Số điện thoại mạo danh nhân viên ngân hàng hòng trộm mã OTP. Nguồn: BNEWS/TTXVN
Giả danh nhân viên ngân hàng thông báo có khoản tiền treo cần chuyển về tài khoản hay tài khoản bị tội phạm xâm nhập, yêu cầu khách hàng cung cấp số thẻ, mật khẩu và mã xác thực OTP (One-Time Password: mã xác thực một lần)... là một vài thủ đoạn mà kẻ gian thường dùng gần đây để lừa đảo, chiếm đoạt tài sản.
Thủ đoạn tinh vi
Chị Phương Linh, nhân viên văn phòng tại quận Ba Đình, Hà Nội nhớ lại cuộc điện thoại gần đây của một kẻ xưng danh là nhân viên ngân hàng S: "Đó là một buổi chiều cuối tuần, có số điện thoại lạ gọi tới máy tôi, vừa nhấc máy lên là đầu dây bên kia đã nói một tràng tự xưng là nhân viên ngân hàng S và đọc đầy đủ họ tên lẫn địa chỉ của tôi. Thoáng chốc tôi có chút tin là thật".
"Người đó thông báo tôi có một khoản tiền gửi đến nhưng bị treo nên yêu cầu tôi cung cấp đầy đủ số tài khoản, các giao dịch gần nhất và nhiều thông tin xoay quanh các giao dịch của tôi. Rồi họ nói sẽ kích hoạt lại tài khoản và có một mã xác thực gửi đến điện thoại tôi trong vài giây tới, yêu cầu tôi cung cấp đoạn mã đó", chị Linh kể.
Nhưng rất may, khi đọc tin nhắn gửi tới, chị Linh chợt nhận ra mẫu tin nhắn giống như mã OTP mỗi lần chuyển khoản nên đâm ra nghi ngờ và vội cúp máy. Liên hệ với tổng đài ngân hàng S và kiểm tra lại thông tin thì tài khoản của chị không có khoản nào bị treo như vừa được thông báo cả. Vậy mà nếu cứ tiếp tục làm theo hướng dẫn kia thì có lẽ tài khoản của chị Linh đã "bốc hơi" ít nhiều.
Mã xác thực một lần OTP được coi là chiếc chìa khóa để mở cánh cửa cuối cùng cho các giao dịch trực tuyến hay giao dịch qua thẻ ngân hàng. Chính bởi tầm quan trọng đó mà chúng luôn bị tội phạm mạng rình rập.
Hiện nay, các ngân hàng tại Việt Nam cung cấp OTP chủ yếu theo 2 phương thức là tin nhắn điện thoại SMS và thẻ cứng (thẻ bảo mật RSA hay Token Key). Trong đó, phương thức xác thực OTP qua thẻ cứng được đánh giá là an toàn và có tính bảo mật cao hơn.
Lí do theo chuyên gia bảo mật Hồ Đức Dũng là vì tin nhắn SMS hoàn toàn có thể bị trộm hay chuyển hướng. Tội phạm mạng có thể lợi dụng cài lén một loại virus mang tên Mobile Trojan vào thiết bị di động của nạn nhân thông qua các tệp tin hay những đường link gắn mã độc. Từ đó lấy mọi dữ liệu trên thiết bị bao gồm cả SMS có chứa mã OTP.
Hay một cách khác đơn giản hơn, kẻ gian có thể làm giả sim điện thoại của chủ tài khoản, tức là cùng một đầu số điện thoại sẽ xuất hiện 2 sim khác nhau. Khi đó, SMS sẽ được gửi đồng thời tới cả 2 sim. Như vậy, kẻ gian đã dễ dàng nắm được mã xác thực để giao dịch, ông Dũng giải thích.
Bảo mật tăng cường
Trên thực tế, các ngân hàng và tổ chức tín dụng không bao giờ yêu cầu khách hàng cung cấp các thông tin cá nhân hoặc thông tin bảo mật như số tài khoản ngân hàng, số PIN thẻ ATM, mã truy cập, mã OTP và mật khẩu Internet Banking qua email hay điện thoại.
Do đó, theo khuyến cáo từ các ngân hàng, người dùng tuyệt đối không cung cấp các thông tin gồm tài khoản đăng nhập, mật khẩu, mã OTP vì đây là thông tin riêng tư, bí mật và mã OTP chỉ sử dụng duy nhất cho mục đích xác nhận các thanh toán; không nạp, chuyển tiền, cung cấp thông tin thẻ, mã OTP theo yêu cầu từ các cuộc gọi lạ xưng danh là nhân viên ngân hàng hoặc đối tác ngân hàng, hoặc yêu cầu truy cập vào một trang web lạ.
