VietDaily | Tin tức hàng ngày
Advertisement
  • Home
  • Kinh doanh
    • Tài chính
    • Doanh nghiệp
    • Doanh nhân
  • Bất động sản
  • Giáo dục
    • Du học
    • Tuyển sinh
  • Giải trí
    • Âm nhạc
    • Điện ảnh
    • Hậu trường
    • Thời trang
    • Truyền hình
  • Công nghệ
    • Điện thoại
    • Máy tính
    • Thị trường
  • Xe
    • Ôtô
    • Xe máy
  • Đời sống
    • Gia đình
      • Tình yêu
      • Tổ ấm
    • Sức khỏe
      • Tham vấn
      • Ẩm thực
    • Video
    • Cười
  • Du lịch
  • Sức khỏe
    • Ẩm thực
    • Tham vấn
  • Làm đẹp
  • Home
  • Kinh doanh
    • Tài chính
    • Doanh nghiệp
    • Doanh nhân
  • Bất động sản
  • Giáo dục
    • Du học
    • Tuyển sinh
  • Giải trí
    • Âm nhạc
    • Điện ảnh
    • Hậu trường
    • Thời trang
    • Truyền hình
  • Công nghệ
    • Điện thoại
    • Máy tính
    • Thị trường
  • Xe
    • Ôtô
    • Xe máy
  • Đời sống
    • Gia đình
      • Tình yêu
      • Tổ ấm
    • Sức khỏe
      • Tham vấn
      • Ẩm thực
    • Video
    • Cười
  • Du lịch
  • Sức khỏe
    • Ẩm thực
    • Tham vấn
  • Làm đẹp
VietDaily | Tin tức hàng ngày
No Result
View All Result

Ngân hàng nên dừng SMS OTP nếu không muốn khách mất tiền oan

Thứ Bảy, 13/08/2016 - 15:58

mobilebanking

Phương thức xác thực bằng mã OTP gửi qua SMS ngày càng chứng minh sự lỗi thời. Ngày càng nhiều mã độc khai thác SMS OTP để lừa đảo khách hàng ngân hàng bị phát hiện.

2016 không khởi đầu suôn sẻ với ứng dụng xác thực phổ biến OTP qua SMS. Dù vẫn được sử dụng rộng rãi khi đăng nhập và giao dịch như một phần của quá trình xác thực hai bước (2FA), SMS OTP từ lâu được xem là dễ bị tấn công bởi tội phạm mạng.

Tại Nam Phi, cố vấn tòa án David Klatzow cáo buộc ít nhất một ngân hàng lớn của Nam Phi đã đặt khách hàng trước nguy cơ bị lừa đảo khi gắn bó với SMS OTP (mật khẩu cấp 1 lần qua SMS). Klatzow khẳng định các ngân hàng còn dùng công nghệ này phải chịu trách nhiệm cho những mất mát do lừa đảo (phishing). Điều này đặt ra cuộc tranh luận sôi nổi trên truyền thông, báo chí về trách nhiệm, đứng về phía các nạn nhân và chuyên gia bảo mật chống lại các ngân hàng và nhà mạng bị tố che đậy lừa đảo tráo SIM nội bộ. Ông lên tiếng sau khi phát hiện các điều tra viên của FNB, một trong bốn ngân hàng lớn nhất nước, không thể xác định được nguyên nhân vì sao tài khoản của Gail Jacklin lại bị hack vào đầu tháng 1/2016 và “bốc hơi” 300.000 ZAR (gần 500 triệu đồng). “Chúng ta cần ngân hàng nhận thức được trách nhiệm đối với khách hàng thay vì mua chuộc họ để che giấu sự thật trước mắt công chúng”.

Tại Úc, mọi thứ đi từ tệ đến tệ hơn chỉ trong vài tuần. Đầu tháng 2 năm nay, Cơ quan quản lý truyền thông Úc (ACMA) đưa tin các khách hàng ngân hàng tại Úc và New Zealand đang là đối tượng của các tin nhắn SMS lừa đảo chứa các đường dẫn URL đến những website mobile banking giả mạo. Kẻ lừa đảo sẽ thu hoạch thông tin đăng nhập bằng các phương thức tấn công man-in-the-middle (MITM), về cơ bản là xem trộm các tin nhắn giữa người dùng và ngân hàng.

