• Thứ Sáu, 13/09/2013 10:35 (GMT+7)

    Mất tiền do thông tin cá nhân bị đánh cắp

    Chí Thịnh
    Hai chủ thẻ tại TP.HCM và Hà Nội bị kẻ gian cướp SIM điện thoại (đăng ký SIM mới) và mất tổng số tiền hơn một trăm triệu đồng. Phải chăng, hệ thống thanh toán trực tuyến có lỗ hổng bảo mật dẫn đến nguy cơ mất tiền từ tài khoản thẻ thanh toán?.
     
    Vụ mất 30 triệu đồng của chủ thẻ Maritime Bank đăng trên diễn đàn otofun.net
     
    Lấy mật khẩu OTP qua thiết bị Token

    Bảo mật thông tin thẻ
    Theo các chuyên gia bảo mật, trong vụ việc này cả người dùng thẻ và doanh nghiệp cung cấp dịch vụ thanh toán trực tuyến đều có sơ hở. Phương thức xác thực bằng SMS OTP (one time pass word) đã giúp kẻ gian dễ dàng mua hàng trực tuyến khi sở hữu trong tay số điện thoại di động của chủ thẻ.

    Ông Lương Trung Thành, Giám đốc Trung tâm Nghiên cứu và Đào tạo An ninh thông tin CRC thuộc Công ty CP Tin học Lạc Tiên cho biết rằng khi sử dụng Internet Banking cần chú ý “bảo mật” các thông tin tài khoản. Đặc biệt là đối với thẻ thanh toán quốc tế như Visa, Master Card… Nếu được lựa chọn thì nên chọn loại thẻ Credit (tín dụng) thay vì Debit (ghi nợ). Đối với thẻ Debit quốc tế, chỉ cần có thông tin tài khoản trong tay là có thể thanh toán qua Internet, không cần OTP như thẻ ATM.

    Đồng thời, để đảm bảo an toàn, chủ thẻ chỉ nên sử dụng các thẻ có khả năng thanh toán qua Internet ở những nơi tin tưởng và hạn chế sử dụng thẻ hàng ngày. Trên môi trường Internet thì cần chú ý đến các dấu hiệu nhận diện an toàn trên web chẳng hạn như thanh địa chỉ (address) có màu xanh + biểu tượng cái khóa. Không sử dụng khi có nhìn thấy thanh địa chỉ màu đỏ hoặc màu vàng; đặc biệt cần đảm bảo thanh địa chỉ luôn bắt đầu là https:// (bảo mật cao hơn) thay vì http://.

    Trong trường hợp 2 chủ thẻ thanh toán mất tiền do bị cướp SIM điện thoại vừa qua đều rơi vào tình huống kẻ gian biết rõ về thông tin thẻ/cá nhân chủ thẻ. Do đó, chỉ cần giành được SIM điện thoại là có thể giao dịch qua Internet bằng mã số OTP (gửi đến điện thoại). Dạng mật khẩu dùng một lần này chỉ an toàn khi chủ thẻ chắc chắn số điện thoại của mình “không bao giờ” bị cướp.

    Ông Võ Đỗ Thắng, Giám đốc Trung tâm Quản trị và An ninh mạng Athena cho biết, khi sử dụng giao dịch ngân hàng, cần tăng cường bảo mật thông tin cá nhân như số thẻ, email và số điện thoại đăng ký với ngân hàng. Đây là câu chuyện bảo mật thông tin cá nhân cơ bản nhất mà chủ thẻ phải nhớ để ngăn ngừa các hành vi đánh cắp tài khoản.

    Đó là chưa kể đến việc doanh nghiệp kinh doanh trên mạng thường bỏ bớt các thủ tục bảo mật. Vừa qua, một vài ngân hàng cũng cho biết khi triển khai giải pháp thanh toán trực tuyến với một số doanh nghiệp thương mại điện tử đã thất bại. Nguyên nhân chính là do các doanh nghiệp này không đồng ý áp dụng hình thức xác thực 2 bước bao gồm mật khẩu cấp riêng và mã số OTP.

    Trong hai vụ mất tiền kể trên, một số ngân hàng trong hệ thống cổng thanh toán Smartlink đã bỏ đi bước xác thực bằng số PIN. Khi đó, các giao dịch trên Internet được thực hiện chỉ dựa vào mật khẩu dùng một lần OTP nên trở nên kém an toàn.

    Lỗ hổng bảo mật ATM
    Theo nhận định của một số chuyên gia bảo mật thì mật khẩu dùng để truy cập Internet Banking rất quan trọng, không thể bỏ qua bước xác thực này. Khi đăng ký sử dụng Internet Banking, chủ thẻ sẽ được ngân hàng cấp mật khẩu (PIN) nhằm xác thực khi giao dịch trên mạng.

