Cách để an toàn khi giao dịch qua số OTP từ ngân hàng

OTP là "chốt chặn" cuối cùng trước khi phát sinh giao dịch trực tuyến. Ảnh: Duy Tín. — OTP là “chốt chặn” cuối cùng trước khi phát sinh giao dịch trực tuyến. Ảnh: Duy Tín.

Mã xác thực OTP không an toàn tuyệt đối, dù được tất cả các ngân hàng sử dụng. Người dùng có thể dùng thêm một số điện thoại để tăng độ bảo mật cho giao dịch cá nhân.

Trong hai ngày 4-5/8, một khách hàng bị mất 500 triệu trong tài khoản Vietcombank mà không hề nhận được mã số OTP qua tin nhắn điện thoại. Đến sáng 8/8, sau khi yêu cầu làm đơn tra soát, phòng giao dịch của Vietcombank ở Ngọc Khánh (Ba Đình, Hà Nội) đã chuyển lại số tiền 300 triệu đồng cho chị Hương. Số tiền còn lại đã bị chuyển về các tài khoản ở Malaysia và kẻ gian đã rút sạch từ máy ATM.

Trao đổi với Zing.vn, ông Đặng Nguyên Khôi, một chuyên gia bảo mật ở Hà Nội cho rằng khả năng lỗi từ ngân hàng là rất thấp nhưng không loại trừ. Chuyên gia này phỏng đoán rằng có thể nạn nhân đã bị mất thông tin khi truy cập vào một website giả mạo, hoặc đăng nhập vào mạng Wi-Fi công cộng dẫn đến việc kẻ gian thu thập được những thông tin quan trọng.

Kịch bản trên gọi là Man In The Midle, trong đó kẻ gian sẽ thu thập thông tin cá nhân khi người dùng kết nối vào mạng Wi-Fi chung, từ đó kết hợp với nhiều thủ thuật nâng cao để đánh cắp tiền nạn nhân.

Theo ông Khôi, hiện không có giải pháp bảo mật nào là an toàn tuyệt đối. Nhưng khi giao dịch trực tuyến, người dùng cần cẩn trọng và nên có kiến thức cơ bản về bảo mật, tránh nhấp vào những đường link lạ dẫn đến các website giả mạo.

Bên cạnh đó, khi nhận OTP qua số điện thoại, người dùng cá nhân (và cả tổ chức) nên có hai số điện thoại riêng biệt. Một số chỉ dùng để nhận OTP và không dùng để liên lạc hay đăng ký bất kỳ dịch vụ nào khác. Số còn lại là số cá nhân, không đăng ký nhận OTP từ ngân hàng.

“Tới thời điểm hiện tại, đó chính là phương pháp tốt nhất để bảo mật số OTP”, ông Khôi chia sẻ.

Ngoài ra, ông Khôi cũng cho biết hiện trên thế giới tồn tại một lỗi giao thức mang tên “SS7”. Lỗi này nằm ở nhà mạng, không phải ngân hàng, và cho phép kẻ gian có thể nhận được OTP của bất kỳ giao dịch nào và của bất kỳ ai thông qua tin nhắn SMS.

Nói với Zing.vn, chuyên gia này cũng cho rằng lỗ hổng “SS7” đã được cộng đồng bảo mật quốc tế cảnh báo từ nửa năm nay nhưng các tổ chức trên thế giới vẫn chưa có phương án để khắc phục. Số lượng người nắm được “yếu huyệt” này chỉ là một nhóm nhỏ.

Duy Tín
Theo Zing