VietDaily | Tin tức hàng ngày
Advertisement
  • Home
  • Kinh doanh
    • Tài chính
    • Doanh nghiệp
    • Doanh nhân
  • Bất động sản
  • Giáo dục
    • Du học
    • Tuyển sinh
  • Giải trí
    • Âm nhạc
    • Điện ảnh
    • Hậu trường
    • Thời trang
    • Truyền hình
  • Công nghệ
    • Điện thoại
    • Máy tính
    • Thị trường
  • Xe
    • Ôtô
    • Xe máy
  • Đời sống
    • Gia đình
      • Tình yêu
      • Tổ ấm
    • Sức khỏe
      • Tham vấn
      • Ẩm thực
    • Video
    • Cười
  • Du lịch
  • Sức khỏe
    • Ẩm thực
    • Tham vấn
  • Làm đẹp
  • Home
  • Kinh doanh
    • Tài chính
    • Doanh nghiệp
    • Doanh nhân
  • Bất động sản
  • Giáo dục
    • Du học
    • Tuyển sinh
  • Giải trí
    • Âm nhạc
    • Điện ảnh
    • Hậu trường
    • Thời trang
    • Truyền hình
  • Công nghệ
    • Điện thoại
    • Máy tính
    • Thị trường
  • Xe
    • Ôtô
    • Xe máy
  • Đời sống
    • Gia đình
      • Tình yêu
      • Tổ ấm
    • Sức khỏe
      • Tham vấn
      • Ẩm thực
    • Video
    • Cười
  • Du lịch
  • Sức khỏe
    • Ẩm thực
    • Tham vấn
  • Làm đẹp
VietDaily | Tin tức hàng ngày
No Result
View All Result

Ngân hàng nên dừng SMS OTP nếu không muốn khách mất tiền oan

Thứ Bảy, 13/08/2016 - 15:58

mobilebanking

Phương thức xác thực bằng mã OTP gửi qua SMS ngày càng chứng minh sự lỗi thời. Ngày càng nhiều mã độc khai thác SMS OTP để lừa đảo khách hàng ngân hàng bị phát hiện.

2016 không khởi đầu suôn sẻ với ứng dụng xác thực phổ biến OTP qua SMS. Dù vẫn được sử dụng rộng rãi khi đăng nhập và giao dịch như một phần của quá trình xác thực hai bước (2FA), SMS OTP từ lâu được xem là dễ bị tấn công bởi tội phạm mạng.

Tại Nam Phi, cố vấn tòa án David Klatzow cáo buộc ít nhất một ngân hàng lớn của Nam Phi đã đặt khách hàng trước nguy cơ bị lừa đảo khi gắn bó với SMS OTP (mật khẩu cấp 1 lần qua SMS). Klatzow khẳng định các ngân hàng còn dùng công nghệ này phải chịu trách nhiệm cho những mất mát do lừa đảo (phishing). Điều này đặt ra cuộc tranh luận sôi nổi trên truyền thông, báo chí về trách nhiệm, đứng về phía các nạn nhân và chuyên gia bảo mật chống lại các ngân hàng và nhà mạng bị tố che đậy lừa đảo tráo SIM nội bộ. Ông lên tiếng sau khi phát hiện các điều tra viên của FNB, một trong bốn ngân hàng lớn nhất nước, không thể xác định được nguyên nhân vì sao tài khoản của Gail Jacklin lại bị hack vào đầu tháng 1/2016 và “bốc hơi” 300.000 ZAR (gần 500 triệu đồng). “Chúng ta cần ngân hàng nhận thức được trách nhiệm đối với khách hàng thay vì mua chuộc họ để che giấu sự thật trước mắt công chúng”.

Tại Úc, mọi thứ đi từ tệ đến tệ hơn chỉ trong vài tuần. Đầu tháng 2 năm nay, Cơ quan quản lý truyền thông Úc (ACMA) đưa tin các khách hàng ngân hàng tại Úc và New Zealand đang là đối tượng của các tin nhắn SMS lừa đảo chứa các đường dẫn URL đến những website mobile banking giả mạo. Kẻ lừa đảo sẽ thu hoạch thông tin đăng nhập bằng các phương thức tấn công man-in-the-middle (MITM), về cơ bản là xem trộm các tin nhắn giữa người dùng và ngân hàng.

Trong 2FA trên nền SMS, một người dùng Internet banking phải xác thực việc đăng nhập hoặc giao dịch bằng cách nhập mã OTP được gửi đến điện thoại. Phương thức này từng được xem là có thể bảo vệ trước MITM cho đến khi các chuyên gia bảo mật nhận ra tin nhắn văn bản có khả năng bị can thiệp dễ dàng. Nếu một thiết bị bị xâm phạm vì người dùng vô tình tải ứng dụng độc hại hay mã độc về máy, kẻ xấu dễ dàng lệnh cho mã độc theo dõi tin nhắn, trong đó có các tin chứa mã OTP trên điện thoại đó. Để chứng minh, một nhà báo của BBC đã sử dụng SIM tráo phi pháp để lấy mã SMS OTP và truy cập một tài khoản tại NatWest (Anh).

