Phương thức xác thực bằng OTP không còn đảm bảo an toàn

Ngày 12/12, Bộ Công an đã ra khuyến cáo về chiêu thức mới của hacker, giả mạo tin nhắn thương hiệu (SMS Brand Name) ngân hàng, nhằm kiểm soát tài khoản ngân hàng trực tuyến, chiếm đoạt tiền của nạn nhân. SMS Brand Name rất khó để giả mạo và chưa có tiền lệ trước đây nên hầu hết người dùng tin vào tin nhắn thương hiệu của ngân hàng mình, họ sẽ không nghi ngờ mà gửi mã OTP (mật khẩu dùng 1 lần) cho hacker. Trong trường hợp này, mọi khả năng bảo mật của OTP trở nên bằng không.

Liên tiếp trong những ngày vừa qua, báo chí truyền thông đưa tin về thủ đoạn lừa đảo mới và tinh vi của tội phạm mạng. Trong đó, kẻ xấu gửi các tin nhắn giả mạo SMS Brand Name của ngân hàng đến khách hàng, lừa khách hàng truy cập trang web giả mạo có giao diện tương tự website chính thức của ngân hàng, yêu cầu điền các thông tin như: tên đăng nhập, mật khẩu và mã OTP. Từ các thông tin này, kẻ xấu có thể kiểm soát tài khoản trực tuyến của khách hàng, thực hiện hành vi lừa đảo, chiếm đoạt tài sản.

Phân tích phương thức tấn công của hacker, các chuyên gia của Câu lạc bộ Chữ ký số và Giao dịch điện tử Việt Nam cho biết trên lý thuyết, SMS Brand Name không thể bị giả mạo vì khi đã được đăng ký, các tổ chức khác không được phép đăng ký trùng tên thương hiệu. Tuy nhiên, bản chất quá trình gửi SMS Brand Name được thực hiện một phần qua Internet. Rất có khả năng tội phạm đã lợi dụng một khâu trong quá trình diễn ra trên Internet để gửi mạo danh, ví dụ như tấn công một trong ba hệ thống tham gia gửi SMS Brand Name, gồm hệ thống của nhà mạng, của nhà cung cấp dịch vụ trung gian hoặc của ngân hàng. Điều này cũng giống như việc mạo danh email vốn đã rất phổ biến trước đây. Sau khi đã mạo danh, việc tin nhắn giả mạo được chèn vào thư mục của SMS Brand Name mà các đơn vị đang triển khai hoàn toàn có thể xảy ra ở góc độ kỹ thuật.

Một ngân hàng bị các đối tượng giả mạo gửi tin nhắn Brand Name.

Ông Ngô Tuấn Anh, Chủ nhiệm Câu lạc bộ Chữ ký số và Giao dịch điện tử Việt Nam cho biết: “Một khi SMS Brand Name bị giả mạo, và người dùng tin vào nội dung tin nhắn do khó phân biệt thật giả, thì lớp bảo mật OTP, vốn được xem là giúp dịch vụ ngân hàng điện tử an toàn hơn, hoàn toàn lại bị vô hiệu. Do người dùng đã nhập thông tin tài khoản và mật khẩu, OTP nhận được lên website giả mạo, từ thông tin tài khoản lấy được hacker vào website thật của ngân hàng thực hiện giao dịch như bình thường. Do đó, người dùng cần phải cẩn trọng với các tin nhắn nhận được, kể cả SMS Brand Name của ngân hàng. Ngoài ra, thay vì sử dụng OTP, chúng tôi khuyến cáo sử dụng Chữ ký số trong các giao dịch trực tuyến. Với Chữ ký số thì người dùng có ký số trên website giả mạo thì Hacker cũng không thể lấy thông tin đó thực hiện giao dịch trên website thật của Ngân hàng được do việc ký số này phải thực hiện trên website thật của ngân hàng mới được chấp nhận”.

Chữ ký số là một dạng chữ ký điện tử khuyến cáo được dùng để xác thực nội dung và người sở hữu của thông điệp điện tử. Về bản chất OTP và Chữ ký số đều sử dụng để xác thực hai lớp trong các giao dịch quan trọng, đều đảm bảo được tính nhanh gọn đơn giản, chi phí thấp, các quy trình đăng ký, tích hợp hay sử dụng không khác nhau nhiều.

Tuy nhiên, Chữ ký số có một số tính chất mà OTP không có.

  • Thứ nhất, tính xác thực. Chữ ký số có thể xác thực được nguồn gốc người gửi, trong khi người gửi OTP có thể giả mạo được.

  • Thứ hai, tính toàn vẹn. Chữ ký số đảm bảo được sự toàn vẹn của giao dịch từ người gửi đến người nhận. Trong trường hợp có thay đổi nội dung giao dịch, người nhận có thể biết được ngay. OTP không thể đảm bảo được tính chất này.

  • Thứ ba, tính chống chối bỏ. Chữ ký số là duy nhất và được tạo bởi người ký, không thể giả mạo. Chữ ký số đã được chứng minh và được pháp luật công nhận đáp ứng được đầy đủ các yêu cầu về tính pháp lý, chống chối bỏ, toàn vẹn, an toàn an ninh, xác thực và cả tính sẵn sàng.

Mới đây, Bộ Thông tin và Truyền thông đã ban hành Thông tư 16/2019/TT-BTTTT quy định và hướng dẫn ứng dụng Chữ ký số trên di động, giúp việc xác thực các giao dịch điện tử bằng Chữ ký số được thực hiện nhanh chóng, thuận tiện hơn. Với Thông tư này, các Ngân hàng hoàn toàn có thể triển khai xác thực, ký số cho khách hàng trên các thiết bị động như điện thoại, máy tính bảng, không cần phải thực hiện trên máy tính như trước đây.