[Bảo mật] Từ “vụ Money Lover” đến vấn đề bảo mật tài khoản ngân hàng – OTP có thật sự an toàn?

Dạo gần đây rộ lên thông tin ứng dụng Money Lover bị  Ngân hàng Vietcombank chỉ đích danh trong cảnh báo không cung cấp thông tin tài khoản, mật khẩu cho bên thứ ba.

Đã có nhiều tranh cãi nổ ra. Và đúng thật sự cách thức Money Lover sử dụng  tài khoản ngân hàng của bạn…không an toàn chút nào.

Tuy nhiên, nhiều người vẫn có suy nghĩ rất ngây thơ: “ôi dào! Bị lấy user name/password thì đã sao? Vẫn còn OTP mà?”

Vậy  OTP có thật sự an toàn?

Security

OTP (One-time password) là một password-sử-dụng-một-lần của ngân hàng gửi bạn khi bạn giao dịnh trực tuyến trên Internet.

OTP được xem là “lớp mật khẩu thứ hai”. Có nghĩa là bạn phải qua hai lần nhập mật khẩu mới có thể thực hiện giao dịch. Điều này nhằm giúp các giao dịch an toàn hơn.

Dù là password sử dụng một lần nhưng nếu bị kẻ khác đọc được không phải là không có khả năng bị ăn cắp tiền trong tài khoản của bạn.

 

Hầu hết người sử dụng Internet Banking tại Việt Nam đều đang sử dụng hình thức OTP mặc định của các ngân hàng: nhận OTP thông qua tin nhắn.

Nói đơn giản thì, chỉ cần có tài khoản ngân hàng, password Internet Banking (iBank) của bạn. Việc còn lại của hacker là “nghe trộm” hoặc lấy được tin nhắn chứa OTP của bạn?

Hiện nay trên điện thoại smartphone có rất nhiều ứng dụng “xin” quyền truy cập “đọc tin nhắn sms”. Điều này tìm ẩn nhiều nguy cơ bảo mật. Đặc biệt là nếu bạn có sử dụng số điện thoại của mình để nhận tin nhắn OTP từ ngân hàng vì có nhiều khả năng tin nhắn OTP của bạn bị đọc trộm.

Hoặc…nếu sim điện thoại của bạn vô tình…rơi vào tay hacker thì sao?

Do đó, nếu bạn thường xuyên sử dụng Internet Banking, sau đây là một số biện pháp bảo mật:

1. Đăng ký đầy đủ thông tin với nhà mạng

Hay nói cách khác bạn hãy sử dụng “sim chính chủ”..

Số điện thoại nhận OTP nên được đăng ký đầy đủ thông tin với nhà mạng cung cấp dịch vụ viễn thông của bản, để khi bị mất số/sim có thể yêu cầu nhà mạng khóa sim cũ dễ dàng.

Tuy nhiên, điều này hoàn toàn không đảm bảo được gì. Lý do vì sao thì bạn hãy tiếp tục đọc những đoạn bên dưới.

2. Sử dụng điện thoại “đập đá”

Lo sợ vì bạn đã cấp quyền “đọc tin nhắn” cho nhiều ứng dụng trên smartphone của mình? Vì vậy, hãy,

Không dùng smartphone để gắng sim nhận OTP.

Cách này có vẻ hơi tiêu cực. Tuy nhiên, một chiếc điện thoại đập đá vẫn an toàn hơn một chiếc smartphone. (Nhưng không phải an toàn 100%).

Ban nên dùng điện thoại càng xưa càng tốt. Những chiếc Nokia trắng đen pin trâu là một ví dụ tốt. Những chiếc feature phone cũng có thể coi là an toàn hơn smartphone một chút. Tuy nhiên, hãy nên nhớ rằng feature phone vẫn có khả năng truy cập mạng thông qua GPRS/3G và có khả năng cài ứng dụng Java.

Và…bạn hoàn toàn bó tay khi bị mất chiếc điện thoại…cách duy nhất khi bị mất sim/số điện thoại có khả năng nhận OTP là mau chóng yêu cầu nhà mạng khóa số. Tuy nhiên, việc này phải mất thời gian nhất định, trong thời gian đó, hacker hoàn toàn có thể cuỗm tiền của bạn. An toàn hơn, ngay khi mất sim/số, nhà mạng không phải là nơi bạn tìm đâu tiên mà là … ngân hàng. Hãy yêu cầu ngân hàng khóa tài khoản của bạn khi bị mất sim/số.

3. Không dùng số điện thoại để nhận OTP.

Như đã đề cập ở mục số một. Dù đã đăng ký toàn bộ thông tin với nhà mạng nhưng…bạn vẫn tìm ẩn rủi ro.

