Rủi ro khi nhận mã OTP qua tin nhắn SMS

Nhận mã OTP qua SMS rất tiện lợi khi đăng nhập tài khoản hoặc thanh toán thẻ tín dụng, nhưng một số chuyên gia đang khuyến cáo rằng hình thức này không đủ bảo mật.

Một trong những cách nhận xác thực 2 lớp tiện dụng và phổ biến nhất là qua tin nhắn văn bản (SMS). Không chỉ nhiều dịch vụ, tài khoản được xác thực đăng nhập thông qua cách này, mà cả một số cổng thanh toán. Tuy nhiên, theo CNBC, đang có sự đồng thuận ngày càng tăng giữa các chuyên gia an ninh mạng rằng OTP, giống như mật khẩu truyền thống, nên bị loại bỏ, mặc dù họ nhận định điều đó khó có thể xảy ra trong thời gian sớm.

Việc nhận thức được các dạng OTP khác nhau và các rủi ro bảo mật tương đối so với lợi ích mà mỗi loại mang lại ngày càng trở nên quan trọng khi tội phạm mạng đang có xu hướng tinh vi hơn. Kinh nghiệm cho thấy các phương thức xác thực luôn có lỗ hổng, nhưng một số phương pháp được coi là mạnh hơn những phương pháp khác. Nói như Ant Allan, phó chủ tịch phân tích tại Gartner Research: "Không có phương pháp xác thực nào là hoàn hảo".

Tracy C. Kitten, giám đốc bộ phận chống gian lận và bảo mật tại Javelin Strategy & Research, cho biết OTP qua SMS dễ bị kẻ gian tấn công thông qua nhiều phương tiện như phishing, SIM swapping và đánh cắp tin nhắn, ngay cả khi bạn vẫn đang cầm điện thoại.

Vấn đề trở nên trầm trọng hơn khi tài khoản di động hoặc trang web của bạn bị chiếm đoạt và bạn có thể không biết ngay. "Ví dụ, bạn có thể yêu cầu ngân hàng gửi tin nhắn xác nhận rồi gửi lại mà không nhận ra rằng có người khác cũng đã nhận được tin nhắn. Có thể mất 45 phút trước khi bạn nhận ra có điều gì đó không ổn và lúc đó thì đã quá muộn", Kitten cho biết.

Một kỹ thuật đánh cắp tin nhắn phổ biến là SIM swapping hay hoán đổi SIM. Thông thường, các nhà mạng cung cấp dịch vụ tiện lợi giúp khách hàng đổi số điện thoại từ SIM này sang SIM khác trong trường hợp mất điện thoại hoặc thẻ SIM. Bằng kỹ thuật này, kẻ tấn công sẽ lợi dụng việc này để chuyển số điện thoại của nạn nhân sang thẻ SIM do chúng kiểm soát. Điều này thường được thực hiện thông qua các phương thức mạo danh hoặc ăn cắp thông tin cá nhân.

Các chuyên gia bảo mật cho biết một lựa chọn tốt hơn, mặc dù cũng không phải là giải pháp tối ưu, là sử dụng ứng dụng xác thực, như Google Authenticator hoặc Microsoft Authenticator, trên thiết bị di động. Allan cho biết các ứng dụng xác thực vẫn có thể dễ bị một số loại tấn công như "adversary in the middle (AITM)" nhưng chúng vẫn an toàn hơn SMS.

Với ứng dụng xác thực, người dùng sẽ nhận được một mã duy nhất mỗi khi họ đăng nhập và mã sẽ hết hạn, thường là sau 30 đến 60 giây. Không có thông tin nào được gửi đến số điện thoại. Kitten cho biết trình xác thực nằm trên thiết bị di động của bạn, vì vậy nếu điện thoại được bảo vệ bằng mật khẩu và bạn đã bật tính năng nhận dạng khuôn mặt, thì điều đó sẽ giảm đáng kể nguy cơ ai đó có thể truy cập vào các mã đó.

Tất nhiên, vẫn có những lỗ hổng tiềm ẩn, Cedric Thevenet, Phó chủ tịch kiêm Giám đốc bán hàng và giải pháp mạng tại Capgemini Americas cho biết. Ví dụ, một người nhận được email có vẻ như đến từ một công ty hoặc nhà cung cấp mà họ thường xuyên giao dịch, nhưng thực tế, đó là một email mạo danh ngụy trang khéo léo. Nhờ AI, các loại email lừa đảo này ngày càng khó phát hiện hơn, Thevenet cho biết.

Nếu người dùng không nghi ngờ mà nhấp vào liên kết trong email, họ có thể được chuyển đến một trang web trông có vẻ là thật, nhưng không phải vậy. Nạn nhân sau đó nhập tên người dùng và mật khẩu của mình vào trang web của tin tặc, nghĩ rằng đó là trang web của nhà cung cấp. Khi được yêu cầu nhập mã xác thực OTP, họ cũng nhập mã đó vào. Thevenet giải thích rằng đến thời điểm đó, tin tặc đã có quyền truy cập vào tài khoản.

Hiện nay đã nhiều lựa chọn khác nhau để người dùng quản lý thông tin đăng nhập trực tuyến của mình với mức bảo mật cao hơn, tuy nhiên tất cả đều có rủi ro và ở một mức độ nào đó, người tiêu dùng bị hạn chế bởi các phương thức xác thực mà các nhà cung cấp khác nhau đưa ra.

Dusty Anderson, CEO tại công ty tư vấn quản lý Protiviti, cho biết có một khách hàng chi hàng chục nghìn USD mỗi tháng để nhận OTP qua SMS. Bất chấp những lo ngại về bảo mật, khách hàng này vẫn kiên quyết không chịu thay đổi vì sợ làm đảo lộn mọi quy trình, đặc biệt là khi họ không am hiểu công nghệ và có thể không muốn sử dụng một loại xác thực khác có cảm giác kém tiện dụng hơn.

Vì nhiều lý do khác nữa, Thevenet cho biết OTP vẫn sẽ tồn tại dưới một hình thức nào đó trong tương lai gần. Mặc dù có một số rủi ro nhất định, phương pháp này vẫn tốt hơn so với chỉ sử dụng mật khẩu đơn thuần, Thevenet cho biết.