Trong hai ngày 4-5/8, một khách hàng bị mất 500 triệu đồng trong tài khoản Vietcombank mà không hề nhận được mã số OTP qua tin nhắn điện thoại. Đến sáng 8/8, sau khi yêu cầu làm đơn tra soát, phòng giao dịch của Vietcombank ở Ngọc Khánh (Ba Đình, Hà Nội) đã chuyển lại số tiền 300 triệu đồng cho chị Hương. Số tiền còn lại bị chuyển về các tài khoản ở Malaysia và kẻ gian đã rút sạch từ máy ATM.

OTP là "chốt chặn" cuối cùng trước khi phát sinh giao dịch trực tuyến. Ảnh: Duy Tín.

Trao đổi với Zing.vn, ông Đặng Nguyên Khôi, chuyên gia bảo mật ở Hà Nội cho rằng khả năng lỗi từ ngân hàng là rất thấp nhưng không loại trừ. Chuyên gia này phỏng đoán nạn nhân có thể bị mất thông tin khi truy cập vào một website giả mạo, hoặc đăng nhập vào mạng Wi-Fi công cộng dẫn đến việc kẻ gian thu thập được những thông tin quan trọng.

Kịch bản trên gọi là "Man In the Midle" (MItM), trong đó kẻ gian sẽ thu thập thông tin cá nhân khi người dùng kết nối vào mạng Wi-Fi công cộng không mã hoá (thường do hacker tạo ra để bẫy nạn nhân), từ đó kết hợp với nhiều thủ thuật nâng cao để đánh cắp tiền.

Theo ông Khôi, hiện không có giải pháp bảo mật nào an toàn tuyệt đối. Khi giao dịch trực tuyến, người dùng cần cẩn trọng và tự trang bị kiến thức cơ bản về bảo mật, tránh nhấp vào những đường link lạ dẫn đến các website giả mạo.

Bên cạnh đó, khi nhận OTP qua số điện thoại, người dùng cá nhân (và cả tổ chức) nên có hai số điện thoại cho mục đích riêng. Một SIM chỉ nhận OTP và không dùng để liên lạc hay đăng ký bất kỳ dịch vụ nào khác. SIM còn lại là số cá nhân, không đăng ký nhận OTP từ ngân hàng.

"Tới thời điểm hiện tại, đó chính là phương pháp tốt nhất để bảo mật số OTP", ông Khôi chia sẻ.

Ngoài ra, ông Khôi cho biết hiện trên thế giới tồn tại một lỗi giao thức mang tên "SS7". Lỗi này nằm ở nhà mạng, không phải của ngân hàng, và cho phép kẻ gian nhận được OTP của bất kỳ giao dịch nào và của bất kỳ ai thông qua tin nhắn SMS.

Nói với Zing.vn, chuyên gia này cũng cho rằng lỗ hổng "SS7" đã được cộng đồng bảo mật quốc tế cảnh báo từ nửa năm trước nhưng các tổ chức trên thế giới vẫn chưa có phương án khắc phục. Số lượng người nắm được "yếu huyệt" này chỉ là nhóm nhỏ.

Trong một hội nghị bảo mật diễn ra cuối năm 2015, các chuyên gia bảo mật của Research Labs (Đức) đã trình diễn kỹ thuật khai thác lỗ hổng SS7 để chuyển hướng tin nhắn của một nghị sỹ Mỹ đến chiếc điện thoại bất kỳ. Đây cũng chính là phương pháp có thể khiến các tin nhắn gửi mã OTP từ ngân hàng bị chuyển hướng và lợi dụng vào mục đích xấu.

Phân tích về các khả năng có thể xảy ra trong vụ mất 500 triệu từ Vietcombank, chuyên gia bảo mật Nguyễn Hồng Phúc cho rằng có thể có đến 5 kịch bản tấn công. Ngoài "Man In the Midle", kẻ gian cũng có thể chuyển tiền trong chính hệ thống của Vietcombank (khả năng này thấp và cần điều tra kỹ để kết luận), hoặc bằng cách nào đó có được tin nhắn từ VCB gửi đến nạn nhân để kích hoạt ứng dụng Smart OTP trên một thiết bị khác và tiến hành giao dịch.

Theo chuyên gia này, cũng không loại trừ các phương thức tấn công khác như nhái SIM của nạn nhân, tấn công thẳng vào giao thức GSM để bóc tách thông tin từ SMS, hoặc "cướp SIM" trong thời gian ngắn thông qua kỹ thuật xã hội (Social Engineering): dùng chứng minh thư giả mạo và chủ động tạo 5 cuộc gọi, tin nhắn đến SIM nạn nhân. Từ đó có được SIM của nạn nhân để nhận được tin nhắn OTP, sau đó tiến hành các giao dịch bất chính.

Hiện tại, theo phản ánh của một số người dùng, ứng dụng Smart OTP của Vietcombank đã tạm ngưng phục vụ. Ngân hàng này khẳng định hệ thống vẫn an toàn và bảo mật. Đại diện của VCB cho rằng việc mất tiền trong tài khoản xảy ra bởi khách hàng bị đánh cắp thông tin tài khoản trước đó.