CEO BKAV chỉ ra lỗ hổng trong nghi vấn tài khoản Vietcombank bị bốc hơi 400 triệu đồng

Liên quan đến thông tin một chủ tài khoản Vietcombank bị chuyển 406 triệu đồng cho người thụ hưởng tại MSB, SEABank sau khi ứng dụng VCB Digibank được kích hoạt trên thiết bị mới, ông Nguyễn Tử Quảng, Tổng Giám đốc BKAV đã có bài viết chia sẻ trên trang cá nhân về lỗ hổng bảo mật trong vụ việc này.

Theo nhận định của ông Quảng, hacker đã khai thác điểm yếu của công nghệ xác thực SMS OTP. Có hai cách để khai thác điểm yếu của công nghệ này: Cách thứ nhất, hacker lừa nạn nhân nhập mã SMS OTP vào một website giả mạo; Cách thứ hai là lừa nạn nhân cài phần mềm gián điệp chiếm quyền điều khiển của thiết bị di động.

"Với vai trò của một Tập đoàn về An ninh mạng, BKAV đã ít nhất hai lần cảnh báo rộng rãi về việc công nghệ xác thực SMS OTP không đảm bảo an toàn", ông Quảng cho biết.

Trong trường hợp Vietcombank, khách hàng là người chịu thiệt khi bị hacker qua mặt bằng các thủ đoạn tinh vi. Và công nghệ SMS OTP không có tính "chống chối bỏ", tức là không có đủ cơ sở để chỉ ra ai là người thực hiện giao dịch.

Giải pháp được CEO BKAV đưa ra cho vấn đề này là chữ kí số. Theo ông Quảng, BKAV đã tư vấn cho Ngân hàng Nhà nước Việt Nam ban hành qui định về giao dịch sử dụng chữ kí số để thay thế cho SMS OTP.

Hiện Ngân hàng Nhà nước Việt Nam đã ban hành qui định bắt buộc áp dụng với tất cả các ngân hàng, tuy nhiên hạn mức để bắt buộc phải sử dụng chữ kí số đang còn ở mức cao, cụ thể giao dịch phải trên 500 triệu mới phải sử dụng chữ kí số.

Để khắc phục những trường hợp lừa đảo như trên, CEO BKAV kiến nghị phải hạ thấp hạn mức giao dịch xuống, tiến tới loại bỏ công nghệ SMS OTP tại các ngân hàng ở Việt Nam giống như một số nước phát triển đang áp dụng.

Về phía người dùng, ông Quảng khuyến nghị cần cài đặt phần mềm diệt virus trên máy tính để chống đánh cắp dữ liệu website và cài phần mềm chống mã độc trên thiết bị di động của mình để ngăn chặn các phần mềm gián điệp, chiếm quyền kiểm soát điện thoại.

Trước đó, trả lời báo chí về vụ việc trên, phía Vietcombank cho biết, theo kết quả rà soát dữ liệu, ngân hàng ghi nhận các giao dịch đã được thực hiện bởi đúng thông tin định danh của chủ tài khoản (tên tài khoản, mật khẩu và mã khóa bí mật dùng một lần - OTP). Các tin nhắn thông báo mã OTP và biến động số dư liên quan giao dịch đã được gửi thành công tới số điện thoại của khách hàng trong ngày 4/9/2020.

Đại diện Vietcombank khẳng định hệ thống của ngân hàng an toàn và đáp ứng qui định pháp luật liên quan đến cung ứng dịch vụ trực tuyến, đồng thời lưu ý khách hàng giữ bí mật các yếu tố định danh, thực hiện theo hướng dẫn của ngân hàng về giao dịch an toàn.