Ngân hàng nên dừng SMS OTP nếu không muốn khách hàng mất tiền oan

2016 không khởi đầu suôn sẻ với ứng dụng xác thực phổ biến OTP qua SMS. Dù vẫn được sử dụng rộng rãi khi đăng nhập và giao dịch như một phần của quá trình xác thực hai bước (2FA), SMS OTP từ lâu được xem là dễ bị tấn công bởi tội phạm mạng.

Tại Nam Phi, cố vấn tòa án David Klatzow cáo buộc ít nhất một ngân hàng lớn của Nam Phi đã đặt khách hàng trước nguy cơ bị lừa đảo khi gắn bó với SMS OTP (mật khẩu cấp 1 lần qua SMS). Klatzow khẳng định các ngân hàng còn dùng công nghệ này phải chịu trách nhiệm cho những mất mát do lừa đảo (phishing). Điều này đặt ra cuộc tranh luận sôi nổi trên truyền thông, báo chí về trách nhiệm, đứng về phía các nạn nhân và chuyên gia bảo mật chống lại các ngân hàng và nhà mạng bị tố che đậy lừa đảo tráo SIM nội bộ.

Ông lên tiếng sau khi phát hiện các điều tra viên của FNB, một trong bốn ngân hàng lớn nhất nước, không thể xác định được nguyên nhân vì sao tài khoản của Gail Jacklin lại bị hack vào đầu tháng 1/2016 và “bốc hơi” 300.000 ZAR (gần 500 triệu đồng). “Chúng ta cần ngân hàng nhận thức được trách nhiệm đối với khách hàng thay vì mua chuộc họ để che giấu sự thật trước mắt công chúng”.

Tại Úc, mọi thứ đi từ tệ đến tệ hơn chỉ trong vài tuần. Đầu tháng 2 năm nay, Cơ quan quản lý truyền thông Úc (ACMA) đưa tin các khách hàng ngân hàng tại Úc và New Zealand đang là đối tượng của các tin nhắn SMS lừa đảo chứa các đường dẫn URL đến những website mobile banking giả mạo. Kẻ lừa đảo sẽ thu hoạch thông tin đăng nhập bằng các phương thức tấn công man-in-the-middle (MITM), về cơ bản là xem trộm các tin nhắn giữa người dùng và ngân hàng.

Trong 2FA trên nền SMS, một người dùng Internet banking phải xác thực việc đăng nhập hoặc giao dịch bằng cách nhập mã OTP được gửi đến điện thoại. Phương thức này từng được xem là có thể bảo vệ trước MITM cho đến khi các chuyên gia bảo mật nhận ra tin nhắn văn bản có khả năng bị can thiệp dễ dàng. Nếu một thiết bị bị xâm phạm vì người dùng vô tình tải ứng dụng độc hại hay mã độc về máy, kẻ xấu dễ dàng lệnh cho mã độc theo dõi tin nhắn, trong đó có các tin chứa mã OTP trên điện thoại đó. Để chứng minh, một nhà báo của BBC đã sử dụng SIM tráo phi pháp để lấy mã SMS OTP và truy cập một tài khoản tại NatWest (Anh).

Bất chấp một thập kỷ cảnh báo về lỗ hổng của hệ thống 2FA nền SMS, nhiều tổ chức tài chính vẫn sử dụng chúng. Các hãng viễn thông Úc đã hối thúc ngân hàng không dùng SMS cho xác thực từ năm 2012 nhưng không có hiệu quả. Ngày nay, sau khi một vụ tấn công mã độc quy mô lớn vừa bị phát giác, quan điểm đó nên thay đổi ngay. Ngày 9/3, hãng phần mềm diệt virus ESET cảnh báo 20 ngân hàng tại Úc, New Zealand và Thổ Nhĩ Kỳ đang là mục tiêu của một cuộc tấn công tinh vi.

Vũ khí được sử dụng là Android/Spy.Agent.SI, được ngụy trang như một phiên bản của ứng dụng Adobe Flash mà người dùng bị lừa tải về từ các website nhiễm độc hay các kho ứng dụng không phép (tốt nhất bạn chỉ nên tin tưởng App Store và Google Play). Trojan ẩn mình trong nền cho đến khi người dùng mở ứng dụng mobile banking. Sau đó, nó tạo một màn hình đăng nhập giả để xem thông tin đăng nhập của người dùng. Được thiết kế đặc biệt để vượt qua xác thực hai bước nền SMS, trojan này chuyển tiếp tất cả OTP đến hacker mà người dùng và cả ngân hàng không hề hay biết. Chỉ khi kiểm tra số dư, họ mới nhận thức được mình đã bị mất tiền.

Ngoài ra, một trojan khác cũng tấn công người dùng tại ít nhất 6 ngân hàng của Úc và 1 tại Nga là Xbot. Được phát hiện bởi Palo Alto Networks, trojan có trong tay rất nhiều chiêu trò, một trong số đó là giả mạo các trang đăng nhập của ứng dụng mobile banking và can thiệp vào SMS OTP. Cách tiếp cận tương tự cũng được sử dụng bởi trojan SlemBunk mà FireEye lật tẩy năm 2015. Nó bắt chước các ứng dụng ngân hàng hợp pháp của 33 tổ chức tại Bắc Mỹ, châu Âu và châu Á – Thái Bình Dương. Chưa hết, Kaspersky đang theo dõi Asacub, mã độc tập trung vào các ngân hàng tại Nga và châu Âu, lan truyền qua tin nhắn rác. Symantec báo cáo Android.Bankosy đã phát triển vượt ra ngoài khuôn khổ SMS OTP. Hiện tại, nó có thể đánh cắp OTP được gửi qua tin nhắn thoại thông qua tính năng chuyển cuộc gọi.

Mọi thứ đang thay đổi rất nhanh chóng. Những vụ tổn thất tài chính từ các cuộc tấn công này vẫn chưa được biết nhiều nhưng tổn thất trước mắt là chắc chắn và vĩnh viễn: đó là mất niềm tin vào SMS OTP như một biện pháp bảo mật. Đây là thời điểm các ngân hàng cần tăng cường bảo vệ người dùng với các giải pháp khác để tránh bị khai thác như trên.