Từ vụ tài khoản Vietcombank "bốc hơi" 406 triệu: "Bắt lỗi" cách xác thực mã OTP qua SMS

Liên quan đến vụ việc một khách hàng tại TP.HCM bỗng dưng bị mất 406 triệu đồng trong tài khoản Vietcombank chỉ trong vài phút, ông Nguyễn Tử Quảng đã có bài phân tích trên trang cá nhân của mình. Ông cho rằng, sự việc này là điều không ngạc nhiên. Bởi trong 1 năm qua, ông Quảng biết đã có nhiều vụ việc tương tự và với nhiều ngân hàng khác nhau, không chỉ Vietcombank.

Theo nhận định của CEO Bkav, hacker đã khai thác điểm yếu của công nghệ xác thực SMS OTP. Cụ thể, có 2 cách để khai thác điểm yếu của công nghệ này, thứ nhất là hacker lừa nạn nhân nhập mã SMS OTP vào 1 website giả mạo và thứ hai là lừa nạn nhân cài phần mềm gián điệp chiếm quyền điều khiển của thiết bị di động.

Ông Quảng khẳng định Bkav đã ít nhất 2 lần cảnh báo rộng rãi về việc công nghệ xác thực SMS OTP không đảm bảo an toàn.

Nói về giải pháp cho tình trạng này, ông Nguyễn Tử Quảng cho biết đã tư vấn cho Ngân hàng Nhà nước Việt Nam ban hành quy định về giao dịch sử dụng chữ ký số để thay thế cho SMS OTP.

"Hiện Ngân hàng Nhà nước Việt Nam đã ban hành quy định bắt buộc áp dụng với tất cả các ngân hàng, tuy nhiên hạn mức để bắt buộc phải sử dụng chữ ký số đang còn ở mức cao, cụ thể giao dịch phải trên 500 triệu đồng mới phải sử dụng chữ ký số", ông Quảng thông tin.

Để khắc phục những trường hợp lừa đảo như thế này, CEO Bkav kiến nghị phải hạ thấp hạn mức giao dịch xuống, tiến tới loại bỏ công nghệ SMS OTP tại các ngân hàng ở Việt Nam giống như một số nước phát triển đang áp dụng.

Về phía người dùng, ông Quảng khuyến cáo cần cài đặt phần mềm diệt virus trên máy tính để chống đánh cắp dữ liệu website và cài phần mềm chống mã độc trên thiết bị di động để ngăn chặn các phần mềm gián điệp, chiếm quyền kiểm soát điện thoại.

Trước đó, như PNVN đã thông tin, ông T.V.L (Q.Thủ Đức, TP.HCM) phản ánh về việc số tiền 406 triệu đồng trong tài khoản mở tại Ngân hàng Vietcombank chi nhánh Nam Bình Dương bị "bốc hơi". Cụ thể, thông qua ứng dụng Digibank của Vietcombank, số tiền trên được chuyển đến 2 tài khoản ở 2 ngân hàng khác nhau. Tổng cộng là 4 lần giao dịch với thứ tự chuyển tiền: 50 triệu đồng - 39 triệu đồng - 300 triệu đồng và 17 triệu đồng. Hiện vụ việc đang được các cơ quan chức năng làm rõ.