CEO Bkav: Mất tiền tài khoản Vietcombank có thể do điểm yếu của SMS OTP

Ông Nguyễn Từ Quảng, CEO Bkav, chia sẻ quan điểm trên trang cá nhân về thông tin một chủ tài khoản Vietcombank bị chuyển 406 triệu đồng cho người thụ hưởng tại MSB, SEABank sau khi ứng dụng VCB Digibank được kích hoạt trên thiết bị mới. Theo ông, hacker (tin tặc) khai thác điểm yếu của công nghệ xác thực SMS OTP trong vụ việc này. Ông Quảng cũng cho biết một năm qua đã có nhiều vụ việc tương tự tại nhiều ngân hàng khác nhau, không chỉ Vietcombank.

Theo ông CEO Bkav, có 2 cách khai thác điểm yếu của SMS OTP. Thứ nhất là hacker lừa nạn nhân nhập mã SMS OTP vào một website giả mạo. Thứ hai là lừa nạn nhân cài phần mềm gián điệp chiếm quyền điều khiển thiết bị di động.

Với vai trò của một tập đoàn về an ninh mạng, Bkav đã ít nhất 2 lần cảnh báo rộng rãi về việc công nghệ xác thực SMS OTP không đảm bảo an toàn. Ở trường hợp Vietcombank, ông Quảng cho rằng khách hàng là người chịu thiệt khi bị hacker dùng các thủ đoạn tinh vi. Trong khi đó, công nghệ SMS OTP không có tính “chống chối bỏ”, không đủ cơ sở để chỉ ra ai là người thực hiện giao dịch. 

Ông Nguyễn Từ Quảng, CEO BKAV. Ảnh: VnExpress.

Giải pháp được CEO đưa ra là chữ ký số. Ông Quảng cho biết Bkav đã tư vấn Ngân hàng Nhà nước Việt Nam ban hành quy định về giao dịch sử dụng chữ ký số để thay thế cho SMS OTP. Cơ quan này đã ban hành quy định bắt buộc áp dụng với tất cả các ngân hàng, tuy nhiên hạn mức để bắt buộc phải sử dụng chữ ký số đang ở mức cao (giao dịch trên 500 triệu đồng mới phải sử dụng chữ ký số).

Để khắc phục trường hợp lừa đảo, ông Quảng kiến nghị hạ thấp hạn mức giao dịch bắt buộc sử dụng chữ ký số, tiến tới loại bỏ công nghệ SMS OTP tại các ngân hàng ở Việt Nam tương tự một số nước phát triển.

Với người dùng, ông Quảng khuyến nghị cần cài đặt phần mềm diệt virus trên máy tính để chống đánh cắp dữ liệu website và cài phần mềm chống mã độc trên thiết bị di động để ngăn chặn các phần mềm gián điệp, chiếm quyền kiểm soát điện thoại.

Về phía Vietcombank, sau khi ghi nhận vụ việc của khách hàng, nói với báo chí, đại diện ngân hàng cho biết nghi ngờ giao dịch bị giả mạo qua ứng dụng VCB Digibank dẫn đến tiền bị rút khỏi tài khoản.  Sau khi nhận đơn khiếu nại, chi nhánh ngân hàng đã kiểm tra trên hệ thống và làm việc với các bên liên quan để xử lý yêu cầu tra soát giao dịch, cấp mật khẩu VCB Digibank và hướng dẫn khách hàng kích hoạt lại dịch vụ. Vietcombank đang phối hợp với cơ quan chức năng và khách hàng điều tra làm rõ sự việc. 

Vừa qua, hệ thống Vietcombank ghi nhận sự cố lỗi trên kênh ngân hàng điện tử VCB Digibank. Đại diện ngân hàng cho biết có thể do quá tải đường truyền dẫn đến nghẽn mạng.

Trước đó, một số trường hợp khách hàng của những ngân hàng khác cũng bị chuyển tiền khỏi tài khoản nhưng không hay biết.