Một số vấn đề đối với các dịch vụ tài chính ngân hàng trên mạng di động
Hiện nay, mạng viễn thông di động ngày càng được tích hợp mạnh mẽ với các dịch vụ tài chính ngân hàng, từ việc thông báo thay đổi số dư, đến chủ động tra cứu thông tin về hạn mức tín dụng, lịch sử giao dịch, chuyển tiền, nạp thẻ, thanh toán hóa đơn,… đều có thể được thực hiện bằng SMS/USSD. Với các giao dịch, thủ tục quan trọng hơn, cần bảo vệ nâng cao như kích hoạt tài khoản, đặt lại mật khẩu, chuyển tiền, thì SMS/USSD sẽ được dùng để thực hiện mã xác thực 2 lớp OTP. Đây là các tiện ích mà người dùng đã quen thuộc khi sử dụng các dịch vụ như SMS Banking, Internet Banking, ví điện tử, ví di động, ví tiền ảo, chứng khoán trực tuyến,…
Tuy nhiên khi khảo sát thực tế, nhóm nghiên cứu Viettel đã nhận thấy một số vấn đề như sau:
- Nhiều tổ chức tài chính ngân hàng cho phép khách hàng truy vấn thông tin mà không cần mật khẩu. Điều này có nghĩa là chỉ cần nhắn tin SMS từ thuê bao di động đã được đăng ký trước, thì có thể tra cứu số dư của khách hàng đó và xem được thông tin, sao kê tài khoản.
- Một số dịch vụ SMS Banking không bật tính năng chống tấn công vét cạn (brute-force) giúp tin tặc có thể chuyển tiền thành công khỏi tài khoản người dùng.
- Đa phần mã PIN, mật khẩu của các dịch vụ SMS Banking, ví điện tử ở dạng dễ nhớ, chỉ gồm 6-8 ký tự và nhiều khi chỉ là số. Điều này mang lại sự thuận tiện cho khách hàng nhưng lại là lỗ hổng khiến tin tặc dễ dàng khai thác.
- Các dịch vụ tài chính ngân hàng phần lớn đang phụ thuộc vào khả năng bảo mật của các hạ tầng mạng viễn thông di động bên dưới. Có thể lấy ví dụ, đối với dịch vụ truy vấn thông tin qua SMS banking, việc xác thực hoàn toàn dựa trên khả năng xác thực thuê bao của nhà mạng viễn thông. Mật khẩu và OTP gửi đi qua SMS đa phần là không được mã hóa.
Những nguy cơ tin tặc tấn công đối với dịch vụ
Thực tế là không phải mạng di động nào cũng thực sự an toàn. Gần đây, tại các diễn đàn và hội thảo bảo mật lớn, cũng như trong nội bộ cộng đồng Hiệp hội Hệ thống thông tin di động toàn cầu (Global System for Mobile Communications - GSMA) và Liên minh Viễn thông Quốc tế (International Telecommunication Union - ITU), đã có nhiều cảnh báo về các lỗ hổng ở tầng ứng dụng viễn thông trong mạng báo hiệu giữa các nhà mạng di động trên toàn thế giới. Đây là các lỗ hổng mà tường lửa truyền thống, hệ thống IDS, IPS cho các hệ thống công nghệ thông tin thông thường và các mạng TCP/IP phổ biến không thể phát hiện và ngăn chặn được.
Khi khai thác được các lỗ hổng này, tin tặc có thể thực hiện được một số hoặc tất cả những tấn công sau và từ đó có thể lấy được thông tin tài chính hoặc đánh cắp tiền khỏi tài khoản, ví điện tử của người dùng:
- Tra cứu thông tin thuê bao: Tin tặc có thể lấy trộm được thông tin về vị trí, tình trạng tắt/mở máy của thuê bao để lựa chọn thời điểm tấn công vào tài khoản tài chính ngân hàng, hoặc làm cơ sở để thực hiện các tấn công lừa đảo phi kỹ thuật. Đây cũng là bước lấy các thông tin khác cần thiết của thuê bao để thực hiện các tấn công leo thang.
- Nghe trộm cuộc gọi hoặc đọc trộm tin nhắn SMS: Sau khi tấn công và thu thập được những thông tin cần thiết, tin tặc có thể lấy được mật khẩu mà người dùng nhắn đi qua SMS hoặc lấy được OTP từ SMS hoặc cuộc gọi xác thực.
- Giả mạo thuê bao: Nếu khai thác lỗ hổng thành công, tin tặc còn có thể giả mạo số điện thoại đã đăng ký dịch vụ tài chính ngân hàng để thực hiện giao dịch với các tổng đài dịch vụ.
