Hỏi: Làm thế nào để không bị hacker tấn công vào tài khoản ngân hàng, các giao dịch qua ngân hàng điện tử được an toàn?
Phạm Quỳnh Minh (Hà Nội)
Ông Ngô Tuấn Anh, Phó Chủ tịch phụ trách an ninh mạng của Bkav: Chiều 4/10, báo chí đưa tin một chủ tài khoản Vietcombank phát hiện bị “bốc hơi” 406 triệu đồng trong tài khoản. Theo thông tin được đăng tải, tài khoản của nạn nhân được xác định có 4 giao dịch phát sinh, lần lượt chuyển toàn bộ số tiền bị mất nói trên đến các tài khoản thuộc 2 ngân hàng khác trong vòng 7 phút. Chủ tài khoản khẳng định, bản thân không thực hiện các giao dịch trên và cũng không biết người thụ hưởng là ai.
Theo nhận định chung, hacker đã khai thác điểm yếu của công nghệ xác thực SMS OTP. Có 2 cách để khai thác điểm yếu của công nghệ này: Cách thứ nhất hacker lừa nạn nhân nhập mã SMS OTP vào một website giả mạo; Cách thứ hai lừa nạn nhân cài phần mềm gián điệp chiếm quyền điều khiển của thiết bị di động. Mấu chốt của vấn đề là, trong khi nạn nhân cho biết không hề nhận được tin nhắn thông báo mã xác thực, biến động số dư bằng SMS qua điện thoại như thông lệ, phía ngân hàng cho biết đã ghi nhận 4 giao dịch chuyển khoản nói trên đều hợp lệ và đã có 8 tin nhắn được gửi đến số điện thoại của chủ tài khoản.
Công nghệ SMS OTP không có tính “chống chối bỏ”, tức là không có đủ cơ sở để chỉ ra ai là người thực hiện giao dịch. Để bảo mật giao dịch, Ngân hàng Nhà nước Việt Nam ban hành quy định về giao dịch sử dụng chữ ký số để thay thế cho SMS OTP. Tuy vậy, giao dịch phải trên 500 triệu mới phải sử dụng chữ ký số. Về phía người dùng, cần cài đặt phần mềm diệt virus trên máy tính để chống đánh cắp dữ liệu website và cài phần mềm chống mã độc trên thiết bị di động của mình để ngăn chặn các phần mềm gián điệp, chiếm quyền kiểm soát điện thoại.
