VietDaily | Tin tức hàng ngày
Advertisement
  • Home
  • Kinh doanh
    • Tài chính
    • Doanh nghiệp
    • Doanh nhân
  • Bất động sản
  • Giáo dục
    • Du học
    • Tuyển sinh
  • Giải trí
    • Âm nhạc
    • Điện ảnh
    • Hậu trường
    • Thời trang
    • Truyền hình
  • Công nghệ
    • Điện thoại
    • Máy tính
    • Thị trường
  • Xe
    • Ôtô
    • Xe máy
  • Đời sống
    • Gia đình
      • Tình yêu
      • Tổ ấm
    • Sức khỏe
      • Tham vấn
      • Ẩm thực
    • Video
    • Cười
  • Du lịch
  • Sức khỏe
    • Ẩm thực
    • Tham vấn
  • Làm đẹp
  • Home
  • Kinh doanh
    • Tài chính
    • Doanh nghiệp
    • Doanh nhân
  • Bất động sản
  • Giáo dục
    • Du học
    • Tuyển sinh
  • Giải trí
    • Âm nhạc
    • Điện ảnh
    • Hậu trường
    • Thời trang
    • Truyền hình
  • Công nghệ
    • Điện thoại
    • Máy tính
    • Thị trường
  • Xe
    • Ôtô
    • Xe máy
  • Đời sống
    • Gia đình
      • Tình yêu
      • Tổ ấm
    • Sức khỏe
      • Tham vấn
      • Ẩm thực
    • Video
    • Cười
  • Du lịch
  • Sức khỏe
    • Ẩm thực
    • Tham vấn
  • Làm đẹp
VietDaily | Tin tức hàng ngày
No Result
View All Result

Ngân hàng nên dừng SMS OTP nếu không muốn khách mất tiền oan

Thứ Bảy, 13/08/2016 - 15:58

mobilebanking

Phương thức xác thực bằng mã OTP gửi qua SMS ngày càng chứng minh sự lỗi thời. Ngày càng nhiều mã độc khai thác SMS OTP để lừa đảo khách hàng ngân hàng bị phát hiện.

2016 không khởi đầu suôn sẻ với ứng dụng xác thực phổ biến OTP qua SMS. Dù vẫn được sử dụng rộng rãi khi đăng nhập và giao dịch như một phần của quá trình xác thực hai bước (2FA), SMS OTP từ lâu được xem là dễ bị tấn công bởi tội phạm mạng.

Tại Nam Phi, cố vấn tòa án David Klatzow cáo buộc ít nhất một ngân hàng lớn của Nam Phi đã đặt khách hàng trước nguy cơ bị lừa đảo khi gắn bó với SMS OTP (mật khẩu cấp 1 lần qua SMS). Klatzow khẳng định các ngân hàng còn dùng công nghệ này phải chịu trách nhiệm cho những mất mát do lừa đảo (phishing). Điều này đặt ra cuộc tranh luận sôi nổi trên truyền thông, báo chí về trách nhiệm, đứng về phía các nạn nhân và chuyên gia bảo mật chống lại các ngân hàng và nhà mạng bị tố che đậy lừa đảo tráo SIM nội bộ. Ông lên tiếng sau khi phát hiện các điều tra viên của FNB, một trong bốn ngân hàng lớn nhất nước, không thể xác định được nguyên nhân vì sao tài khoản của Gail Jacklin lại bị hack vào đầu tháng 1/2016 và “bốc hơi” 300.000 ZAR (gần 500 triệu đồng). “Chúng ta cần ngân hàng nhận thức được trách nhiệm đối với khách hàng thay vì mua chuộc họ để che giấu sự thật trước mắt công chúng”.

Tại Úc, mọi thứ đi từ tệ đến tệ hơn chỉ trong vài tuần. Đầu tháng 2 năm nay, Cơ quan quản lý truyền thông Úc (ACMA) đưa tin các khách hàng ngân hàng tại Úc và New Zealand đang là đối tượng của các tin nhắn SMS lừa đảo chứa các đường dẫn URL đến những website mobile banking giả mạo. Kẻ lừa đảo sẽ thu hoạch thông tin đăng nhập bằng các phương thức tấn công man-in-the-middle (MITM), về cơ bản là xem trộm các tin nhắn giữa người dùng và ngân hàng.

