Liên tiếp các vụ tiền trong tài khoản "bay hơi" do lộ mã OTP

Thời gian gần đây, hàng loạt các vụ mất tiền trong tài khoản ngân hàng diễn ra do bị lộ hay chiếm đoạt mã OTP (One Time Password - mật khẩu dùng 1 lần). Trước thực tế này, các chuyên gia chỉ ra rằng, mã OTP sẽ không còn đủ mạnh để bảo vệ tài khoản trước các cuộc tấn công mạng hiện đại và tinh vi như hiện nay.

Cuối tháng 7 vừa qua, Công an TPHCM cho biết đã khởi tố Hoàng Trọng Vỹ và Trần Văn Xuân cùng 6 đối tượng khác về hành vi "Sử dụng mạng máy tính, mạng viễn thông, phương tiện điện tử thực hiện hành vi chiếm đoạt tài sản", xảy ra tại Công ty TVX Group.

Theo đó, tháng 1.2022, đối tượng Vỹ và Xuân có được thông tin khách hàng được cấp thẻ tín dụng tại các ngân hàng. Lợi dụng việc các ngân hàng áp dụng mức phí rất cao khi rút tiền mặt bằng thẻ tín dụng, 2 đối tượng đã tiến hành thuê thêm người đóng giả làm nhân viên ngân hàng, tổ chức tín dụng gọi điện đến những khách trên để đề nghị hỗ trợ rút tiền mặt từ hạn mức thẻ được cấp, không mất phí.

Đáng chú ý, các đối tượng yêu cầu khách hàng cung cấp thông tin thẻ, mã OTP, sau đó thông qua các trang thương mại trực tuyến, ví điện tử để rút tiền. Số tiền các bị can rút được từ 7.012 thẻ tín dụng lên tới 136 tỉ đồng.

Trước đó, một người đàn ông đã mất gần 400 triệu đồng do nhập tài khoản ngân hàng, mã OTP vào đường link lạ.

Cụ thể, vào đầu tháng 7, Công an thị xã Bỉm Sơn (Thanh Hoá) cho biết đơn vị này nhận được tin báo của anh N.T.A. (ngụ phường Bắc Sơn, thị xã Nghi Sơn) làm nghề bán quần áo trên mạng về việc anh bị một đối tượng sử dụng tài khoản Facebook "Thanh Ngo Kim" hỏi mua quần áo.

Sau khi thống nhất giá cả và số lượng mua, người lạ này đã gửi cho anh A. một đường link và yêu cầu anh đăng nhập vào đường link đó để nhận tiền đặt cọc mua hàng.

Anh A đã bấm vào đường link mà đối tượng gửi để nhập thông tin tài khoản, mã OTP giao dịch. Ngay sau đó, anh N.T.A. phát hiện tài khoản ngân hàng của mình đã bị mất gần 400 triệu đồng.

Một vụ việc đáng lo ngại khác xảy ra mới đây tại Quảng Ngãi, nạn nhân vô tình tải một ứng dụng trong đó có mã độc, khi truy cập bị chiếm mã OTP, lấy luôn tài khoản ngân hàng. Hơn 40 triệu đồng đã "bốc hơi" khỏi tài khoản nêu trên.

Sau khi tiếp nhận thông tin và làm việc trực tiếp với nạn nhân, Phòng An ninh mạng và Phòng chống tội phạm sử dụng công nghệ cao (Công an tỉnh Quảng Ngãi) nhận định, nạn nhân vô tình tải một ứng dụng trong đó có mã độc. Khi nạn nhân truy cập vào, kẻ gian đã cài phần mềm gián điệp theo dõi quá trình giao dịch tài chính của nạn nhân trên điện thoại và chiếm mã OTP, lấy luôn tài khoản ngân hàng.

Những vụ việc nêu trên cho thấy, mã OTP đang dần trở nên mong manh hơn trong hoạt động bảo mật.

Ông Trần Đăng Khoa - Phó Cục trưởng Cục An toàn thông tin, Bộ Thông tin và Truyền thông - vừa chia sẻ về một báo cáo nghiên cứu về hoạt động xác thực trong ngành tài chính toàn cầu năm 2022.

Theo báo cáo này, có tới 99% người tham gia nghiên cứu đều đồng ý rằng, các phương pháp xác thực truyền thống, chỉ dựa vào mật khẩu và xác thực một lần OTP sẽ không còn đủ mạnh để bảo vệ tài khoản trước các cuộc tấn công mạng hiện đại và tinh vi như hiện nay.

Phân tích về vấn đề này, ông Đỗ Ngọc Duy Trác - Tổng Giám đốc của Công ty Cổ phần dịch vụ an ninh mạng VinCSS - cũng cho biết, khu vực châu Á - Thái Bình Dương đang trải qua giai đoạn thay đổi quan trọng, khi các mối nguy về tấn công mạng nhắm vào các phương thức xác thực truyền thống hay mật khẩu dùng một lần (OTP) ngày càng gia tăng và để lại những hậu quả ngày càng nặng nề. Điều này đã được chứng minh qua các cuộc tấn công lừa đảo thông qua email (phishing), mã độc đánh cắp thông tin tài khoản và thói quen sử dụng mật khẩu yếu của người dùng.