    Trong trường hợp chủ thẻ ATM bị mất tiền do cướp đoạt SIM, nghi can đã sử dụng mã số thẻ ATM để mua hàng hoá thông qua cổng thanh toán Smartlink. Khi sử dụng cổng thanh toán này, một số ngân hàng muốn đơn giản hoá thủ tục nên bỏ qua bước xác thực bằng số PIN. Chỉ cần biết được mật khẩu dùng một lần (One-Time-Password) thì kẻ gian đã có thể thanh toán hàng chục triệu đồng.

    Nếu kết hợp 2 bước xác thực bằng OTP + PIN thì kẻ gian cho dù biết được mật khẩu OTP nhưng sẽ không thể biết được số PIN. Số PIN là mật khẩu do chủ thẻ tạo ra và tự nhớ - giống như mật khẩu thường dùng cho email. Một số ngân hàng đang áp dụng hình thức bảo mật này cho các giao dịch/thanh toán điện tử qua Internet.

    Như ngân hàng Techcombank cung cấp SMS Token áp dụng hình thức xác thực trên 2 yếu tố. Thứ nhất là mật khẩu do khách hàng tạo ra, thứ hai là mã số xác thực OTP do hệ thống ngân hàng sinh ra ngẫu nhiên và gửi đến số điện thoại đã đăng ký. Các thủ tục giao dịch trực tuyến cũng không thay đổi: Ngay khi phát sinh giao dịch, ngân hàng sẽ gửi mã số OTP đến số điện thoại đăng ký tại ngân hàng; chủ thẻ cần nhập mật khẩu + mã số OTP để hoàn tất giao dịch.

    Còn Tập đoàn MK cung cấp hình thức bảo mật KeyPass OTP với mã số xác thực được sinh ra từ thiết bị xác thực Token. Với Token luôn giữ bên người, chủ thẻ sẽ tăng cường bảo mật cho tài khoản của mình so với khi xác thực bằng OTP ngẫu nhiên được ngân hàng gửi đến điện thoại di động.

    Một số ngân hàng khác như ACB, HSBC… có thêm hình thức xác thực bằng mật khẩu người dùng kết hợp với mã số OTP gửi đến điện thoại. Như ngân hàng ACB cho phép khách hàng lựa chọn việc giao dịch thông qua hình thức xác thực qua SMS OTP hoặc OTP Token. Sau khi nhận mật khẩu OTP qua điện thoại di động, chủ thẻ cần dùng mật khẩu đăng nhập vào hệ thống ACB cùng với OTP mới có thể hoàn tất giao dịch.

    Nhược điểm của SMS OTP
    Trong trường hợp mất tiền vừa qua của 2 chủ thẻ ở TP.HCM và Hà Nội, các giao dịch trên Internet chỉ có mã số OTP được gửi qua điện thoại, không có mật khẩu người dùng (người dùng tự nhớ) nên kém an toàn hơn so với một số giải pháp sử dụng thiết bị Token để sinh mã số OTP hoặc kết hợp với mật khẩu người dùng.

    Ngoài ra, nếu như hệ thống mạng viễn thông bị chậm, quá tải... hay vì lý do gì đó mà tin nhắn SMS gửi OTP đến chậm thì giao dịch dựa vào SMS OTP (gửi qua điện thoại) sẽ không thực hiện được. Trong các ngày lễ, Tết hay ở khu vực hệ thống mạng di động chưa phủ sóng tốt có thể phát sinh lỗi nghẽn mạng và giao dịch bất thành.

    Hiện nay, do tiết kiệm chi phí đầu tư một số doanh nghiệp chỉ sử dụng hình thức xác thực qua tên người dùng (user name), mật khẩu dùng một lần (OTP). Danh tính người dùng dễ dàng bị lộ khi người dùng đăng nhập trên Internet, tham gia các hoạt động trên mạng xã hội hoặc diễn đàn… Còn OTP sẽ mất an toàn khi chủ thẻ bị cướp SIM.

    Công ty Misoft, nhà cung cấp giải pháp bảo mật nhấn mạnh đến yếu tố xác thực 2 thành phần - Two-Factor Authentication. Trên thế giới đã sử dụng nhiều hình thức xác thực này với các thiết bị phát sinh mã số xác thực (Token).
    Chủ thẻ cần hội đủ 2 yếu tố là mật khẩu sinh ra từ Token và mã số xác thực OTP do ngân hàng gửi đến số điện thoại di động. Nếu thiếu 1 trong 2 yếu tố này thì không thể thực hiện các giao dịch qua Internet. Tuy nhiên, người dùng sẽ phát sinh thêm chi phí cho việc mua Token.
    Vì an toàn cho tài khoản ngân hàng, người tiêu dùng cần bảo mật tốt thông tin cá nhân và sử dụng dịch vụ thanh toán điện tử của ngân hàng có hình thức xác thực chặt chẽ hơn. Dù có phải chi thêm tiền cho thiết bị Token nhưng số tiền trong tài khoản của bạn sẽ trở nên an toàn hơn!

    PC World VN, 9/2013

    Từ khóa: bảo mật
    ID: A1309_27