Cảnh báo nguy cơ mất tiền oan từ tin nhắn OTP

Thứ 4, 07.10.2020 | 08:44:39
411 lượt xem

Cộng đồng Whitehat (hacker mũ trắng) vừa cảnh báo có nhiều nạn nhân bị đánh cắp tiền trong tài khoản ngân hàng dựa trên khai thác điểm yếu của phương pháp bảo mật SMS OTP.

Bài viết trên Whitehar đề cập tới tình trạng một vài chủ tài khoản ngân hàng đã trở thành nạn nhân bị đánh cắp số tiền lớn, có người lên tới vài trăm triệu đồng, mà không hề hay biết.

Mấu chốt của vấn đề là trong khi nạn nhân cho biết không hề nhận được tin nhắn thông báo mã xác thực, biến động số dư bằng SMS qua điện thoại như thông lệ, nhưng các giao dịch chuyển khoản bằng một cách nào đó vẫn diễn ra hợp lệ sau khi chấp nhận mã OTP (không xuất hiện) trên điện thoại của chủ tài khoản.

Người dùng tuyệt đối không cung cấp mã OTP cho bất kỳ ai. (Ảnh minh họa: ICT News)

Lỗ hổng bảo mật từ tin nhắn OTP

Một trường hợp cụ thể đã diễn ra chiều ngày 4/10, khi nhiều trang tin rộ lên sự việc một chủ tài khoản ngân hàng phát hiện mình bị "bốc hơi" hơn 400 triệu đồng trong tài khoản.

Theo thông tin được đăng tải, tài khoản của nạn nhân được xác định có 4 giao dịch phát sinh, lần lượt chuyển toàn bộ số tiền bị mất nói trên đến các tài khoản thuộc 2 ngân hàng khác trong vòng 7 phút. Chủ tài khoản khẳng định bản thân không nhận được thông báo, không thực hiện các giao dịch trên và cũng không biết người thụ hưởng là ai.

Theo Whitehat, lỗ hổng ở đây chính là điểm yếu công nghệ trong phương thức xác thực SMS OTP, nơi mà kẻ xấu đã lợi dụng điều này để tấn công lừa đảo (còn gọi "phishing") mà nạn nhân không hề hay biết.

Phishing (tấn công giả mạo) là hình thức tấn công mạng mà kẻ tấn công giả mạo thành một đơn vị uy tín để lừa đảo người dùng cung cấp thông tin cá nhân. (Ảnh minh họa: KT)Có 2 kịch bản được Whitehat đề cập, cho phép hacker có thể dựng lên để lừa người sử dụng như sau: Đầu tiên, kẻ xấu sẽ lừa nạn nhân nhập mã OTP vào một website giả mạo (ngân hàng, dịch vụ chuyển tiền…) để chiếm mã OTP, từ đó tạo ra giao dịch chuyển tiền giả mạo. Thứ hai, kẻ xấu sẽ lừa nạn nhân cài đặt một phần mềm gián điệp trên điện thoại. Phần mềm này sẽ theo dõi tất cả thông tin, trong đó có tin nhắn SMS chứa mã OTP và các thông tin đăng nhập vào ứng dụng Mobile Banking. Một khi lấy được các thông tin này, hacker sẽ có thể tạo ra các giao dịch chuyển tiền giả mạo.

Thủ đoạn lừa đảo ngày càng tinh vi

Mới đây, ví điện tử MoMo cũng cảnh báo thủ đoạn kẻ gian giả danh nhân viên của MoMo gọi điện, nhắn tin từ số điện thoại lạ thông báo trúng thưởng lớn, rồi yêu cầu người dùng hoàn tất thủ tục nhận thưởng bằng cách cung cấp các thông tin bảo mật của tài khoản (mật khẩu đăng nhập, mã xác thực (OTP), số thẻ ngân hàng) "để đối chiếu thông tin".

Theo MoMo, một số người dùng ví điện tử MoMo phản ánh họ đã bị mất tiền bằng thủ đoạn lừa đảo để đánh cắp mã OTP như trên.

Tương tự, Ngân hàng TMCP Sài Gòn (SCB) vừa cảnh báo gần đây có một số đối tượng giả danh cán bộ, nhân viên gọi điện thoại, nhắn tin, email tư vấn khách hàng mở thẻ tín dụng, thẻ khách hàng thân thiết hạn mức 30 triệu đồng, miễn lãi suất trong 3 năm…

Khách hàng chỉ cần thanh toán phí 300.000 đồng rồi cung cấp, xác nhận thông tin qua điện thoại; thẻ sẽ được giao tận nhà qua đường bưu điện. Sau khi đóng phí, nhận thẻ xong nhưng không sử dụng được, khách hàng mới biết bị lừa.