Bất chấp một thập kỷ cảnh báo về lỗ hổng của hệ thống 2FA nền SMS, nhiều tổ chức tài chính vẫn sử dụng chúng. Các hãng viễn thông Úc đã hối thúc ngân hàng không dùng SMS cho xác thực từ năm 2012 nhưng không có hiệu quả. Ngày nay, sau khi một vụ tấn công mã độc quy mô lớn vừa bị phát giác, quan điểm đó nên thay đổi ngay. Ngày 9/3, hãng phần mềm diệt virus ESET cảnh báo 20 ngân hàng tại Úc, New Zealand và Thổ Nhĩ Kỳ đang là mục tiêu của một cuộc tấn công tinh vi.

Vũ khí được sử dụng là Android/Spy.Agent.SI, được ngụy trang như một phiên bản của ứng dụng Adobe Flash mà người dùng bị lừa tải về từ các website nhiễm độc hay các kho ứng dụng không phép (tốt nhất bạn chỉ nên tin tưởng App Store và Google Play). Trojan ẩn mình trong nền cho đến khi người dùng mở ứng dụng mobile banking. Sau đó, nó tạo một màn hình đăng nhập giả để xem thông tin đăng nhập của người dùng. Được thiết kế đặc biệt để vượt qua xác thực hai bước nền SMS, trojan này chuyển tiếp tất cả OTP đến hacker mà người dùng và cả ngân hàng không hề hay biết. Chỉ khi kiểm tra số dư, họ mới nhận thức được mình đã bị mất tiền.

Ngoài ra, một trojan khác cũng tấn công người dùng tại ít nhất 6 ngân hàng của Úc và 1 tại Nga là Xbot. Được phát hiện bởi Palo Alto Networks, trojan có trong tay rất nhiều chiêu trò, một trong số đó là giả mạo các trang đăng nhập của ứng dụng mobile banking và can thiệp vào SMS OTP. Cách tiếp cận tương tự cũng được sử dụng bởi trojan SlemBunk mà FireEye lật tẩy năm 2015. Nó bắt chước các ứng dụng ngân hàng hợp pháp của 33 tổ chức tại Bắc Mỹ, châu Âu và châu Á – Thái Bình Dương. Chưa hết, Kaspersky đang theo dõi Asacub, mã độc tập trung vào các ngân hàng tại Nga và châu Âu, lan truyền qua tin nhắn rác. Symantec báo cáo Android.Bankosy đã phát triển vượt ra ngoài khuôn khổ SMS OTP. Hiện tại, nó có thể đánh cắp OTP được gửi qua tin nhắn thoại thông qua tính năng chuyển cuộc gọi.

Mọi thứ đang thay đổi rất nhanh chóng. Những vụ tổn thất tài chính từ các cuộc tấn công này vẫn chưa được biết nhiều nhưng tổn thất trước mắt là chắc chắn và vĩnh viễn: đó là mất niềm tin vào SMS OTP như một biện pháp bảo mật. Đây là thời điểm các ngân hàng cần tăng cường bảo vệ người dùng với các giải pháp khác để tránh bị khai thác như trên.

Du Lam
Theo Infonet

Related Posts

Keo Dai Thoi Han Ap Dung Uu Dai Thue Voi Mat Hang Xang Dau Den 30 9 2026 1
Kinh doanh

Kéo dài thời hạn áp dụng ưu đãi thuế với mặt hàng xăng, dầu đến 30/9/2026

Han Muc Khoan Vay Gia Tri Nho Duoc Nang Len 400 Trieu Dong 1
Kinh doanh

Hạn mức khoản vay giá trị nhỏ được nâng lên 400 triệu đồng

Cuoc Di Cu Lon Nhat Lich Su Chung Khoan Viet Gan 300 Ma Co Phieu Tu Hnx Sang Hose 1
Kinh doanh

Cuộc ‘di cư’ lớn nhất lịch sử chứng khoán Việt: Gần 300 mã cổ phiếu từ HNX sang HoSE

Tp Hcm Dau Tu 253 000 Ty Dong Cho 8 Du An Tao Dung Dien Mao Tuong Lai 1
Kinh doanh

TP.HCM đầu tư 253.000 tỷ đồng cho 8 dự án tạo dựng diện mạo tương lai

Khoi Ngoai Vung Tram Ty Gom Co Phieu Ngan Hang Vic Vhm Gay Ap Luc Len Chi So 1
Kinh doanh

