Khoa học & Công nghệ

Hacker nhắm vào người dùng cuối cùng: Bảo mật OTP cũng không an toàn

  • Tác giả : Nhật Nam
Hiện hacker đã chuyển hướng từ viết virus phá máy tính sang khai thác, kiếm tiền từ người dùng. Nhiều phần mềm có khả năng theo dõi màn hình điện thoại nên bảo mật OTP cũng không phải là an toàn.
hacker.jpg
Việt Nam là thị trường béo bở cho hacker với số người dùng khoảng 156 triệu kết nối internet và điện thoại di động,

Đừng trông chờ vào nhà cung cấp

Tại một cuộc tọa đàm "Để an toàn trong các giao dịch thanh toán không dùng tiền mặt" gần đây, các khách mời là đại diện đến từ ví điện tử MoMo, ZaloPay và hãng bảo mật Kaspersky đã chia sẻ về những phương thức lừa đảo trực tuyến, trong đó đặc biệt nổi lên những năm gần đây là lừa đảo nhắm đến người tiêu dùng cuối cùng, tức người sử dụng các hình thức thanh toán trực tuyến.

Việt Nam là thị trường béo bở cho hacker với số người dùng khoảng 156 triệu kết nối internet và điện thoại di động, chiếm 158,3% dân số, thuộc nhóm nước cao nhất thế giới (theo số liệu của GSMA Intelligence).

Báo cáo của Hãng bảo mật Kaspersky cho biết, trong những năm gần đây, hacker đã chuyển hướng từ viết virus phá máy tính sang khai thác, kiếm tiền từ người dùng. Hacker không chỉ tập trung vào các cơ sở tài chính - ngân hàng mà đang tăng cường tấn công vào người dùng cuối. Thay vì thực hiện những vụ xâm nhập hệ thống và đánh cắp số tiền lớn, kẻ lừa đảo hiện có xu hướng dùng kịch bản bẫy người dùng để chiếm đoạt khoản tiền nhỏ.

Ông Ngô Tuấn Vũ Khanh, Giám đốc Kaspersky Việt Nam cho biết, các giải pháp chống gian lận thanh toán ở phía người dùng cuối là cực kỳ hạn chế. Hiện các ngân hàng và dịch vụ thanh toán chỉ bảo vệ ở hệ thống, trong khi thanh toán gian lận xảy ra ở người dùng cuối đến 80%. Việc triển khai hệ thống ngăn chặn gian lận thanh toán phía người dùng hoàn toàn khác với các hệ thống lớn.

Nhiều nhà cung cấp ví điện tử lớn ở Việt Nam cho biết đang tăng cường ứng dụng AI, máy học… nhằm phát hiện ngay những bất thường trong các giao dịch của khách hàng để kịp thời bảo vệ an toàn. Hiện mã OTP (mật khẩu dùng một lần) được sử dụng trong biện pháp xác thực 2 lớp để tăng cường độ an toàn cho chủ tài khoản. Tuy nhiên, mã này có thể bị kẻ xấu đánh cắp bằng những chiêu trò lừa bịp hay những phần mềm gián điệp được cài đặt trên điện thoại của chủ tài khoản. Chuyên gia về bảo mật của Kaspersky Việt Nam cảnh báo: “Nhiều phần mềm có khả năng theo dõi màn hình điện thoại nên bảo mật OTP cũng không phải là hoàn toàn an toàn”.

Theo ông Ngô Trần Vũ, CEO Công ty Bảo mật Nam Trường Sơn - NTSS, các vụ lừa đảo mà hacker chiếm lấy tài khoản của nạn nhân rồi dùng đi lừa bạn bè của họ vẫn còn phổ biến khiến nhiều người sập bẫy. Kinh nghiệm từ các nước cho thấy sự lơ là bảo mật của người dùng cuối là mắt xích yếu và khó nâng cấp nhất trong các thành phần của hệ thống bảo mật. Nếu người dùng cuối không ý thức về bảo mật, sơ suất khi giao dịch online thì dù ngân hàng có hệ thống bảo mật hiện đại đến đâu vẫn không thể bảo vệ được. Ngoài ra, việc sử dụng bản quyền bẻ khóa còn phổ biến thì các phương pháp bảo mật chưa hiệu quả tối ưu.

hack-phone-remotely.jpg
Bảo mật của người dùng cuối là mắt xích yếu.

Hãy tự trang bị kiến thức bảo vệ mình

Các chuyên gia về bảo mật và an ninh mạng cũng kêu gọi các ngân hàng cần có giải pháp bảo vệ người dùng. Điều người dùng mong muốn là có một lớp bảo vệ được chính các đơn vị cung cấp giải pháp thanh toán chứ không phải chỉ nhận được thông báo cảnh báo mỗi ngày. Tuy nhiên, nhiều người dùng hiện nay cũng có suy nghĩ sai lầm là phó mặc việc bảo mật cho đơn vị cung cấp dịch vụ mà không trang bị phần mềm bảo mật trên thiết bị. Người dùng thiết bị di động có thói quen cài nhiều app mà không kiểm soát, tạo cơ hội cho hacker tấn công thiết bị.

Các chuyên gia cảnh báo người dùng tuyệt đối không bao giờ được tiết lộ mã OTP cho ai khác, không dùng tùy chọn nhận mã OTP qua cuộc gọi (hacker có thể nghe lén qua phần mềm hay lợi dụng dịch vụ chuyển hướng cuộc gọi vô điều kiện). Để tránh bị các phần mềm gián điệp đọc trộm màn hình, người dùng thiết bị di động nên cài đặt phần mềm bảo mật, chống virus cho thiết bị của mình (như vẫn làm trên máy tính).

Hiện nay, các ngân hàng đều tăng cường khâu nhận dạng, xác định những giao dịch bất thường nhằm cảnh báo ngay cho khách hàng qua tin nhắn SMS, email, ứng dụng ngân hàng. Tuy nhiên, cho dù các ngân hàng có trang bị các biện pháp bảo vệ đến đâu thì cũng không có giải pháp nào trọn vẹn trong việc chống gian lận thanh toán ở người dùng cuối, bởi các công cụ như Soft OTP/Token OTP/sinh trắc học... đều được triển khai nhưng vẫn phải cần người dùng cuối bảo vệ mình trước.

Để giúp người dùng giữ an toàn khi thanh toán trực tuyến, ông Ngô Trần Vũ, CEO Công ty Bảo mật Nam Trường Sơn – NTSS cho biết, cách tốt nhất là dùng một chiếc smartphone “sạch” chỉ dành cho việc thanh toán, không cài ứng dụng nào khác để an toàn, đồng thời có thể dùng phần mềm bảo mật đến từ các hãng như Kaspersky để ngăn chặn.

Smartphone hiện nay tích hợp nhiều ứng dụng thanh toán, ví điện tử, bảo hiểm xã hội, thông tin sức khỏe cá nhân... Vì vậy, chỉ cần người dùng chưa có tư duy bảo mật, dễ dãi trong truy cập, tải app sẽ là một mối nguy hại khó lường. Người Việt thường ưu tiên dùng phần mềm miễn phí. Những phần mềm này đi kèm nhiều quảng cáo có thể chứa virus không đảm bảo tính an toàn.

Nhật Nam