Mã OTP hiện đang được đông đảo người dùng Việt sử dụng như là bước xác thực thứ hai (sau mật khẩu) khi đăng nhập một tài khoản dịch vụ mạng (email, mạng xã hội, OTT...) hoặc khi muốn thực hiện một giao dịch (thanh toán, chuyển tiền...). Nó được xem là yếu tố bảo mật cuối cùng trước khi việc đăng nhập tài khoản hoặc lệnh giao dịch được thực thi. Điều này khiến mã OTP thành đích ngắm của tội phạm mạng.
Một nghiên cứu của hãng bảo mật Kaspersky năm 2022 cho kết quả 74% người dùng Việt Nam thích mật khẩu dùng một lần (OTP) qua SMS cho mọi giao dịch điện tử. Thế nhưng, những chiêu trò lừa đảo gần đây cho thấy nhiều điểm yếu của mã OTP.
Theo Tracy C. Kitten, giám đốc bộ phận chống gian lận và bảo mật tại Javelin Strategy & Research, OTP qua SMS dễ bị kẻ gian tấn công thông qua nhiều phương tiện như phishing, SIM swapping và đánh cắp tin nhắn, ngay cả khi bạn vẫn đang cầm điện thoại.
Rất nhiều trò lừa đảo gần đây đều nhắm đến việc thu thập mã OTP của người dùng: dọa khóa SIM do chưa chuẩn hóa thông tin thuê bao; mạo danh ngân hàng thu thập thông tin; phát tán tin nhắn mạo danh ngân hàng; giả mạo website của các doanh nghiệp, ngân hàng, sàn giao dịch điện tử...; giả danh công an, viện kiểm sát, tòa án; chuyển nhầm tiền vào tài khoản ngân hàng; dịch vụ lấy lại tài khoản Facebook, Telegram... Chúng đều có điểm chung là dụ nạn nhân cung cấp mã OTP để chiếm đoạt tài khoản hoặc thực thi một lệnh chuyển tiền. Táo tợn hơn, gần đây còn xuất hiện cả chiêu lừa cài app giả mạo hòng chiếm quyền điều khiển điện thoại từ xa. Từ đó, tội phạm mạng có thể âm thầm thực hiện các thao tác chuyển tiền. Không ít người dùng đã bị mất hàng tỉ đồng.
Ảnh minh họa. Nguồn vneconomy.vn |
Việc nhận thức được các dạng OTP khác nhau và các rủi ro bảo mật tương đối so với lợi ích mà mỗi loại mang lại ngày càng trở nên quan trọng khi tội phạm mạng đang có xu hướng tinh vi hơn. Kinh nghiệm cho thấy các phương thức xác thực luôn có lỗ hổng, nhưng một số phương pháp được coi là mạnh hơn những phương pháp khác. Nói như Ant Allan, phó chủ tịch phân tích tại Gartner Research: "Không có phương pháp xác thực nào là hoàn hảo".
Một kỹ thuật đánh cắp tin nhắn phổ biến là SIM swapping hay hoán đổi SIM. Thông thường, các nhà mạng cung cấp dịch vụ tiện lợi giúp khách hàng đổi số điện thoại từ SIM này sang SIM khác trong trường hợp mất điện thoại hoặc thẻ SIM. Bằng kỹ thuật này, kẻ tấn công sẽ lợi dụng việc này để chuyển số điện thoại của nạn nhân sang thẻ SIM do chúng kiểm soát. Điều này thường được thực hiện thông qua các phương thức mạo danh hoặc ăn cắp thông tin cá nhân.
Các chuyên gia bảo mật cho biết một lựa chọn tốt hơn, mặc dù cũng không phải là giải pháp tối ưu, là sử dụng ứng dụng xác thực, như Google Authenticator hoặc Microsoft Authenticator, trên thiết bị di động. Allan cho biết các ứng dụng xác thực vẫn có thể dễ bị một số loại tấn công như "adversary in the middle (AITM)" nhưng chúng vẫn an toàn hơn SMS.
Gần đây, các nghiên cứu mới cho thấy giải pháp sử dụng chữ ký số cá nhân hoặc thiết bị xác thực sinh trắc học chuyên dụng độc lập là một hướng đi mới để thay thế OTP.