Sự thật đằng sau mã OTP và cách bảo vệ người dùng?
Sự thật đằng sau mã OTP và cách bảo vệ người dùng?
Phần đông các ngân hàng hiện nay dùng phương thức bảo mật bằng mã OTP để xác thực giao dịch khi thanh toán. Tuy nhiên, đã từ rất lâu chứ không phải chỉ mới đây, người dùng bị mất tiền do bị “đọc trộm” mã OTP khi giao dịch. Vậy làm cách nào để giúp người dùng bảo vệ tài sản của mình khi giao dịch qua mã OTP?
Ông Kim Jong Gun - Giám đốc Khối CNTT Ngân hàng Shinhan
|
Người viết đã có cuộc trao đổi với ông Kim Jong Gun - Giám đốc Khối Công nghệ Thông tin của Ngân hàng Shinhan để làm rõ thêm các vấn đề bảo mật thông tin xoay quanh mã OTP, giúp khách hàng tránh bị mất tiền và tự bảo vệ tài sản của mình khi giao dịch.
Thời gian qua, có nhiều trường hợp cá nhân bị mất tiền trong tài khoản khiến nhiều người lo lắng. Theo ông, đâu là những “lỗ hổng” để xảy ra tình trạng như vậy?
Trường hợp cá nhân bị mất tiền trong tài khoản đa phần xuất phát từ việc thông tin cá nhân của khách hàng bị rò rỉ hoặc bị đánh cắp thông tin từ các tin tặc. Dưới đây là các trường hợp có thể dẫn đến việc thông tin khách hàng bị rò rỉ hoặc bị đánh cắp:
- Khách hàng nhập thông tin vào các trang web lừa đảo, các trang web giả mạo thông tin ngân hàng.
- Khách hàng không kiểm soát được thông tin cá nhân trong các hoạt động hằng ngày như quá trình mua sắm khi khách hàng thường có thói quen cung cấp thẻ cho nhân viên nhưng không kiểm soát quá trình thanh toán. Bên cạnh đó, việc mua sắm trực tuyến cũng yêu cầu khách hàng nhập nhiều thông tin cá nhân và nếu các tổ chức bán lẻ, chủ doanh nghiệp không đảm bảo được tính an toàn, bảo mật cho các thông tin thì rất dễ là miếng mồi ngon cho các tin tặc tấn công.
- Khách hàng bị dụ dỗ hoặc vô tình truy cập, cài đặt các mã độc từ các trang web, ứng dụng trên Internet hoặc sử dụng các thiết bị điện tử đã bị bẻ khoá. Điều này rất dễ tạo cơ hội cho các tin tặc đánh cắp thông tin cá nhân thông qua các mã độc đã được cài cắm sẵn.
Hiện nay, bên cạnh việc liên tục đưa các cảnh báo dành cho khách hàng về việc nâng cao ý thức bảo vệ thông tin cá nhân, cảnh báo về các thủ đoạn lừa đảo và các website giả mạo, có nguy cơ thu thập thông tin khách hàng thì Ngân hàng Shinhan cũng đã liên tục nâng cấp các tính năng bảo mật ngay trên các nền tảng Ngân Hàng Số như cung cấp dịch vụ ngăn chặn tạm thời việc truy cập vào ứng dụng ngân hàng khi khách hàng thông báo mất thẻ hoặc điện thoại ngay khi khách hàng trình báo, cũng như việc ngăn chặn khách hàng truy cập tài khoản của mình trên nền tảng Mobile Banking SOL trên các thiết bị giả lập hoặc thiết bị bẻ khoá.
Mới đây, có trường hợp hacker "đọc trộm" mã OTP trên smartphone, rồi thực hiện giao dịch trên một thiết bị khác mà người dùng không biết, dưới góc độ ngân hàng, liệu mã OTP khi người dùng giao dịch có dễ dàng bị “đọc trộm” hay không? Ông vui lòng chia sẻ lý do khiến người dùng bị “đọc trộm” mã OTP?
OTP (One Time Password) là khái niệm dựa trên thuật toán mật khẩu một lần có thời hạn. Mã OTP sau đó được ứng dụng rộng rãi trong nhiều lĩnh vực của đời sống từ thương mại, ngân hàng và tài chính, y tế… đến các dịch vụ trên nền Internet cho nhiều ứng dụng có sử dụng 2-factor authentication. Trong đó, các ngân hàng là nơi ứng dụng rộng rãi nhất của mã OTP bởi tính xác thực giao dịch đơn giản mà hiệu quả của nó.
