Một nghiên cứu của hãng bảo mật Kaspersky năm 2022 cho kết quả 74% người dùng Việt Nam thích mật khẩu dùng một lần (OTP) qua SMS cho mọi giao dịch điện tử. Thế nhưng, những chiêu trò lừa đảo gần đây cho thấy nhiều điểm yếu của mã OTP.
Các chiêu lừa đều nhắm đến OTP
Mã OTP hiện đang được đông đảo người dùng Việt sử dụng như là bước xác thực thứ hai (sau mật khẩu) khi đăng nhập một tài khoản dịch vụ mạng (email, mạng xã hội, OTT...) hoặc khi muốn thực hiện một giao dịch (thanh toán, chuyển tiền...). Nó được xem là yếu tố bảo mật cuối cùng trước khi việc đăng nhập tài khoản hoặc lệnh giao dịch được thực thi. Điều này khiến mã OTP thành đích ngắm của tội phạm mạng.
Rất nhiều trò lừa đảo gần đây đều nhắm đến việc thu thập mã OTP của người dùng: dọa khóa SIM do chưa chuẩn hóa thông tin thuê bao; mạo danh ngân hàng thu thập thông tin; phát tán tin nhắn mạo danh ngân hàng; giả mạo website của các doanh nghiệp, ngân hàng, sàn giao dịch điện tử...; giả danh công an, viện kiểm sát, tòa án; chuyển nhầm tiền vào tài khoản ngân hàng; dịch vụ lấy lại tài khoản Facebook, Telegram...
Chúng đều có điểm chung là dụ nạn nhân cung cấp mã OTP để chiếm đoạt tài khoản hoặc thực thi một lệnh chuyển tiền.
Táo tợn hơn, gần đây còn xuất hiện cả chiêu lừa cài app giả mạo hòng chiếm quyền điều khiển điện thoại từ xa. Từ đó, tội phạm mạng có thể âm thầm thực hiện các thao tác chuyển tiền. Không ít người dùng đã bị mất hàng tỉ đồng.
"Các vụ tấn công này đã phần nào cho thấy điểm yếu của hệ thống xác thực sử dụng OTP" - ông Vũ Ngọc Sơn, giám đốc công nghệ Công ty an ninh mạng NCS, nói và cho hay OTP thường được sử dụng thành yếu tố thứ hai trong các giao dịch xác thực hai yếu tố, trong đó yếu tố đầu tiên là mật khẩu.
Tuy nhiên, thông thường người sử dụng sẽ dùng điện thoại giao dịch cũng là điện thoại chứa SIM nhận mã OTP hay chứa email nhận mã OTP. Điều này khiến cho nếu thiết bị bị kiểm soát, hacker sẽ có cả hai yếu tố để thực hiện xác thực một giao dịch hoàn chỉnh.
Trao đổi với phóng viên báo chí, ông Steven Shceurman, phó chủ tịch phụ trách khu vực Đông Nam Á Công ty Palo Alto Networks - công ty an ninh mạng có trụ sở tại Mỹ, cho biết tại Việt Nam, xác thực OTP được sử dụng rộng rãi bởi các doanh nghiệp và người dùng, trên nhiều nền tảng và ngành nghề khác nhau, với bốn loại OTP phổ biến nhất bao gồm SMS OTP (tin nhắn), Voice OTP (giọng nói), Token (thiết bị xác thực) và Smart OTP (mã xác thực thông minh, thường tích hợp trong các ứng dụng).
"Tuy nhiên, mức độ bảo mật của OTP vẫn còn là một câu hỏi. Về lý thuyết, vì người dùng có thể kiểm soát thiết bị hoặc số điện thoại liên kết với tài khoản nên quá trình này sẽ ngăn chặn tình trạng truy cập trái phép vào tài khoản. Tuy nhiên, phương pháp này cũng có những sai sót. Với việc tin tặc ngày càng tinh vi hơn, khó có thể nói OTP là đủ để bảo mật an toàn cho người dùng và doanh nghiệp", ông Steven Shceurman nói.
Có giải pháp nào an toàn hơn?
Theo nhiều chuyên gia bảo mật, nhận thấy điểm yếu của OTP, một số giải pháp đã được đưa ra, trong đó có giải pháp tách số điện thoại/email nhận OTP ra một điện thoại vật lý khác với điện thoại được thực hiện giao dịch, hoặc giải pháp sử dụng ứng dụng smart OTP cài trên một điện thoại khác. Điều này đã được nhiều người dùng. Tuy nhiên, đa số lại cho rằng giải pháp này bất tiện khi phải dùng nhiều thiết bị khác nhau.
Theo ông Vũ Ngọc Sơn, giải pháp đang được người dùng yêu thích hơn cả là sử dụng xác thực sinh trắc học - theo đó các giao dịch ngoài mã OTP, mật khẩu thì cần có thêm xác thực khuôn mặt hoặc vân tay. Đây cũng là giải pháp được nhiều chuyên gia khuyến nghị.
"Tuy nhiên, trên thực tế, ngoài các giao dịch ngân hàng còn rất nhiều giao dịch khác như dịch vụ công trực tuyến, dịch vụ mua bán trực tuyến cũng đang sử dụng OTP là hình thức xác thực chủ đạo. Thiết bị giao dịch theo đó cũng đa dạng hơn, từ smartphone, tablet đến máy tính, không phải lúc nào hình thức xác thực bằng sinh trắc học cũng có sẵn trên các thiết bị này", ông Sơn nói.
Ông Sơn cũng cho biết gần đây các nghiên cứu mới cho thấy giải pháp sử dụng chữ ký số cá nhân hoặc thiết bị xác thực sinh trắc học chuyên dụng độc lập là một hướng đi mới để thay thế OTP. Điểm mạnh của giải pháp này là an toàn hơn, nhưng điểm yếu là hiện tại các hệ thống công nghệ thông tin chưa thể tích hợp ngay, cũng như chi phí của người dùng bỏ ra sẽ lớn hơn so với hình thức xác thực OTP hiện nay.
"Vì vậy, các giải pháp xác thực mới sẽ phù hợp với các giao dịch quan trọng, có giá trị lớn; còn xác thực OTP vẫn thích hợp với các giao dịch mang tính thường xuyên, giá trị không cao", ông Sơn khuyến nghị.
(Theo TTO)