Chuyên gia lý giải nguyên nhân khách hàng không giao dịch, không nhận mã OTP vẫn bị mất 406 triệu đồng

Các chuyên gia cho rằng có nhiều nguyên nhân để kẻ xấu lợi dụng kẽ hở lừa đảo, vì vậy người dùng cần nâng cao cảnh giác để bảo vệ tài sản của mình.

>>> Khởi tố cặp vợ chồng mang danh cán bộ ngân hàng lừa hơn 150 tỷ đồng

>>> Bắt tạm giam nguyên Giám đốc Ngân hàng Nhà nước chi nhánh Đồng Nai

>>> Bắt nghi phạm đốt chi nhánh Ngân hàng Eximbank ở TP.HCM

Thời gian gần đây, rất nhiều vụ việc lừa đảo rút tiền ở tài khoản ngân hàng đã được phản ánh. Thông qua các hình thức như gọi điện, tin nhắn khuyến mại để lừa người dùng cung cấp thông tin tài khoản, mã OTP dẫn đến kết cục mất tiền oan. Tuy vậy, mới đây cơ quan chức năng cho biết đã xuất hiện hình thức lừa đảo mới, cụ thể là một khách hàng của ngân hàng Vietcombank (VCB) không thực hiện giao dịch, không nhận được tin nhắn thông báo mã xác thực, biến động số dư như thông lệ nhưng vẫn bị mất 406 triệu đồng.

Về phía ngân hàng VCB cho biết, theo lịch sử giao dịch của nạn nhân, ghi nhận 4 giao dịch chuyển khoản đều hợp lệ, có 8 tin nhắn được gửi đến số điện thoại của chủ tài khoản. Tuy nhiên, phía ngân hàng xác định tài khoản trên ứng dụng VCB Digibank của khách hàng đã được kích hoạt trên một thiết bị khác để chuyển tiền.

Đối với trường hợp này, Công ty an ninh mạng Bkav đưa ra hai kịch bản. Thứ nhất, kẻ xấu đã lừa khách hàng nhập mã OTP vào một website giả mạo để chiếm mã OTP, tạo ra giao dịch chuyển tiền giả mạo. Thứ hai là kẻ xấu lừa khách hàng cài đặt một phần mềm gián điệp trên điện thoại. Sau đó, phần mềm này sẽ theo dõi tất cả thông tin, trong đó bao gồm cả tin nhắn SMS chứa mã OTP và các thông tin đăng nhập cũng như tạo giao dịch chuyển tiền.

Cụ thể, ông Nguyễn Tử Quảng, CEO Công ty an ninh mạng Bkav, cho rằng hacker đã khai thác điểm yếu của công nghệ xác thực SMS OTP. Trước đó, vào tháng 6/2020, Bkav cũng đã đưa ra cảnh báo về một phần mềm gián điệp có tên VN84App chuyên đánh cắp dữ liệu người dùng Việt, đặc biệt tập trung đánh cắp các mã OTP. 

Từ các dữ liệu của phân tích VN84App, các chuyên gia phát hiện máy chủ điều khiển có giao diện bằng tiếng Trung Quốc và tin nhắn được thu thập từ điện thoại là những giao dịch ngân hàng có số tiền lớn lên tới hàng tỉ đồng. Ông Quảng nhận thấy các điểm yếu dễ khai thác của công nghệ xác thực qua tin nhắn SMS nên đã đề xuất dùng chữ ký số thay thế.

Một chuyên gia khác là ông Ngô Tấn Vũ Khanh, giám đốc phát triển Hãng bảo mật Kaspersky tại Việt Nam, cũng nhận định lỗ hổng trong vụ việc trên ở công nghệ xác thực OTP. Ông Khanh cho rằng, để ngăn chặn nguy cơ cần nhiều giải pháp, như các ngân hàng phải có đội dò quét để loại bỏ các website Internet banking giả. Với nguy cơ nhiễm mã độc, người dùng nên cài phần mềm chống và diệt mã độc trên điện thoại.

Đứng trên góc độ ngân hàng, giám đốc trung tâm thẻ một ngân hàng cổ phần lớn cho biết theo quy định, với các giao dịch loại A từ 5 triệu đồng/ngày trở xuống chỉ cần tên đăng nhập, mật khẩu, mã PIN. Với giao dịch loại B, đến 100 triệu đồng/ngày phải xác thực bằng OTP hoặc thẻ ma trận. Còn các giao dịch từ loại C trên 100 triệu đồng phải xác thực bằng Soft OTP hoặc Token OTP loại cơ bản…

Chuyên gia này cũng cho biết hiện đã áp dụng Soft OTP (bước người dùng phải đăng nhập vào ứng dụng trên app của ngân hàng để duyệt giao dịch), tức là thêm một bước nữa để tăng bảo mật. Nhưng điều đó vẫn đòi hỏi người dùng phải cảnh giác với các chiêu như thông báo trúng thưởng, giả là công an để yêu cầu khai tên đăng nhập… sau đó lấy sạch tiền trong tài khoản. Các NH liên tục cảnh báo nhưng nhiều trường hợp vẫn dính bẫy.

Được biết, hiện nay một số ngân hàng cho khách chọn một trong hai hình thức: Nhận tin nhắn trong app (miễn phí) hoặc tin nhắn viễn thông (có thu phí) để thông báo thay đổi số dư. Đồng thời tăng cường cảnh báo không nên bỏ dịch vụ thông báo biến động số dư qua tin nhắn bởi nếu chỉ nhận thông báo trong app, điện thoại phải được kết nối WiFi hoặc 3G, 4G liên tục, nếu không sẽ không nhận được tin nhắn kịp thời.

Theo: TKN/Tổng hợp