Thủ đoạn này được nhiều ngân hàng liên tục cảnh báo trong những ngày gần đây. Tuy nhiên, do một số khách hàng ít quan tâm, bỏ sót thông tin nên mới bị kẻ gian lừa đảo, chiếm đoạt tài sản. Thủ đoạn phổ biến gần đây là lừa khách hàng mở thẻ tín dụng không lãi suất và thu phí phát hành thẻ hoặc quảng cáo nhận hồ sơ mở thẻ tín dụng qua các trang mạng, ứng dụng mạng xã hội (Facebook, Zalo) rồi thu phí người dùng…

Thủ đoạn mới nhất, các đối tượng lừa đảo còn giả danh nhân viên tuyển dụng của một số công ty để gọi điện khai thác thông tin người dùng.

Nhiều ngân hàng khẳng định mật khẩu và mã OTP là tài sản của người dùng nên không có bất kỳ quy trình nào hay bất cứ ai có quyền yêu cầu người dùng cung cấp mã xác thực này. Nếu có chắc chắn là hành vi lừa đảo.

Để đối phó với tình trạng này, các chuyên gia bảo mật đưa lời khuyên rằng đối với người sử dụng, cần cảnh giác trước các chiêu thức tấn công lừa đảo của kẻ xấu, đồng thời chuẩn bị sẵn phương án đối phó. Những biện pháp tự phòng vệ khả dĩ nhất được đưa ra đó là kiểm tra kỹ tên miền của website, không tải về các ứng dụng thanh toán lạ, không dùng mạng Wi-fi công cộng,... để thực hiện giao dịch trực tuyến.

Ngoài ra, người dùng nên cài đặt phần mềm diệt virus trên máy tính để chống đánh cắp dữ liệu website và cài phần mềm chống mã độc trên thiết bị di động để ngăn chặn các phần mềm gián điệp, chiếm quyền kiểm soát điện thoại./.

(Theo vov.vn)

Ý kiến ()

0 / 500 ký tự
Đang tải dữ liệu

Tin cùng chuyên mục

Tin tặc mạo danh Microsoft và Google để gài bẫy người dùng

Tin tặc mạo danh Microsoft và Google để gài bẫy người dùng

Theo báo cáo từ Check Point Research’s Q3 Phishing, các cuộc tấn công mạo danh dưới tên của Microsoft và Google đang gia tăng.
2 giờ trước
29 lượt xem
Ra mắt smartphone rẻ nhất thế giới có hỗ trợ kết nối 5G

Ra mắt smartphone rẻ nhất thế giới có hỗ trợ kết nối 5G

Sau nhiều lời đồn đoán, Motorola đã chính thức ra mắt Moto G 5G và được quảng cáo là smartphone giá phải chăng đầu tiên có hỗ trợ kết nối không dây thế hệ tiếp theo, hay 5G.
2 ngày trước
63 lượt xem
iPhone 12 thua hầu hết các điện thoại Android cao cấp về nhiếp ảnh

iPhone 12 thua hầu hết các điện thoại Android cao cấp về nhiếp ảnh

Trang web chuyên đánh giá khả năng nhiếp ảnh của smartphone DxOMark vừa công bố kết quả mới nhất của mình đối với camera trên chiếc iPhone 12 mà Apple vừa phát hành ra thị trường.
3 ngày trước
70 lượt xem
Tại sao iPhone 12 chưa thể kết nối mạng 5G tại Việt Nam?

Tại sao iPhone 12 chưa thể kết nối mạng 5G tại Việt Nam?

Cho tới lúc này, iPhone 12 series chưa thể kết nối với mạng 5G thử nghiệm thương mại tại Việt Nam.
3 ngày trước
281 lượt xem
Mách bạn cách mua smartphone giá rẻ

Mách bạn cách mua smartphone giá rẻ

​Nếu đang có ý định mua sắm cho mình một chiếc điện thoại giá rẻ vào dịp mua sắm cuối năm này, người dùng nên chú ý những điểm sau.
7 ngày trước
107 lượt xem
Apple chỉ thu 15% phí Apple Store cho các nhà phát triển

Apple chỉ thu 15% phí Apple Store cho các nhà phát triển

Mức giảm 1/2 so với tiêu chuẩn 30% phí hiện tại trên tất cả doanh thu ứng dụng phải trả phí và mua hàng trong kho ứng dụng.
8 ngày trước
102 lượt xem