Trong 2FA trên nền SMS, một người dùng Internet banking phải xác thực việc đăng nhập hoặc giao dịch bằng cách nhập mã OTP được gửi đến điện thoại. Phương thức này từng được xem là có thể bảo vệ trước MITM cho đến khi các chuyên gia bảo mật nhận ra tin nhắn văn bản có khả năng bị can thiệp dễ dàng. Nếu một thiết bị bị xâm phạm vì người dùng vô tình tải ứng dụng độc hại hay mã độc về máy, kẻ xấu dễ dàng lệnh cho mã độc theo dõi tin nhắn, trong đó có các tin chứa mã OTP trên điện thoại đó. Để chứng minh, một nhà báo của BBC đã sử dụng SIM tráo phi pháp để lấy mã SMS OTP và truy cập một tài khoản tại NatWest (Anh).

Bất chấp một thập kỷ cảnh báo về lỗ hổng của hệ thống 2FA nền SMS, nhiều tổ chức tài chính vẫn sử dụng chúng. Các hãng viễn thông Úc đã hối thúc ngân hàng không dùng SMS cho xác thực từ năm 2012 nhưng không có hiệu quả. Ngày nay, sau khi một vụ tấn công mã độc quy mô lớn vừa bị phát giác, quan điểm đó nên thay đổi ngay. Ngày 9/3, hãng phần mềm diệt virus ESET cảnh báo 20 ngân hàng tại Úc, New Zealand và Thổ Nhĩ Kỳ đang là mục tiêu của một cuộc tấn công tinh vi.

Vũ khí được sử dụng là Android/Spy.Agent.SI, được ngụy trang như một phiên bản của ứng dụng Adobe Flash mà người dùng bị lừa tải về từ các website nhiễm độc hay các kho ứng dụng không phép (tốt nhất bạn chỉ nên tin tưởng App Store và Google Play). Trojan ẩn mình trong nền cho đến khi người dùng mở ứng dụng mobile banking. Sau đó, nó tạo một màn hình đăng nhập giả để xem thông tin đăng nhập của người dùng. Được thiết kế đặc biệt để vượt qua xác thực hai bước nền SMS, trojan này chuyển tiếp tất cả OTP đến hacker mà người dùng và cả ngân hàng không hề hay biết. Chỉ khi kiểm tra số dư, họ mới nhận thức được mình đã bị mất tiền.

Ngoài ra, một trojan khác cũng tấn công người dùng tại ít nhất 6 ngân hàng của Úc và 1 tại Nga là Xbot. Được phát hiện bởi Palo Alto Networks, trojan có trong tay rất nhiều chiêu trò, một trong số đó là giả mạo các trang đăng nhập của ứng dụng mobile banking và can thiệp vào SMS OTP. Cách tiếp cận tương tự cũng được sử dụng bởi trojan SlemBunk mà FireEye lật tẩy năm 2015. Nó bắt chước các ứng dụng ngân hàng hợp pháp của 33 tổ chức tại Bắc Mỹ, châu Âu và châu Á – Thái Bình Dương. Chưa hết, Kaspersky đang theo dõi Asacub, mã độc tập trung vào các ngân hàng tại Nga và châu Âu, lan truyền qua tin nhắn rác. Symantec báo cáo Android.Bankosy đã phát triển vượt ra ngoài khuôn khổ SMS OTP. Hiện tại, nó có thể đánh cắp OTP được gửi qua tin nhắn thoại thông qua tính năng chuyển cuộc gọi.

Mọi thứ đang thay đổi rất nhanh chóng. Những vụ tổn thất tài chính từ các cuộc tấn công này vẫn chưa được biết nhiều nhưng tổn thất trước mắt là chắc chắn và vĩnh viễn: đó là mất niềm tin vào SMS OTP như một biện pháp bảo mật. Đây là thời điểm các ngân hàng cần tăng cường bảo vệ người dùng với các giải pháp khác để tránh bị khai thác như trên.

Du Lam
Theo Infonet

Related Posts

Unnamed File 1
Kinh doanh

VN-Index tiệm cận ngưỡng 1.390, khối ngoại tất tay gom cổ phiếu Việt

Thoa Thuan Thuong Mai Viet Nam Hoa Ky Them Ky Vong Moi Cho Dong Von Ngoai 2
Kinh doanh

Thỏa thuận thương mại Việt Nam – Hoa Kỳ: Thêm kỳ vọng mới cho dòng vốn ngoại

Thi Truong Hang Hoa Phan Ung Ra Sao Voi Thoa Thuan Thue Quan Moi Giua My Va Viet Nam 1
Kinh doanh

Thị trường hàng hóa phản ứng ra sao với thỏa thuận thuế quan mới giữa Mỹ và Việt Nam?

