Vụ khách hàng Vietcombank mất 500 triệu: Giải pháp dùng mã OTP tồn tại nhiều điểm yếu

Qua vụ việc khách hàng Hoàng Thị Na Hương bị mất 500 triệu đồng trong tài khoản Vietcombank vào ngày 4- 5.8.2016 vừa qua, báo điện tử Một Thế Giới đã trao đổi cùng ông Ngô Tuấn Anh - Phó chủ tịch phụ trách An ninh mạng Bkav dưới góc nhìn về an ninh bảo mật.

-Thưa ông, ông suy nghĩ như thế nào về vụ việc khách hàng bị mất 500 triệu đồng trong tài khoản Vietcombank mà không hề nhận được mã OTP?

-Ông Ngô Tuấn Anh: Như chúng ta đều biết, hiện nay thông thường để thực hiện giao dịch trực tuyến Internet Banking, người sử dụng cần có tài khoản (tên đăng nhập, mật khẩu) và mã OTP ứng với mỗi giao dịch. Trong trường hợp của khách hàng Hoàng Thị Na Hương, theo thông tin của Vietcombank công bố, khách hàng đã đăng nhập vào một trang web giả mạo dẫn đến mất tài khoản.

Tuy nhiên, trong sự việc này, khách hàng thông báo không nhận được mã OTP cho các giao dịch trái phép đó. Việc không có mã OTP có thể do khách hàng đã nhập mà không hề biết, hoặc do lỗi từ hệ thống ngân hàng. Kết quả chính xác từ việc này cần có kết luận chính thức từ cơ quan điều tra. Tuy nhiên, dù kết quả như thế nào thì vụ việc cũng cho thấy mức độ nghiêm trọng của các cuộc tấn công mạng và những sơ suất, rủi ro trong các giao dịch trực tuyến, mang lại những hậu quả lớn.

-Về phía Vietcombank có giải thích rằng do khách hàng click vào trang web lạ. Theo ông, lời giải thích đó có thỏa đáng hay không và nguyên nhân khách hàng bị mất tiền trong trường hợp này là gì?

-Như chúng ta điều biết, Vietcombank đã công bố, trong trường hợp vừa rồi, khách hàng đã đăng nhập vào một trang web giả mạo dẫn đến mất tài khoản. Tuy nhiên, để thực hiện giao dịch cần có mã OTP cho mỗi giao dịch và việc tại sao không xuất hiện mã OTP trên điện thoại của khách hàng là điều cần đợi cơ quan điều tra làm rõ.

Ông Ngô Tuấn Anh - Phó chủ tịch phụ trách An ninh mạng Bkav

-Ông có thể giải thích rõ hơn về cách thức mà các hacker sử dụng để tiếp cận thông tin nhằm rút tiền của khách hàng một cách trót lọt?

-Có hai cách kẻ xấu có thể sử dụng để đánh cắp tiền từ tài khoản ngân hàng. Thứ nhất là tạo ra các thẻ ATM giả. Để tạo ra thẻ ATM giả thì kẻ gian cần gắn thiết bị trên đầu đọc thẻ trên cây ATM. Khi người sử dụng cắm thẻ vào, thông tin trên thẻ sẽ được ghi lại, kết hợp với việc đặt camera để quay lén mã PIN khi mà người dùng nhập và rút tiền. Dựa trên những thông tin thẻ thu được trên đầu đọc giả, và mã PIN chúng quay lại được thì sẽ tạo ra một thẻ giả và tiến hành rút tiền.

Đối với những người sử dụng dịch vụ Internet Banking thông qua ngân hàng. Kẻ lừa đảo sẽ gửi các email lừa đảo, hay còn gọi là email phishing, dụ người dùng bấm vào những đường link trang web giả mạo của ngân hàng, có giao diện giống hệt như giao diện của ngân hàng. Nhưng thực tế là một địa chỉ khác. Và khi người sử dụng nhập thông tin tài khoản, mã OTP vào thì thông tin đó sẽ bị đánh cắp, và thực hiện các giao dịch giả mạo.

-Qua sự việc này, ông đánh giá như thế nào về hệ thống an ninh, bảo mật của Vietcombank nói riêng cũng như của các ngân hàng Việt Nam nói chung?

- Theo đánh giá của chúng tôi, do đặc thù lĩnh vực kinh doanh, thì các ngân hàng được đầu tư tốt nhất về an toàn bảo mật so với các lĩnh vực khác. Tuy nhiên, hệ thống giao dịch của ngân hàng cũng giống như các hệ thống công nghệ thông tin khác, về nguyên tắc đều có nguy cơ tồn tại lỗ hổng và nhiệm vụ của ngân hàng là cần định kỳ rà soát để phát hiện sớm các rủi ro, vá các lỗ hổng... Ngoài ra, các ngân hàng cũng cần trang bị thêm các biện pháp để bảo vệ cho người dùng, ví dụ như nâng cấp sử dụng giải pháp chữ ký số thay vì giải pháp OTP vốn tồn tại nhiều điểm yếu có thể khai thác.

Người dùng cần tìm hiểu và tuân thủ các nguyên tắc về an toàn bảo mật khi tham gia vào môi trường mạng, đặc biệt là khi thực hiện các giao dịch tài chính.

-Qua đây, ông có lời khuyên nào đối với khách hàng để tránh những trường hợp đáng tiếc xảy ra như vừa rồi?

- Khi người sử dụng rút tiền từ cây ATM nên che bàn phím khi gõ mã PIN và nên kiểm tra xem có thiết bị lạ gắn trên đầu đọc thẻ hay không.

Đối với những người sử dụng dịch vụ Internet Banking, khi nhận được các email thông báo về tài khoản ngân hàng, ví dụ như khi nhận được thông báo về việc thay đổi tài khoản, hay phải cập nhật lại thông tin tài khoản Internet Banking, người dùng nên có thói quen là thay vì bấm vào đường link trong email đó, thì nên gõ trên địa chỉ của trình duyệt, vào đúng địa chỉ website ngân hàng mà chúng ta hay sử dụng.

Đồng thời người dùng cũng nên trang bị những phần mềm, giải pháp an ninh để bảo vệ máy tính trước mã độc có thể xâm nhập vào máy tính. Ngoài ra, người dùng lưu ý chỉ cài đặt phần mềm, ứng dụng từ các kho ứng dụng chính thống.

Xin cảm ơn ông!

Ông Triệu Mạnh Tùng – Phó trưởng phòng 3 và Cục Cảnh sát phòng chống tội phạm sử dụng công nghệ cao C50 cho biết đối tượng đã kích hoạt được tải khoản sinh mã ngẫu nhiên trên thiết bị điện thoại. Khi đó giao dịch chuyển tiền sẽ không gửi mã OTP về SMS tại số điện thoại của bị hại mà sẽ được chuyển ngay cho các đối tượng sử dụng smart OTP để sinh ra mã xác thực nhập vào trong giao dịch thực hiện thành công. Qua đó, các đối tượng đã chuyển tiền đến một tài khoản khác. Theo như điều tra, số tiền này được rút tại Malaysia và hiện nay cơ quan điều tra vẫn đang tiếp tục xác minh.

VTC.

Thu Anh (thực hiện)