcombank mà khách hàng tưởng mình đang giao dịch trên trang web chính thức của NH nên nhập mã OTP và bị hacker lấy cắp rồi cùng lúc thực hiện cài đặt tài khoản qua thiết bị khác. Hay thiết bị của người dùng đã bị cài mã độc sẵn trước đó nên mọi thông tin, giao dịch đều được sao chép...
Đồng quan điểm, ông Võ Đỗ Thắng, Giám đốc Trung tâm đào tạo an ninh mạng, cho rằng đơn vị này đã gặp rất nhiều khách hàng bị mất toàn bộ thông tin cá nhân từ email đến tài khoản Zalo, Facebook hay cả tài khoản NH trên thiết bị di động nói chung đã bị phần mềm gián điệp xâm nhập.
Các phần mềm gián điệp khá đa dạng, có những chương trình chuyên tập trung sao chép liên quan đến giao dịch tài chính như tài khoản NH, Mobile Banking; có phần mềm tập trung ghi nhận lịch sử trao đổi qua điện thoại…
Khi đã bị phần mềm gián điệp nằm vùng thì mọi hoạt động, giao dịch trên điện thoại đều bị sao chép, kể cả tin nhắn chứa mã OTP trong các giao dịch chuyển khoản.
“Khi thiết bị không an toàn thì bất kể sử dụng phương pháp nào trong bảo mật khi giao dịch của NH, từ SMS OTP hay OTP qua ứng dụng… đều có khả năng bị sao chép, rủi ro mất tiền cao. Từ đó kẻ gian dễ dàng lấy được mã OTP để lấy trộm tiền trong tài khoản”, ông Võ Đỗ Thắng nói.
(Theo Thanh niên)
Nguồn: VPBS
| Mã ngoại tệ | Tên ngoại tệ | Tỷ giá mua | Tỷ giá bán | |
|---|---|---|---|---|
| Tiền mặt | Chuyển khoản | Chuyển khoản | ||
| USD | ĐÔ LA MỸ | 23,090.00 | 23,110.00 | 23,260.00 |
| AUD | ĐÔ LA ÚC | 16,538.00 | 16,646.00 | 17,020.00 |
| CAD | ĐÔ CANADA | 17,380.00 | 17,485.00 | 17,806.00 |
| CHF | FRANCE THỤY SĨ | - | 25,165.00 | - |
| DKK | KRONE ĐAN MẠCH | - | - | - |
| EUR | EURO | 27,070.00 | 27,179.00 | 27,678.00 |
| GBP | BẢNG ANH | - | 30,246.00 | - |
| HKD | ĐÔ HONGKONG | - | 2,963.00 | - |
| INR | RUPI ẤN ĐỘ | - | - | - |
| JPY | YÊN NHẬT | 218.44 | 219.54 | 223.57 |
| KRW | WON HÀN QUỐC | - | - | - |
| KWD | KUWAITI DINAR | - | - | - |
| MYR | RINGGIT MÃ LAY | - | - | - |
| NOK | KRONE NA UY | - | - | - |
| RUB | RÚP NGA | - | - | - |
| SAR | SAUDI RIAL | - | - | - |
| SEK | KRONE THỤY ĐIỂN | - | - | - |
| SGD | ĐÔ SINGAPORE | 16,927.00 | 17,038.00 | 17,350.00 |
| THB | BẠT THÁI LAN | - | 761.00 | - |
Nguồn: ACB Bank
Giá vàng | ||
|---|---|---|
| (ĐVT : 1,000) | Mua vào | Bán ra |
| SJC Hồ Chí Minh | ||
| SJC HCM 1-10L | 55,1000 | 55,6000 |
| Nhẫn 9999 1c->5c | 52,4000 | 53,0000 |
| Vàng nữ trang 9999 | 52,1000 | 52,8000 |
| Vàng nữ trang 24K | 51,2770 | 52,2770 |
| Vàng nữ trang 18K | 37,7540 | 39,7540 |
| Vàng nữ trang 14K | 28,9350 | 30,9350 |
| Vàng nữ trang 10K | 20,1700 | 22,1700 |
| SJC Các Tỉnh Thành Phố | ||
| SJC Hà Nội | 55,1000 | 55,6200 |
| SJC Đà Nẵng | 55,1000 | 55,6200 |
| SJC Nha Trang | 55,1000 | 55,6200 |
| SJC Cà Mau | 55,1000 | 55,6200 |
| SJC Bình Phước | 55,0800 | 55,6200 |
| SJC Huế | 55,0700 | 55,6300 |
| SJC Biên Hòa | 55,1000 | 55,6000 |
| SJC Miền Tây | 55,1000 | 55,6000 |
| SJC Quãng Ngãi | 55,1000 | 55,6000 |
| SJC Đà Lạt | 47,7700 | 48,2000 |
| SJC Long Xuyên | 55,1200 | 55,6500 |
| Giá Vàng SJC Tổ Chức Lớn | ||
| DOJI HCM | 55,0000 | 55,6000 |
| DOJI HN | 55,0000 | 55,6000 |
| PNJ HCM | 55,0500 | 55,6000 |
| PNJ Hà Nội | 55,0500 | 55,6000 |
| Phú Qúy SJC | 55,2000 | 55,6000 |
| Mi Hồng | 55,3000 | 55,6000 |
| Bảo Tín Minh Châu | 56,3500 | 56,8000 |
| Giá Vàng SJC Ngân Hàng | ||
| EXIMBANK | 55,0000 | 55,3000 |
| ACB | 55,1000 | 55,6000 |
| Sacombank | 54,3800 | 54,5800 |
| SCB | 55,1000 | 55,6000 |
| MARITIME BANK | 55,0500 | 56,2000 |
| TPBANK GOLD | 55,0000 | 55,6000 |
| Đặt giá vàng vào website | ||
Nguồn: GiaVangVN.org
-
BAOVIET Bank ưu đãi cho vay thế chấp với khách hàng của Bảo Việt
01, Tháng 03, 2021 | 13:36
-
BIDV hỗ trợ cho cán bộ nhân viên và người thân tiêm vắc xin phòng COVID-1926, Tháng 02, 2021 | 02:34
-
Tiền ào ạt chảy vào Forex: Ví điện tử, thẻ quốc tế tiếp tay hay bất lực?25, Tháng 02, 2021 | 07:46
-
SCB tăng trưởng bền vững theo định hướng ngân hàng bán lẻ, đa năng, hiện đại24, Tháng 02, 2021 | 05:56 -
BIDV dành 7,3 tỷ đồng tặng khách hàng mới22, Tháng 02, 2021 | 03:34 -
Cùng SeABank đón 'Thần Tài đến nhà, nhận lộc Xuân sang'19, Tháng 02, 2021 | 03:12 -
Ngân hàng nào trả lương nhân viên cao nhất năm qua?11, Tháng 02, 2021 | 08:03
