Góc nhìn công nghệ bảo mật vụ khách hàng Vietcombank “bốc hơi” 406 triệu trong vài phút

Công nghệ số Tài chính Ngân hàng

Khách hàng ngân hàng  Vietcombank “bốc hơi” gần nửa tỷ trong vài phút khiến cộng đồng hoang mang. CEO BAKV Nguyễn Tử Quảng chia sẻ dưới góc nhìn công nghệ bảo mật.

Gần đây, mạng xã hội “nổi sóng” thông tin tài khoản một khách hàng của ngân hàng Vietcombank tài bị đánh cắp 406 triệu VNĐ chỉ trong vài phút, khiến dư luận hết sức quan ngại về tính bảo mật của ngân hàng này, cụ thể:

Ông Trần Việt Luận, ngụ quận Thủ Đức (TP HCM) cho biết tài khoản tại Ngân hàng Ngoại thương Việt Nam (Vietcombank) phát sinh 4 giao dịch chuyển khoản vào trưa 4/9. Vì không nhận được tin nhắn thông báo mã xác thực, biến động số dư qua điện thoại nên ông không phát hiện cho đến khi ra ngân hàng giao dịch vào chiều cùng ngày.

Theo vị khách hàng này, 04 giao dịch không phải mình trực tiếp thực hiện và cũng không biết đối tượng thụ hưởng là ai. Ông cho biết trước đó không cung cấp, chia sẻ tên truy cập dịch vụ hay mật khẩu VCB Digibank cho bất cứ ai.

Trong công văn trả lời ông Luận sau đó, phía Vietcombank cho biết việc đăng nhập tài khoản trên thiết bị mới và thực hiện 4 giao dịch chuyển tiền hoàn toàn hợp lệ. Nhà mạng Vinaphone cũng xác nhận ngân hàng gửi tổng cộng 8 tin nhắn xác thực và biến động số dư đến điện thoại ông Luận.

Cụ thể, lúc 11h, hệ thống ghi nhận yêu cầu kích hoạt ứng dụng Digibank từ tài khoản ông Luận trên thiết bị mới. Đối tượng thực hiện giao dịch đã nhập đúng tên truy cập, mật khẩu và mã xác thực (OTP lần 1) gửi đến điện thoại.

Hai phút sau, hệ thống ghi nhận thao tác kích hoạt tính năng SmartOTP trên ứng dụng và đối tượng cũng nhập chính xác mã xác thực (OTP lần 2). Tiếp đó, đối tượng thực hiện 2 yêu cầu chuyển khoản 89 triệu đồng tới người thụ hưởng Pham Lan Anh tại Ngân hàng Đông Nam Á (SEA Bank) và nhập đúng mã xác thực.

Chủ tịch Bkav Nguyễn Tử Quảng chia sẻ dưới góc độ công nghệ bảo mật từ vụ việc xảy ra tại Vietcombank

Sau khi thực hiện thành công hai giao dịch chuyển tiền bằng phương thức xác thực OTP qua tin nhắn điện thoại, tính năng xác thực bằng SmartOTP trên thiết bị mới có thể được sử dụng. Vì thế, lúc 11h07, đối tượng chuyển 317 triệu đồng tới tài khoản Vo Khoa Tuan tại Ngân hàng TMCP Hàng hải Việt Nam (MSB) thông qua hai giao dịch.

Chủ tịch Bkav Nguyễn Tử Quảng, chia sẻ dưới góc độ công nghệ bảo mật từ vụ việc nêu trên: Dư luận quan tâm đến vụ việc một chủ tài khoản Vietcombank bị đánh cắp 406 triệu VNĐ chỉ trong vài phút. Với tôi thì sự việc này là điều không ngạc nhiên. Trong một năm qua, chúng tôi biết đã có nhiều vụ việc tương tự và với nhiều ngân hàng khác nhau, không chỉ Vietcombank.

Theo nhận định của tôi, hacker đã khai thác điểm yếu của công nghệ xác thực SMS OTP. Có 2 cách để khai thác điểm yếu của công nghệ này: Cách thứ nhất hacker lừa nạn nhân nhập mã SMS OTP vào một website giả mạo; Cách thứ hai lừa nạn nhân cài phần mềm gián điệp chiếm quyền điều khiển của thiết bị di động.Trong trường hợp này, khách hàng là người chịu thiệt khi bị hacker qua mặt bằng các thủ đoạn tinh vi.

Để khắc phục những trường hợp lừa đảo như thế này, tôi kiến nghị phải hạ thấp hạn mức giao dịch xuống, tiến tới loại bỏ công nghệ SMS OTP tại các ngân hàng ở Việt Nam giống như một số nước phát triển đang áp dụng.

Về phía người dùng, các bạn cần cài đặt phần mềm diệt virus trên máy tính để chống đánh cắp dữ liệu website và cài phần mềm chống mã độc trên thiết bị di động của mình để ngăn chặn các phần mềm gián điệp, chiếm quyền kiểm soát điện thoại.

Nguồn đọc: Phan Huy/Doanh nghiệp & Đầu tư
https://doanhnghiepvadautu.net.vn/goc-nhin-cong-nghe-bao-mat-vu-khach-hang-vietcombank-boc-hoi-406-trieu-trong-vai-phut/

Bạn đang truy cập mạng xã hội THUONGHIEUMOI.VN - Diễn đàn thông tin thương hiệu Việt Nam. Hãy đăng ký thành viên để tham gia cùng chia sẻ các thông tin, kiến thức về các thương hiệu với đầy đủ tính năng hơn nhé. Hòm thư hỗ trợ info.thuonghieumoi@gmail.com - Hotline: 035.280.5678

Trả lời

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *