Cảnh báo nguy cơ "mất tiền oan" từ tin nhắn OTP

14:04 | 14/10/2020

Việc một người vừa bị "bốc hơi" 406 triệu đồng trong tài khoản, nhiều chuyên gia an ninh mạng cho rằng kẻ xấu đã khai thác điểm yếu của quy trình xác thực giao dịch bằng mã OTP được gửi qua tin nhắn điện thoại.

Theo thông tin được đăng tải, tài khoản của nạn nhân được xác định có 4 giao dịch phát sinh, lần lượt chuyển toàn bộ số tiền bị mất nói trên đến các tài khoản thuộc 2 ngân hàng khác trong vòng 7 phút. Chủ tài khoản khẳng định bản thân không nhận được thông báo, không thực hiện các giao dịch trên và cũng không biết người thụ hưởng là ai. 

Theo Whitehat, lỗ hổng ở đây chính là điểm yếu công nghệ trong phương thức xác thực SMS OTP, nơi mà kẻ xấu đã lợi dụng điều này để tấn công lừa đảo mà nạn nhân không hề hay biết. Có 2 kịch bản được Whitehat đề cập, cho phép hacker có thể dựng lên để lừa người sử dụng như sau: Đầu tiên, kẻ xấu sẽ lừa nạn nhân nhập mã OTP vào một website giả mạo (ngân hàng, dịch vụ chuyển tiền…) để chiếm mã OTP, từ đó tạo ra giao dịch chuyển tiền giả mạo. Thứ hai, kẻ xấu sẽ lừa nạn nhân cài đặt một phần mềm gián điệp trên điện thoại. Phần mềm này sẽ theo dõi tất cả thông tin, trong đó có tin nhắn SMS chứa mã OTP và các thông tin đăng nhập vào ứng dụng Mobile Banking. Một khi lấy được các thông tin này, hacker sẽ có thể tạo ra các giao dịch chuyển tiền giả mạo.

Mới đây, ví điện tử MoMo cũng cảnh báo thủ đoạn kẻ gian giả danh nhân viên của MoMo gọi điện, nhắn tin từ số điện thoại lạ thông báo trúng thưởng lớn, rồi yêu cầu người dùng hoàn tất thủ tục nhận thưởng bằng cách cung cấp các thông tin bảo mật của tài khoản (mật khẩu đăng nhập, mã xác thực (OTP), số thẻ ngân hàng) để đối chiếu thông tin.

Theo MoMo, một số người dùng ví điện tử MoMo phản ánh họ đã bị mất tiền bằng thủ đoạn lừa đảo để đánh cắp mã OTP như trên.

Tương tự, Ngân hàng TMCP Sài Gòn (SCB) vừa cảnh báo gần đây có một số đối tượng giả danh cán bộ, nhân viên gọi điện thoại, nhắn tin, email tư vấn khách hàng mở thẻ tín dụng, thẻ khách hàng thân thiết hạn mức 30 triệu đồng, miễn lãi suất trong 3 năm… Khách hàng chỉ cần thanh toán phí 300.000 đồng rồi cung cấp, xác nhận thông tin qua điện thoại; thẻ sẽ được giao tận nhà qua đường bưu điện. Sau khi đóng phí, nhận thẻ xong nhưng không sử dụng được, khách hàng mới biết bị lừa.

Thủ đoạn này được nhiều ngân hàng liên tục cảnh báo trong những ngày gần đây. Tuy nhiên, do một số khách hàng ít quan tâm, bỏ sót thông tin nên mới bị kẻ gian lừa đảo, chiếm đoạt tài sản. Thủ đoạn phổ biến gần đây là lừa khách hàng mở thẻ tín dụng không lãi suất và thu phí phát hành thẻ hoặc quảng cáo nhận hồ sơ mở thẻ tín dụng qua các trang mạng, ứng dụng mạng xã hội (Facebook, Zalo) rồi thu phí người dùng…
Thủ đoạn mới nhất, các đối tượng lừa đảo còn giả danh nhân viên tuyển dụng của một số công ty để gọi điện khai thác thông tin người dùng.

Nhiều ngân hàng khẳng định mật khẩu và mã OTP là tài sản của người dùng nên không có bất kỳ quy trình nào hay bất cứ ai có quyền yêu cầu người dùng cung cấp mã xác thực này. Nếu có chắc chắn là hành vi lừa đảo.

Để đối phó với tình trạng này, các chuyên gia bảo mật cảnh bảo đối với người sử dụng, cần cảnh giác trước các chiêu thức tấn công lừa đảo của kẻ xấu, đồng thời chuẩn bị sẵn phương án đối phó. Những biện pháp tự phòng vệ khả dĩ nhất được đưa ra đó là kiểm tra kỹ tên miền của website, không tải về các ứng dụng thanh toán lạ, không dùng mạng Wi-fi công cộng... để thực hiện giao dịch trực tuyến.

Ngoài ra, người dùng nên cài đặt phần mềm diệt virus trên máy tính để chống đánh cắp dữ liệu website và cài phần mềm chống mã độc trên thiết bị di động để ngăn chặn các phần mềm gián điệp, chiếm quyền kiểm soát điện thoại.