Tóm tắt sự việc theo giải thích của Vietcombank:
Sáng 5-8, khi thức dậy, chị Hoàng Thị Na Hương ở Cầu Giấy, Hà Nội phát hiện tài khoản cá nhân của mình tại Vietcombank mất 500 triệu đồng, thông qua 7 giao dịch chuyển tiền sang một số thẻ khác trong đêm.
Vietcombank giải thích trên Vnexpress rằng: “Việc mất tiền trong tài khoản xảy ra do khách hàng bị đánh cắp thông tin tài khoản vì trước đó đã truy cập và khai báo thông tin trên đường link giả mạo website ngân hàng”.
Tôi tạm tin Vietcombank, rằng chị Na Hương bị mất tên truy cập và mật khẩu đăng nhập tài khoản internet banking.
Vậy còn bước xác thực thứ hai, là mã OTP (mật khẩu dùng một lần cho từng giao dịch). Phải nhập mã này vào ô xác thực mã OTP thì lệnh chuyển tiền mới thực hiện được. Có hai hình thức nhận mã OTP.
Một là, nhận mã OTP qua tin nhắn SMS, tức hệ thống Vietcombank gửi mã OTP đến số điện thoại của chủ thẻ. Số điện thoại này phải là số đã được chủ thẻ đăng ký dịch vụ SMS banking. Hacker không thể nhận được mã OTP qua tin nhắn SMS được, đơn giản vì chúng không có điện thoại của chị Na Hương.
Vậy là chỉ còn cách thứ hai, nhận mã OTP qua phần mềm smartOTP được cài trên điện thoại di dộng. Ông Đào Minh Tuấn, phó tổng giám đốc Vietcombank, nói rằng, khách hàng trước đó đã được chuyển đổi từ dạng nhận OTP qua tin nhắn SMS sang “Smart OTP”.
Theo kiểu nói của Vietcombank thì, sở dĩ chị Hương không nhận được mã OTP vì Vietcombank không bắt buộc thiết bị di động cài SmartOTP phải là số điện thoại đã đăng ký với ngân hàng. Điều này nghĩa là khi truy cập được tài khoản internet banking của chị Na Hương, hacker có thề đăng ký số điện thoại của chúng để nhận mã OTP qua phần mềm smartOTP. Nhờ đó, chúng có thể chuyển tiền trót lọt. (Cái này đúng hay sai, hãy đọc đoạn phân tích dưới)
Nói vậy nghĩa là, cái gọi là mã OTP – lớp mật khẩu thứ hai trong giao dịch của Vietcombank hoàn toàn vô nghĩa. Nếu vậy thì thật là kinh hoàng. Bảo mật của Vietcombank ngô nghê chả có từ nào diễn tả nổi.
Và khách hàng giao tiền cho Vietcombank giữ chỉ đơn giản là Vietcombank sử dụng số tiền ấy. Còn giữ được hay bị trộm mất là việc của khách hàng!?
• Thực tế như sau:
1. Khách hàng đăng nhập tài khoản internet banking bằng tên truy cập và mật khẩu thông thường. Đây là lớp bảo mật thứ nhất (Hình 1).
2. Khi thực hiện giao dịch chuyển tiền, khách hàng phải tiếp tục nhập mã OTP để xác thực giao dịch – đây là lớp bảo mật thứ hai. Để thực hiện giao dịch, khách hàng chọn hình thức nhận mã OTP. Nếu chọn nhận mã OTP qua phần mềm smartOTP, phải tải phần mềm smartOTP về điện thoại (Hình 2).
3. Bước tiếp theo là đăng ký smartOTP và kích hoạt dịch vụ. Theo hướng dẫn trên chính website của Vietcombank, số điện thoại đăng ký smartOTP và kích hoạt dịch vụ phải là số điện thoại mà chủ tài khoản đã dùng để sử dụng dịch vụ SMS banking. Nghĩa là, nó vẫn phải là số điện thoại của chị Na Hương, chứ không thể là số điện thoại của hacker.(Hình 3).
4. Sau đó, để sử dụng phần mềm smartOTP, người dùng phải nhập số điện thoại đã đăng ký OTP. Đây là quy định bắt buộc thể hiện rõ trên phần mềm này. Nghĩa là, hacker không thể dùng số điện thoại của hacker để khởi động phần mềm smartOTP nhằm nhận mã OTP cho giao dịch chuyển tiền của tài khoản chị Na Hương. Trừ trường hợp chị Na Hương nhắn tin hacker là mã kích hoạt smartOTP của em đây, các anh xài đi. Hehe. (Hình 4).
Đến đây thì mọi người hãy tự đặt câu hỏi xem, chị Na Hương mất 500 triệu đồng có phải do chị bất cẩn hay không?
—–
Lý do thực sự tôi không suy đoán. Bài viết này chỉ phản biện giải thích về mã OTP.
ST
Posted by Việt Anh
Post a Comment