Ngân hàng nên dừng SMS OTP nếu không muốn khách hàng mất tiền oan_nhan dinh han quoc

2016 không khởi đầu suôn sẻ với ứng dụng xác thực phổ biến OTP qua SMS. Dù vẫn được sử dụng rộng rãi khi đăng nhập và giao dịch như một phần của quá trình xác thực hai bước (2FA),ânhàngnêndừngSMSOTPnếukhôngmuốnkháchhàngmấttiềnhan dinh han quoc SMS OTP từ lâu được xem là dễ bị tấn công bởi tội phạm mạng.

Tại Nam Phi, cố vấn tòa án David Klatzow cáo buộc ít nhất một ngân hàng lớn của Nam Phi đã đặt khách hàng trước nguy cơ bị lừa đảo khi gắn bó với SMS OTP (mật khẩu cấp 1 lần qua SMS). Klatzow khẳng định các ngân hàng còn dùng công nghệ này phải chịu trách nhiệm cho những mất mát do lừa đảo (phishing). Điều này đặt ra cuộc tranh luận sôi nổi trên truyền thông, báo chí về trách nhiệm, đứng về phía các nạn nhân và chuyên gia bảo mật chống lại các ngân hàng và nhà mạng bị tố che đậy lừa đảo tráo SIM nội bộ. Ông lên tiếng sau khi phát hiện các điều tra viên của FNB, một trong bốn ngân hàng lớn nhất nước, không thể xác định được nguyên nhân vì sao tài khoản của Gail Jacklin lại bị hack vào đầu tháng 1/2016 và “bốc hơi” 300.000 ZAR (gần 500 triệu đồng). “Chúng ta cần ngân hàng nhận thức được trách nhiệm đối với khách hàng thay vì mua chuộc họ để che giấu sự thật trước mắt công chúng”.

Tại Úc, mọi thứ đi từ tệ đến tệ hơn chỉ trong vài tuần. Đầu tháng 2 năm nay, Cơ quan quản lý truyền thông Úc (ACMA) đưa tin các khách hàng ngân hàng tại Úc và New Zealand đang là đối tượng của các tin nhắn SMS lừa đảo chứa các đường dẫn URL đến những website mobile banking giả mạo. Kẻ lừa đảo sẽ thu hoạch thông tin đăng nhập bằng các phương thức tấn công man-in-the-middle (MITM), về cơ bản là xem trộm các tin nhắn giữa người dùng và ngân hàng.

Trong 2FA trên nền SMS, một người dùng Internet banking phải xác thực việc đăng nhập hoặc giao dịch bằng cách nhập mã OTP được gửi đến điện thoại. Phương thức này từng được xem là có thể bảo vệ trước MITM cho đến khi các chuyên gia bảo mật nhận ra tin nhắn văn bản có khả năng bị can thiệp dễ dàng. Nếu một thiết bị bị xâm phạm vì người dùng vô tình tải ứng dụng độc hại hay mã độc về máy, kẻ xấu dễ dàng lệnh cho mã độc theo dõi tin nhắn, trong đó có các tin chứa mã OTP trên điện thoại đó. Để chứng minh, một nhà báo của BBC đã sử dụng SIM tráo phi pháp để lấy mã SMS OTP và truy cập một tài khoản tại NatWest (Anh).