Đã từng có một trường hợp tại Mỹ, hacker đã dùng khản ăng thuyết phục của mình để yêu cầu nhà mạng viễn thông trao hắn ta sim với số điện thoại của nạn nhận. Kết quả hắn đã dùng sim mới được gán số điện thoại của nạn nhân  nhận mật khẩu OTP và đường hoàng “bòn rút” tiền từ tài khoản nạn nhân.

Thế nên, bạn đừng nghĩ rằng “ôi dào, mất tài khoản/mật khẩu ngân hàng thì đã làm sao? OTP để làm gì?”.

Điểm mấu chốt là, chiếc sim điện thoại của bạn hoàn toàn có thể gắn vào một cái điện thoại khác. Tức là dù cho chiếc điện thoại của bạn có bảo mật vân tay, gì gì đi chăng nữa, hacker chỉ cần đơn giản cắm chiếc sim đó vào chiếc điện thoại khác để nhận tin nhắn. Hay cao siêu hơn là như tên hacker ở ví dụ trên, dùng kỹ năng của mình để yêu cầu nhà mạng cấp cho hắn một cái sim gán số điện thoại của nạn nhân.

Vậy, có cách nào an toàn hơn? Hai cách sau cùng có thể là “cứu cánh” của bạn.

4. Sử dụng thẻ OTP

Đây là một thẻ chứa tầm 40 – 50 OTP cho bạn sử dụng dần. Hiện nay Facebook cũng cung cấp hình thức này bằng cách cung cấp cho bạn 10 OTP một lần. Một số ngân hàng có thể hỗ trợ loại hình này.

Nghe có vẻ hay, nhưng vấn đề là bạn phải cất giữ thẻ này cẩn thận. Không để rơi vào tay người khác. Vậy còn cách nào để yên tâm hơn?

5. Sử dụng app OTP

Tất nhiên, trong thời đại ngày nay, việc không sử dụng smartphone quả là quá khó. Có một giải pháp tối ưu.

Hiện nay, một số hãng lớn như Google, Microsoft đã dần chuyển sang hình thức này. Thay vì gửi sms tới số điện thoại. Google, Microsoft yêu cầu người dùng cài app sinh OTP của các hãng này. Người dùng chỉ cần dùng app quét một mã QR để bắt đầu sử dụng. Một OTP sinh bằng app này thường có thời gian sống tầm 10 – 50 giây tùy hãng.

Điều kỳ diệu là bạn không cần kết nối Internet để phát sinh mã này! Có nghĩa là bạn có thể tắt wifi/3g, và cả bluetooth (hoặc bất cứ thứ gì có thể kết nối điện thoại của bạn với thế giới bên ngoài – thậm chí là cả … tháo sim điện thoại) khi muốn sử dụng một OTP sinh ra từ app!  Điều này sẽ làm giảm nguy cơ bị “lấy trộm” OTP vì app sinh OTP của bạn hoàn toàn “offline” với thế giới Internet. (Tuy nhiên rủi ro vẫn có, như gần đây một nhóm các nhà nghiên cứu đã dùng tầng số phát ra từ tiếng quạt quay để…lấy trộm dữ liệu).

Một số ngân hàng hiện đã hỗ trợ phương pháp này. Ngoài ra app OTP của ngân hàng còn cung cấp thêm tùy chọn đặt password để mở app. Tức là bạn có 3 lớp password: password vào iBank, password để mở app OTP, password OTP được sinh ngẫu nhiên.

Nếu kỹ tính, bạn có thể có tận 4 – 5 lớp password: password vào iBank, password mở khóa điện thoại, vân tay, password để mở app OTP, password OTP được sinh ngẫu nhiên.

Việc tăng nhiều tầng, lớp password sẽ giúp giao dịch ngân hàng của bạn bảo mật hơn.

Như vậy, cảnh báo của Vietcombank về vụ Money Lover hoàn toàn không phải không có cơ sở!!! Do đó, người viết bài này cảnh báo mọi người phải có ý thứ bảo mật. Đặc biệt là không giao tài khoản ngân hàng cho một bên thứ ba nào đó. Có thể ứng dụng đó “tốt”, nhà cung cấp ứng dụng không đụng đến tài khoản ngân hàng của bạn làm gì đó mờ ám. Tuy nhiên, hacker thì hoàn toàn có thể hack vào hệ thống của bên thứ ba và lấy thông tin của bạn. Việc tiếp theo của hắn chỉ là…có được OTP.

Tất nhiên, chẳng có biện pháp nào an toàn 100%. Dù sao đi nữa, hãy “bảo mật nhất có thể” để giảm thiểu rũi ro.

Công Hậu

Gửi bình luận

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s