Gia Usd Ngan Hang Tang Cao Ty Gia Trung Tam Lap Dinh Moi 1
Kinh doanh

Giá USD ngân hàng tăng cao, tỷ giá trung tâm lập đỉnh mới

Lenh Hoan Thue Cua My Sap Het Nguy Co Bung No Chien Tranh Thuong Mai Toan Cau 2
Kinh doanh

Lệnh hoãn thuế của Mỹ sắp hết, nguy cơ bùng nổ chiến tranh thương mại toàn cầu

Hoa Don Tu 5 Trieu Tro Len Buoc Phai Thanh Toan Khong Dung Tien Mat 1
Kinh doanh

Hoá đơn từ 5 triệu trở lên buộc phải thanh toán không dùng tiền mặt

De Xuat Phuong An Thu Phi 13 Tuyen Cao Toc Hoan Thanh Trong Nam 2025 1
Kinh doanh

Đề xuất phương án thu phí 13 tuyến cao tốc hoàn thành trong năm 2025

Sap Nhap Tinh Sap Xep Xa Tu Ngay 1 7 Doanh Nghiep Lam Sao De Xuat Hoa Don 1
Kinh doanh

Sáp nhập tỉnh, sắp xếp xã: Từ ngày 1/7, doanh nghiệp làm sao để xuất hoá đơn?

Trung Quoc Ban Thao 8 Ty Usd Trai Phieu My Day Manh Gom Vang 1
Kinh doanh

Trung Quốc bán tháo 8 tỷ USD trái phiếu Mỹ, đẩy mạnh gom vàng

Tin cập nhật

Bung No Du An Ty Usd Dong Von Lon Do Vao Bat Dong San Nam Trung Bo 2
Kinh doanh

Bùng nổ dự án tỷ USD, dòng vốn lớn đổ vào bất động sản Nam Trung Bộ

Bao Dam Kinh Phi To Chuc Trien Lam Thanh Tuu Dat Nuoc 80 Nam Ngay Quoc Khanh 3
Đời sống

Bảo đảm kinh phí tổ chức Triển lãm thành tựu đất nước 80 năm Ngày Quốc khánh

Z66795646273092c4f9d5f62aeee5458f2fff342e211d7 17515105402371015509484 90 0 1162 2048 Crop 17515108073401009530598 1
Giáo dục

Hà Nội công bố điểm chuẩn lớp 10, cao nhất Trường THPT Kim Liên

Unnamed File 1
Kinh doanh

VN-Index tiệm cận ngưỡng 1.390, khối ngoại tất tay gom cổ phiếu Việt

Ý Nghĩa Các Biển Báo Giao Thông Trên đường Cao Tốc
Đời sống

Thay biển chỉ dẫn địa giới hành chính giữa các tỉnh thành trước ngày 15/7

Giua Tam Chan Dau Khau Voi Tong Thong Trump Elon Musk Van Huy Dong 10 Ty Usd 2
Kinh doanh

Giữa ‘tâm chấn’ đấu khẩu với Tổng thống Trump, Elon Musk vẫn huy động 10 tỷ USD

Redmi Pad 2 Scenario Angle 3
Công nghệ

Redmi Pad 2 Series ra mắt: Màn hình lớn, pin khủng, giá chỉ từ 4.99 triệu đồng

Unnamed 8 3
Xe

Tôn vinh nghệ thuật trang trí Ren: Rolls-Royce ra mắt độc bản Phantom Dentelle

Highlands Coffee 2
Kinh doanh

Highlands Coffee ra mắt mô hình Drive-Thru đầu tiên trong ngành đồ uống

Thai Lan Bangkok Pattaya Bay Thang Tu Tpho Chi Minh Longphutourist 00 1
Du lịch

Trip.com tung siêu khuyến mãi 7.7: Bay Thái Lan, Trung Quốc chỉ từ 777K*!

VietDaily.vn

Quản lý nội dung: Phạm Đức Quỳnh
Trưởng ban biên tập: Nhà báo Nguyễn Thanh Bình
Trụ sở: 49 đường D5, P. 25, Q. Bình Thạnh, TP. HCM
Điện thoại: 028 3602 4005 – 0919 099 989
Email: ducquynh001@gmail.com

Giấy phép hoạt động số 65/GP-TTĐT do Sở Thông tin và Truyền thông TP. HCM cấp ngày 4-10-2019

© 2019 VietDaily

No Result
View All Result
  • Trang chủ
  • Kinh doanh
  • Bất động sản
  • Giáo dục
  • Giải trí
  • Công nghệ
  • Xe
  • Đời sống
  • Du lịch
  • Sức khỏe
  • Làm đẹp

© 2019 VietDaily