Tin nhắn SMS xác thực chuyển tiền ngân hàng có thể bị đánh cắp?

Mã xác thực SMS OTP dùng trong các giao dịch ngân hàng có nguy cơ bị chặn và đánh cắp thông tin bằng cách khai thác lỗi của các hệ thống viễn thông nhé bạn.

Năm ngoái, nhóm nghiên cứu của công ty bảo mật PT từ Mỹ đã khai thác thành công lỗ hổng trong giao thức báo hiệu số 7 - SS7 (Signaling System #) nhằm đánh chặn mã xác thực một lần (OTP), loại mã thường dùng để xác thực tài khoản hay các giao dịch ngân hàng. Thay vì tăng cường bảo mật, hàng rào OTP hoàn toàn có thể bị phá vỡ, giúp tin tặc đánh cắp tài khoản Facebook, Twitter... hoặc thực hiện các lệnh chuyển tiền.

Đánh cắp mã xác thực OTP có thể là một trong những cách để đánh cắp tiền trong giao dịch ngân hàng.

Alex Mathews, Giám đốc kỹ thuật của PT giải thích: "Thực tế không thể chối cãi là các nhà mạng tồn tại lỗ hổng SS7 và nó đã được chứng minh bởi nhiều nhà nghiên cứu, không riêng chúng tôi. Vấn đề là cả ngành viễn thông làm ngơ với nó. Trong khi đó, nhiều dịch vụ lại xây dựng cơ chế bảo mật dựa trên hạ tầng viễn thông".

Đội ngũ của Alex đã chứng minh nghiên cứu của mình bằng cách đánh cắp tài khoản Facebook. Đầu tiên, họ gửi yêu cầu lấy lại mật khẩu và mạng xã hội này đã gửi SMS đến số điện thoại của nạn nhân số OTP xác thực. Bằng cách khai thác SS7, nhóm lấy được dãy số bí mật này và hoàn tất việc đổi mật khẩu, truy cập thành công vào tài khoản Facebook.

"Cách thức mà chúng tôi nêu trên có thể dùng để thiết lập lại tài khoản của mọi dịch vụ dùng xác thực SMS OTP. Nguy hiểm hơn, mã OTP bị đánh cắp có thể gây tổn hại cho hệ thống tài chính, ngân hàng hay các dịch vụ thanh toán trực tuyến. Vấn đề trở nên phức tạp khi nhiều chuyên gia bảo mật lại vận động người dùng kích hoạt SMS OTP như một hàng rào bảo vệ. Tuy nhiên, chúng tôi khuyến cáo bạn không nên làm thế!", ông Alex nói.

Tin nhắn SMS có thể bị chặn bằng cách khai thác lỗ hổng SS7 tồn tại trong nhiều hệ thống viễn thông.

Đánh giá về lỗ hổng SS7, chuyên gia bảo mật độc lập Nguyễn Hồng Phúc cho rằng nó có thể là một trong những kẽ hở để đánh cắp tiền trong tài khoản ngân hàng. Thông thường với các dịch vụ Internet Banking, người dùng sẽ có tên tài khoản và mật khẩu để đăng nhập. Khi thực hiện giao dịch chuyển tiền hay mua hàng, bạn phải thêm một bước xác thực nữa, có thể là nhập mã OTP được ngân hàng gửi đến số điện thoại đã đăng ký thông qua tin nhắn SMS.

Như vậy, nếu tin tặc có thông tin đăng nhập và khai thác lỗ hổng SS7 thì hoàn toàn có thể đánh cắp tiền trong tài khoản ngân hàng. Ông Phúc cũng nhấn mạnh rằng đây chỉ là một trong những cách để hacker có được mã OTP của nạn nhân.

Trước đó, lỗ hổng báo hiệu số 7 đã được các chuyên gia an ninh thuộc Research Labs (Đức) khai thác và trình diễn khả năng hack vào chiếc điện thoại của Nghị sỹ Ted Lieu, một thành viên Ủy ban Giám sát và Cải cách Công nghệ thông tin tại Mỹ. Nhóm truy cập thành công vào chiếc điện thoại của vị đại biểu quốc hội Mỹ mà chỉ cần biết số điện thoại của người này.

"Dù là người dân hay chính khách, chọn điện thoại nào, có cài đặt mật khẩu hay không, tải và cài đặt ứng dụng gì... cũng không ảnh hưởng đến việc tấn công, bởi phương thức này dựa trên mạng di động", chuyên gia bảo mật Karsten Nohl của Research Labs cho biết.

Lỗ hổng trong báo hiệu số 7 được biết đến từ năm 2015 và kiến trúc báo hiệu này được sử dụng bởi hơn 800 công ty viễn thông trên toàn thế giới. Chuyên gia Nohl cho rằng lỗ hổng SS7 thực sự là bí mật mở giữa các cơ quan tình báo trên thế giới. Ông cũng lưu ý rằng nó tồn tại trong chính mạng di động bởi vậy theo Nohl, các điện thoại đều giống nhau và không có chiếc nào an toàn hơn so với chiếc nào cả.

Các bạn không biết vì sao không có OTP mà vẫn CK được thì đọc thêm cho hiểu nhé. Vietcombank có cho khách hàng chọn lựa hơn một hình thức nhận OTP(chính xác là 3) . Hai hình thức phổ biến là SMS hoặc VCB Smart OTP. Smart OTP là một phần mềm cài cho các smartphone (android & IOS) 2 cái này có thể cùng sử dụng không ảnh hưởng. Khi kẻ gian cài đặt phần mềm này trên máy tính bảng hay điện thoại của chúng, rồi nhập số điện thoại của chị H này vào, hê thống sẽ gửi về máy đt chị H một SMS chứ mã kích hoạt dịch vụ (nhớ là không phải mã OTP giao dịch ck nhé) - và kẻ gian bằng cách nào đó đã lừa chị H để lấy được mã này, khi đó dịch vụ Smart OTP được kích hoạt, lúc đó tội phạm (sau khi đã có id và pass Internet Banking) đã chọn cách nhận OTP qua Smart OTP nên chị này đâu có biết. Còn việc làm cách nào để lừa có được cái mã kích hoạt Smart OTP thì chưa biết. Chờ cơ quan CA làm rõ
Bên VCB đã xác nhận được là tk của chị này đã bị cài Smart OTP mà chị này không biết.

Bạn à, theo mình biết thì trước khi có thể chuyển từ hình thức xác thực này, sang hình thức xác thực khác thì hệ thống sẽ gửi xác thực theo hình thức cũ cho chủ tài khoản để xác nhận việc đổi hình thức xác thực. Nói cách khác, chị ấy đã chọn OTP mà giờ muốn chuyển qua Smart OTP (như cách bạn nói) thì cũng phải nhận được OTP trước khi hoàn tất chuyển đổi.

Mình thấy bạn trên đã giải thích rõ rồi mà, Lổ hỏng SS7 có thể là một nguyên nhân.

Thề này thì không ổn rồi, phải cài ứng dụng Smart OTP của Ngân hàng. Cái này bảo mật hơn do nó sinh ra mã xác thực bằng cách chính điện thoại của mình đã cái ứng dụng.

Mọi người hãy quan tâm hơn và chia sẽ cách nào thấy an toàn nhất!

Cái mã Smart OTP còn không an toàn bằng Sms OTP nữa, chắc bạn cũng mới nghe vụ mất 500 triệu bên VCB, chị kia cũng sử dụng Smart OTP nhưng hacker vẫn hack được, và bên VCB cũng thừa nhận Smart OTP không an toàn bằng Sms OTP. Chúc may mắn! :)