Trong 2FA trên nền SMS, một người dùng Internet banking phải xác thực việc đăng nhập hoặc giao dịch bằng cách nhập mã OTP được gửi đến điện thoại. Phương thức này từng được xem là có thể bảo vệ trước MITM cho đến khi các chuyên gia bảo mật nhận ra tin nhắn văn bản có khả năng bị can thiệp dễ dàng. Nếu một thiết bị bị xâm phạm vì người dùng vô tình tải ứng dụng độc hại hay mã độc về máy, kẻ xấu dễ dàng lệnh cho mã độc theo dõi tin nhắn, trong đó có các tin chứa mã OTP trên điện thoại đó. Để chứng minh, một nhà báo của BBC đã sử dụng SIM tráo phi pháp để lấy mã SMS OTP và truy cập một tài khoản tại NatWest (Anh).

Bất chấp một thập kỷ cảnh báo về lỗ hổng của hệ thống 2FA nền SMS, nhiều tổ chức tài chính vẫn sử dụng chúng. Các hãng viễn thông Úc đã hối thúc ngân hàng không dùng SMS cho xác thực từ năm 2012 nhưng không có hiệu quả. Ngày nay, sau khi một vụ tấn công mã độc quy mô lớn vừa bị phát giác, quan điểm đó nên thay đổi ngay. Ngày 9/3, hãng phần mềm diệt virus ESET cảnh báo 20 ngân hàng tại Úc, New Zealand và Thổ Nhĩ Kỳ đang là mục tiêu của một cuộc tấn công tinh vi.

Vũ khí được sử dụng là Android/Spy.Agent.SI, được ngụy trang như một phiên bản của ứng dụng Adobe Flash mà người dùng bị lừa tải về từ các website nhiễm độc hay các kho ứng dụng không phép (tốt nhất bạn chỉ nên tin tưởng App Store và Google Play). Trojan ẩn mình trong nền cho đến khi người dùng mở ứng dụng mobile banking. Sau đó, nó tạo một màn hình đăng nhập giả để xem thông tin đăng nhập của người dùng. Được thiết kế đặc biệt để vượt qua xác thực hai bước nền SMS, trojan này chuyển tiếp tất cả OTP đến hacker mà người dùng và cả ngân hàng không hề hay biết. Chỉ khi kiểm tra số dư, họ mới nhận thức được mình đã bị mất tiền.

Ngoài ra, một trojan khác cũng tấn công người dùng tại ít nhất 6 ngân hàng của Úc và 1 tại Nga là Xbot. Được phát hiện bởi Palo Alto Networks, trojan có trong tay rất nhiều chiêu trò, một trong số đó là giả mạo các trang đăng nhập của ứng dụng mobile banking và can thiệp vào SMS OTP. Cách tiếp cận tương tự cũng được sử dụng bởi trojan SlemBunk mà FireEye lật tẩy năm 2015. Nó bắt chước các ứng dụng ngân hàng hợp pháp của 33 tổ chức tại Bắc Mỹ, châu Âu và châu Á – Thái Bình Dương. Chưa hết, Kaspersky đang theo dõi Asacub, mã độc tập trung vào các ngân hàng tại Nga và châu Âu, lan truyền qua tin nhắn rác. Symantec báo cáo Android.Bankosy đã phát triển vượt ra ngoài khuôn khổ SMS OTP. Hiện tại, nó có thể đánh cắp OTP được gửi qua tin nhắn thoại thông qua tính năng chuyển cuộc gọi.

Mọi thứ đang thay đổi rất nhanh chóng. Những vụ tổn thất tài chính từ các cuộc tấn công này vẫn chưa được biết nhiều nhưng tổn thất trước mắt là chắc chắn và vĩnh viễn: đó là mất niềm tin vào SMS OTP như một biện pháp bảo mật. Đây là thời điểm các ngân hàng cần tăng cường bảo vệ người dùng với các giải pháp khác để tránh bị khai thác như trên.

Du Lam
Theo Infonet

Related Posts

Efta
Kinh doanh

Việt Nam và EFTA kết thúc thành công đàm phán Hiệp định Thương mại Tự do

Ky Vong Vn Index Chinh Phuc Vung Dinh Cu Bat Chap Thanh Khoan Cham Day 1
Kinh doanh

Kỳ vọng VN-Index chinh phục vùng đỉnh cũ, bất chấp thanh khoản chạm đáy

4 20260511163607 1 1
Kinh doanh

Trong tháng 7, sẽ có thêm 6 doanh nghiệp tham gia pha chế xăng E10

Ngan Hang Doi Von Cap Tap Phat Hanh Trai Phieu Lai Suat Gan 10 1
Kinh doanh

Ngân hàng ‘đói vốn’, cấp tập phát hành trái phiếu lãi suất gần 10%

Nha Dau Tu Tiep Tuc San Co Phieu Chung Khoan Vn Index Van Chua Tim Lai Sac Xanh 1
Kinh doanh