Dưới góc nhìn từ phía ngân hàng, mã OTP có mức độ bảo mật khá cao. Bên cạnh đó, ngân hàng còn áp dụng nhiều hình thức OTP khác nhau cho nhiều loại giao dịch khác nhau, do đó, rất khó có khả năng bị đọc trộm. Cụ thể, Ngân hàng Shinhan đã sử dụng M-OTP cho các giao dịch Internet Banking và SMS-OTP cho các giao dịch qua thẻ tín dụng, nhằm đảm bảo độ bảo mật tối ưu cho khách hàng trong quá trình thực hiện các giao dịch.
Việc sử dụng mã OTP khá an toàn, tuy nhiên, khả năng mã OTP bị đọc trộm vẫn có thể xảy ra khi khách hàng cung cấp OTP cho người lạ, hoặc thiết bị di động nhận OTP bị nhiễm mã độc do cài đặt các phần mềm độc hại, không rõ nguồn gốc.
Một lý do nữa có thể kể đến, đó là hiện nay, các hình thức hacking và snipping ngày càng tinh vi và phức tạp, khiến người dùng dễ dàng bị đánh lừa và bị đọc trộm mã OTP.
Ngày nay, hầu hết các ngân hàng khi giao dịch trên smartphone đều phải nhập mã OTP để giao dịch, vậy theo Ông “điểm mạnh” và “điểm yếu” của việc giao dịch qua mã OTP như thế nào?
Ưu điểm lớn nhất của mã OTP chính là khả năng bổ sung thêm lớp bảo mật cho tài khoản thanh toán. Bên cạnh đó, mã OTP mang đến sự tiện lợi tối ưu cho khách hàng, hỗ trợ thực hiện giao dịch không bị giới hạn không gian địa lý và thời gian.
Cùng với những ưu điểm nêu trên, mã OTP cũng có một số điểm hạn chế, đó là, khách hàng khó phân biệt được các phần mềm độc hại tồn tại trên các chợ ứng dụng như Play Store, App Store…Hơn thế, hiện nay, các hình thức giả mạo (phishing) ngày càng tinh vi và phức tạp khiến khách hàng có thể dễ dàng bị hacker tấn công khi giao dịch thông qua hệ thống Internet. Một yếu điểm nữa của mã OTP, đó là, với hình thức mã OTP Token, tuy độ bảo mật cao hơn nhưng phải tốn thêm chi phí làm máy Token.
Ông có thể cho biết làm thế nào để tăng tính bảo mật thông tin cũng như đảm bảo quyền lợi cho người dùng?
Tăng cường nhận thức về an toàn thông tin cho khách hàng là điều quan trọng đầu tiên mà chúng ta cần thực hiện, hỗ trợ khách hàng hiểu rõ hơn về các cách thức bảo mật thông tin trên Internet cũng như trên các thiết bị kỹ thuật số. Đồng thời, để khách hàng có thể phòng ngừa việc rò rỉ thông tin cá nhân và bảo vệ thông tin một cách hiệu quả, các ngân hàng cần liên tục cập nhật các sự việc, hình thức tấn công bảo mật thông tin mới cho khách hàng.
Đồng thời, bộ phận công nghệ thông tin cần thiết lập các biện pháp bảo mật tốt hơn trên các phần mềm, nhằm ngăn chặn trường hợp cài đặt phần mềm nhận OTP trên các thiết bị di động đã bị phá vỡ những rào cản bảo mật của iPhone hoặc Android (jailbreak (iOS) hay root (Android)).
Về phía Ngân hàng Shinhan, để ngăn chặn nguy cơ tấn công bảo mật "lừa đảo" và nâng cao mức độ bảo mật, chúng tôi đã và đang áp dụng “Yêu cầu bảo mật” và “Hình ảnh bảo mật cá nhân” trong dịch vụ Mobile Banking và Internet Banking. Khi người dùng tiếp cận bất thường, hệ thống sẽ tự động nắm bắt điều này và yêu cầu trả lời “câu hỏi cá nhân” để xác minh người dùng.
Đồng thời, hệ thống cũng sẽ hiển thị hình ảnh cá nhân đã được khách hàng chọn trước trên trang chính của trang Mobile Banking và Internet Banking, nhằm đảm bảo kiểm tra thông tin đăng nhập trang Ngân hàng Shinhan là bình thường. Điều này đồng nghĩa với việc chức năng ngăn chặn trang web lừa đảo đã được liên kết.
Xin cảm ơn ông!
Cát Lam