Tin tặc có thể khai thác các lỗ hổng để đọc tin nhắn nhằm lấy mật khẩu SMS banking, lấy mã OTP xác thực giao dịch hoặc có thể giả mạo SMS/USSD từ ngân hàng để lừa lấy mật khẩu Internet Banking như Hình 1.
Hình 1. Tin tặc giả mạo USSD từ ngân hàng để lừa lấy mật khẩu Internet Banking
Các tấn công trong thực tế đối với dịch vụ
Trong một báo cáo mới đây của ITU có tên “Báo cáo kỹ thuật về lỗ hổng mạng báo hiệu SS7 và các biện pháp xử lý cho các giao dịch của các dịch vụ tài chính”, khi thực hiện khảo sát tại Châu Âu, chỉ có chưa đến 30% nhà mạng có ý thức về nguy cơ bị tấn công và khoảng 5% nhà mạng đã triển khai giải pháp bảo vệ.
Vào tháng 01/2019, một số khách hàng tại ngân hàng Metro Bank, Anh đã bị đánh cắp tiền khỏi tài khoản. Metro Bank đã xác nhận sự cố và cho biết các tin tặc đã khai thác lỗ hổng trong mạng viễn thông để đánh cắp mã xác thực của các thuê bao gắn với các tài khoản ngân hàng. Trước đó vào tháng 05/2017, các thuê bao của nhà mạng O2-Telefonica tại Đức cũng đã bị tấn công tương tự và bị đánh cắp tiền khỏi tài khoản ngân hàng.
Tại Việt Nam, người dùng có thể tra cứu thông tin thuê bao của một số mạng chỉ với chi phí không đáng kể thông qua một dịch vụ trực tuyến hoàn toàn công khai. Chỉ cần nhập vào số điện thoại và hệ thống sẽ cho biết nhà mạng của thuê bao, số định danh thuê bao di động quốc tế IMSI để tấn công leo thang và tổng đài di động (MSC) đang phục vụ để tấn công leo thang hoặc biết vị trí mức quận huyện, tỉnh thành.
Tuy nhiên, khi nhập vào số thuê bao của nhà mạng Viettel, trang web sẽ không trả lại thông tin nào. Đó là nhờ hệ thống Telecom Anomaly Detection (TAD) mà Viettel đã nghiên cứu phát triển và triển khai vào mạng lưới từ năm 2015 để bảo vệ các thuê bao cũng như đảm bảo an toàn cho các dịch vụ tài chính ngân hàng trên đó. Hệ thống TAD giám sát toàn bộ lưu lượng báo hiệu ra/vào mạng Viettel, từ đó phát hiện và ngăn chặn các tấn công có thể phát sinh. Hiện tại, hàng tháng, hệ thống TAD đã ngăn chặn hàng trăm nghìn tấn công vào mạng lưới và thuê bao Viettel. Con số này đã giảm đi nhiều so với trước đây do nhiều tin tặc sau khi tấn công không thành công đã từ bỏ mạng Viettel. Năm 2015, khi mới triển khai, hệ thống TAD còn ghi nhận thời gian cao điểm lên đến hơn 50.000 tấn công chỉ trong vòng 1 giờ.
Một số khuyến nghị đối với các đơn vị cung cấp dịch vụ tài chính ngân hàng
Đối với các đơn vị cung cấp dịch vụ tài chính ngân hàng, nhóm nghiên cứu đưa ra một số khuyến nghị như sau:
- Cho phép khách hàng được lựa chọn phương thức bảo vệ các truy vấn thông tin bằng mật khẩu và mã PIN, hay thậm chi OTP.
- Đảm bảo tính năng chống tấn công vét cạn được bật.
- Giới hạn hạn mức chuyển tiền cho các dịch vụ ưu tiên sự thuận tiện nên đã giảm bớt tính bảo mật.
- Cảnh báo khách hàng phải bảo vệ mật khẩu của mình, không dùng hay để lộ mật khẩu của dịch vụ này trên một kênh dịch vụ khác. Ví dụ, không gửi mật khẩu Internet Banking khi dùng SMS/USSD Banking hay Telephone Banking.
- Sử dụng cảnh báo đa kênh. VD, có thể cảnh báo qua cả SMS và email.
- Xem xét việc sử dụng các OTP token cứng cho các giao dịch lớn hay cho các khách hàng quan trọng, đặc biệt khi nghi ngờ khách hàng đang sử dụng kênh truyền không đảm bảo an toàn.
- Triển khai các hệ thống phát hiện bất thường để nhanh chóng phát hiện ra các sự cố nhằm giảm thiểu hoặc xử lý hoàn toàn các thiệt hại có thể phát sinh. Các đơn vị có thể hợp tác với các nhà mạng để phát triển và triển khai các hệ thống này.