Khối ngoại vung trăm tỷ gom cổ phiếu ngân hàng, VIC-VHM gây áp lực lên chỉ số

Chua Thu Thue Thu Nhap Ca Nhan Voi Chuyen Nhuong Vang Mieng Tu 1 7 1
Kinh doanh

Chưa thu thuế thu nhập cá nhân với chuyển nhượng vàng miếng từ 1/7

Ngan Hang The Gioi Se Cham Dut Cho Trung Quoc Vay Von Tu Nam 2031 1
Kinh doanh

Ngân hàng Thế giới sẽ chấm dứt cho Trung Quốc vay vốn từ năm 2031

Vn Index Tang Diem Trong Bien Do Hep Khoi Ngoai Ban Rong Hon 1 100 Ty Dong 1
Kinh doanh

VN-Index tăng điểm trong biên độ hẹp, khối ngoại bán ròng hơn 1.100 tỷ đồng

Gia Xang Dau Ha Nhiet No Luc Cua Chinh Phu Va Trach Nhiem Cua Doanh Nghiep Nguoi Dan 3
Kinh doanh

Giá xăng dầu hạ nhiệt: Nỗ lực của Chính phủ và trách nhiệm của doanh nghiệp, người dân

Tin cập nhật

Keo Dai Thoi Han Ap Dung Uu Dai Thue Voi Mat Hang Xang Dau Den 30 9 2026 1
Kinh doanh

Kéo dài thời hạn áp dụng ưu đãi thuế với mặt hàng xăng, dầu đến 30/9/2026

Unnamed File 1
Xe

Cục Đăng kiểm VN được chỉ định tạm thời tổ chức thử nghiệm ghế trẻ em trong 6 tháng

Cong An Quang Tri Triet Pha Duong Day Che Tao Mua Ban Vu Khi Quan Dung Quy Mo Lon 3
Đời sống

Công an Quảng Trị triệt phá đường dây chế tạo, mua bán vũ khí quân dụng quy mô lớn

Thi Tot Nghiep Tphcm 2025trinh Nguyenjpg 1750932767741 1
Giáo dục

7 địa phương đứng đầu điểm trung bình 12 môn thi tốt nghiệp THPT 2026

Han Muc Khoan Vay Gia Tri Nho Duoc Nang Len 400 Trieu Dong 1
Kinh doanh

Hạn mức khoản vay giá trị nhỏ được nâng lên 400 triệu đồng

Cuoc Di Cu Lon Nhat Lich Su Chung Khoan Viet Gan 300 Ma Co Phieu Tu Hnx Sang Hose 1
Kinh doanh

Cuộc ‘di cư’ lớn nhất lịch sử chứng khoán Việt: Gần 300 mã cổ phiếu từ HNX sang HoSE

Doan Viet Nam Dua 11 Nan Nhan Dong Dat Tai Venezuela Ra Khoi Dong Do Nat 2
Đời sống

Đoàn Việt Nam đưa 11 nạn nhân động đất tại Venezuela ra khỏi đống đổ nát

Tp Hcm Dau Tu 253 000 Ty Dong Cho 8 Du An Tao Dung Dien Mao Tuong Lai 1
Kinh doanh

TP.HCM đầu tư 253.000 tỷ đồng cho 8 dự án tạo dựng diện mạo tương lai

Khoi Ngoai Vung Tram Ty Gom Co Phieu Ngan Hang Vic Vhm Gay Ap Luc Len Chi So 1
Kinh doanh

Khối ngoại vung trăm tỷ gom cổ phiếu ngân hàng, VIC-VHM gây áp lực lên chỉ số

Chu Tich Tp Hcm Ifc Se Mo Ra Co Hoi Moi Cho Doanh Nghiep Viet 1
Kinh doanh

Chủ tịch TP.HCM: ‘IFC sẽ mở ra cơ hội mới cho doanh nghiệp Việt’

VietDaily.vn

Quản lý nội dung: Phạm Đức Quỳnh
Trưởng ban biên tập: Nhà báo Nguyễn Thanh Bình
Trụ sở: 49 đường D5, P. 25, Q. Bình Thạnh, TP. HCM
Điện thoại: 028 3602 4005 – 0919 099 989
Email: ducquynh001@gmail.com

Giấy phép hoạt động số 65/GP-TTĐT do Sở Thông tin và Truyền thông TP. HCM cấp ngày 4-10-2019

© 2019 VietDaily

No Result
View All Result
  • Trang chủ
  • Kinh doanh
  • Bất động sản
  • Giáo dục
  • Giải trí
  • Công nghệ
  • Xe
  • Đời sống
  • Du lịch
  • Sức khỏe
  • Làm đẹp

© 2019 VietDaily