Nhà đầu tư tiếp tục ‘săn’ cổ phiếu chứng khoán, VN-Index vẫn chưa tìm lại sắc xanh

Co Phieu Chung Khoan Noi Song Vn Index Mat Diem Trong The Giang Co 1
Kinh doanh

Cổ phiếu chứng khoán nổi sóng, VN-Index mất điểm trong thế giằng co

Keo Dai Thoi Han Ap Dung Uu Dai Thue Voi Mat Hang Xang Dau Den 30 9 2026 1
Kinh doanh

Kéo dài thời hạn áp dụng ưu đãi thuế với mặt hàng xăng, dầu đến 30/9/2026

Han Muc Khoan Vay Gia Tri Nho Duoc Nang Len 400 Trieu Dong 1
Kinh doanh

Hạn mức khoản vay giá trị nhỏ được nâng lên 400 triệu đồng

Cuoc Di Cu Lon Nhat Lich Su Chung Khoan Viet Gan 300 Ma Co Phieu Tu Hnx Sang Hose 1
Kinh doanh

Cuộc ‘di cư’ lớn nhất lịch sử chứng khoán Việt: Gần 300 mã cổ phiếu từ HNX sang HoSE

Tin cập nhật

Con 705 Cap Xa Phuong Chua Dat Chuan Tieu Chi Moi Ve Don Vi Hanh Chinh Quy Dinh Ra Sao 1
Đời sống

Còn 705 cấp xã, phường chưa đạt chuẩn: Tiêu chí mới về đơn vị hành chính quy định ra sao?

Bao So 1 Suy Yeu Trong 12 Gio Toi Hoan Luu Gay Mua Lon Tu Thanh Hoa Den Ha Tinh 1
Đời sống

Bão số 1 suy yếu trong 12 giờ tới, hoàn lưu gây mưa lớn từ Thanh Hóa đến Hà Tĩnh

Efta
Kinh doanh

Việt Nam và EFTA kết thúc thành công đàm phán Hiệp định Thương mại Tự do

Ky Vong Vn Index Chinh Phuc Vung Dinh Cu Bat Chap Thanh Khoan Cham Day 1
Kinh doanh

Kỳ vọng VN-Index chinh phục vùng đỉnh cũ, bất chấp thanh khoản chạm đáy

Vu Hop Dong Ky Nghi Hon 2 500 Don To Giac Thiet Hai 2 600 Ty Dong 1
Đời sống

Vụ hợp đồng kỳ nghỉ: Hơn 2.500 đơn tố giác, thiệt hại 2.600 tỷ đồng

4 20260511163607 1 1
Kinh doanh

Trong tháng 7, sẽ có thêm 6 doanh nghiệp tham gia pha chế xăng E10

Iphone Ultra Bao Gia Ban Gay Soc Cao Nhat Hon 80 Trieu Dong 1
Công nghệ

iPhone Ultra ‘báo’ giá bán gây sốc, cao nhất hơn 80 triệu đồng

Ngan Hang Doi Von Cap Tap Phat Hanh Trai Phieu Lai Suat Gan 10 1
Kinh doanh

Ngân hàng ‘đói vốn’, cấp tập phát hành trái phiếu lãi suất gần 10%

F1d43800 943f 4dfb 9442 Aa7dc9a77270 2
Công nghệ

OPPO ra mắt Enco Air5s và Enco Air5, giá từ 1.59 triệu đồng

Lobby Level 7 (1) (1)
Ẩm thực

The Reverie Saigon bổ nhiệm ông Gerd Kotlorz vào vị trí tổng quản lý khách sạn

VietDaily.vn

Quản lý nội dung: Phạm Đức Quỳnh
Trưởng ban biên tập: Nhà báo Nguyễn Thanh Bình
Trụ sở: 49 đường D5, P. 25, Q. Bình Thạnh, TP. HCM
Điện thoại: 028 3602 4005 – 0919 099 989
Email: ducquynh001@gmail.com

Giấy phép hoạt động số 65/GP-TTĐT do Sở Thông tin và Truyền thông TP. HCM cấp ngày 4-10-2019

© 2019 VietDaily

No Result
View All Result
  • Trang chủ
  • Kinh doanh
  • Bất động sản
  • Giáo dục
  • Giải trí
  • Công nghệ
  • Xe
  • Đời sống
  • Du lịch
  • Sức khỏe
  • Làm đẹp

© 2019 VietDaily