Đặt mật khẩu đủ mạnh, không sử dụng những thông tin gần gũi như số điện thoại, ngày tháng năm sinh của bản thân, của người thân… và thường xuyên thay đổi mật khẩu này cũng là một trong những cách bảo vệ an toàn tài khoản. Một trong số những lưu ý cần thiết nữa đối với người dùng là cần đăng ký và chú ý theo dõi dịch vụ tin nhắn thông báo biến động giao dịch, sao kê sổ phụ tài khoản, giao dịch thẻ để kịp thời phát hiện các dấu hiệu bất thường.
Về phía ngân hàng, nhiều biện pháp tăng cường bảo mật, an toàn cho các giao dịch trực tuyến đã được triển khai; trong đó gần nhất là việc chuyển đổi phương thức xác thực mới đối với dịch vụ ngân hàng điện tử.
Kienlongbank triển khai phương thức xác thực mới. Ảnh: Kienlongbank
Theo đó, bắt đầu từ ngày 1/7/2019, các khách hàng cá nhân và doanh nghiệp của nhiều ngân hàng như Ngân hàng TMCP Ngoại thương Việt Nam (Vietcombank), Ngân hàng TMCP Đầu tư và Phát triển Việt Nam (BIDV), Ngân hàng TMCP Kỹ thương Việt Nam (Techcombank), Ngân hàng TMCP Việt Nam Thịnh Vượng (VPBank), Ngân hàng TMCP Kiên Long (Kienlongbank)... sẽ phải đăng ký sử dụng phương thức xác thực Smart OTP - một ứng dụng trên điện thoại di động thay vì nhận mã OTP qua SMS như trước đây.
Đặc biệt, đối với khách hàng cá nhân, chuyển đổi bắt buộc này áp dụng đối với các giao dịch chuyển tiền khác chủ tài khoản có giá trị trên 100 triệu đồng/giao dịch hoặc tổng giá trị giao dịch trên 100 triệu đồng/ngày dịch vụ ngân hàng điện tử Internet Banking và Mobile Banking.
Smart OTP là một phần mềm được cài đặt trên các thiết bị di động như điện thoại di động, máy tính bảng, cho phép người dùng chủ động lấy mã xác thực giao dịch OTP cho các giao dịch trực tuyến của ngân hàng.
Phương thức này được đánh giá là bảo mật hơn SMS hay email truyền thống vì OTP được mã hóa trong quá trình gửi tới thiết bị cài Smart OTP; muốn xem được OTP, phải dùng mã PIN hoặc vân tay, face ID (nhận diện khuôn mặt) của riêng khách hàng.
Điểm đặc biệt là Smart OTP có khả năng tạo ra mã xác thực OTP bất kỳ lúc nào, không cần phải có sóng điện thoại nên khách hàng không phải roaming khi đi nước ngoài như nhận OTP qua SMS trước đây.
Trước đó, tại Ngân hàng TMCP Công thương Việt Nam (VietinBank), giải pháp Soft OTP cũng đã được triển khai dành cho các khách hàng sử dụng ngân hàng điện tử iPay Mobile. Với Soft OTP, mã xác thực được hệ thống sinh ngẫu nhiên theo thời gian có độ bảo mật cao, không thể làm giả, hoặc can thiệp thay đổi nội dung mã và chỉ có hiệu lực trong vòng 30 giây. Trường hợp người sử dụng cố ý chỉnh sửa hoặc nhập sai mã Soft OTP quá 5 lần, dịch vụ Soft OTP sẽ tự động bị khóa trong vòng 24 giờ.
Lừa lấy mã OTP không phải là thủ đoạn duy nhất mà kẻ gian áp dụng. Chúng còn lừa khách hàng tự chuyển tiền bằng cách thông báo trúng thưởng, yêu cầu hoàn tất thủ tục nhận thưởng bằng cách nạp tiền vào số điện thoại chỉ định hoặc chuyển trước một khoản phí nhận thưởng vào tài khoản của bọn tội phạm.
Một cách khác là chúng lập email giả mạo gửi từ các Tổ chức thẻ Quốc tế như Visa, Mastercard, Amex, JCB… với nội dung thông báo giao dịch bị từ chối, trong khi nạn nhân không hề thực hiện giao dịch qua thẻ; hoặc email thông báo thẻ của nạn nhân bị khóa và yêu cầu cung cấp lại thông tin cá nhân, thông tin thẻ để kích hoạt hoặc mở lại thẻ hoặc yêu cầu cung cấp bổ sung thông tin cá nhân, thông tin tài khoản thẻ vào link sẵn có...
Tội phạm mạng ngày một tinh vi, đòi hỏi cả người sử dụng lẫn các nhà cung cấp dịch vụ, nhất là ngân hàng cần có giải pháp để bảo an toàn trong giao dịch./.
>>> Cách bảo vệ tài khoản ngân hàng khi phát hiện thẻ bị rút ruột