Một nghiên cứu của hãng bảo mật Kaspersky năm 2022 cho kết quả 74% người dùng Việt Nam thích Mã xác thực OTP (mật khẩu dùng một lần) qua SMS cho mọi giao dịch điện tử. Thế nhưng, những chiêu trò lừa đảo gần đây cho thấy nhiều điểm yếu của mã OTP.
Các chiêu lừa đều nhắm đến OTP
Mã OTP hiện đang được đông đảo người dùng Việt sử dụng như là bước xác thực thứ hai (sau mật khẩu) khi đăng nhập một tài khoản dịch vụ mạng (email, mạng xã hội, OTT…) hoặc khi muốn thực hiện một giao dịch (thanh toán, chuyển tiền…). Nó được xem là yếu tố bảo mật cuối cùng trước khi việc đăng nhập tài khoản hoặc lệnh giao dịch được thực thi. Điều này khiến mã OTP thành đích ngắm của tội phạm mạng.
Rất nhiều trò lừa đảo gần đây đều nhắm đến việc thu thập mã OTP của người dùng: dọa khóa SIM do chưa chuẩn hóa thông tin thuê bao; mạo danh ngân hàng thu thập thông tin; phát tán tin nhắn mạo danh ngân hàng; giả mạo website của các doanh nghiệp, ngân hàng, sàn giao dịch điện tử…; giả danh công an, viện kiểm sát, tòa án; chuyển nhầm tiền vào tài khoản ngân hàng; dịch vụ lấy lại tài khoản Facebook, Telegram…
Chúng đều có điểm chung là dụ nạn nhân cung cấp mã OTP để chiếm đoạt tài khoản hoặc thực thi một lệnh chuyển tiền.
Táo tợn hơn, gần đây còn xuất hiện cả chiêu lừa cài app giả mạo hòng chiếm quyền điều khiển điện thoại từ xa. Từ đó, tội phạm mạng có thể âm thầm thực hiện các thao tác chuyển tiền. Không ít người dùng đã bị mất hàng tỉ đồng.
“Các vụ tấn công này đã phần nào cho thấy điểm yếu của hệ thống xác thực sử dụng OTP” – ông Vũ Ngọc Sơn, giám đốc công nghệ Công ty an ninh mạng NCS, nói và cho hay OTP thường được sử dụng thành yếu tố thứ hai trong các giao dịch xác thực hai yếu tố, trong đó yếu tố đầu tiên là mật khẩu.
Tuy nhiên, thông thường người sử dụng sẽ dùng điện thoại giao dịch cũng là điện thoại chứa SIM nhận mã OTP hay chứa email nhận mã OTP. Điều này khiến cho nếu thiết bị bị kiểm soát, hacker sẽ có cả hai yếu tố để thực hiện xác thực một giao dịch hoàn chỉnh.
Trao đổi với Tuổi Trẻ, ông Steven Shceurman, phó chủ tịch phụ trách khu vực Đông Nam Á Công ty Palo Alto Networks – công ty an ninh mạng có trụ sở tại Mỹ, cho biết tại Việt Nam, xác thực OTP được sử dụng rộng rãi bởi các doanh nghiệp và người dùng, trên nhiều nền tảng và ngành nghề khác nhau, với bốn loại OTP phổ biến nhất bao gồm SMS OTP (tin nhắn), Voice OTP (giọng nói), Token (thiết bị xác thực) và Smart OTP (mã xác thực thông minh, thường tích hợp trong các ứng dụng).
“Tuy nhiên, mức độ bảo mật của OTP vẫn còn là một câu hỏi. Về lý thuyết, vì người dùng có thể kiểm soát thiết bị hoặc số điện thoại liên kết với tài khoản nên quá trình này sẽ ngăn chặn tình trạng truy cập trái phép vào tài khoản. Tuy nhiên, phương pháp này cũng có những sai sót. Với việc tin tặc ngày càng tinh vi hơn, khó có thể nói OTP là đủ để bảo mật an toàn cho người dùng và doanh nghiệp”, ông Steven Shceurman nói.
Có giải pháp nào an toàn hơn?
Theo nhiều chuyên gia bảo mật, nhận thấy điểm yếu của OTP, một số giải pháp đã được đưa ra, trong đó có giải pháp tách số điện thoại/email nhận OTP ra một điện thoại vật lý khác với điện thoại được thực hiện giao dịch, hoặc giải pháp sử dụng ứng dụng smart OTP cài trên một điện thoại khác. Điều này đã được nhiều người dùng. Tuy nhiên, đa số lại cho rằng giải pháp này bất tiện khi phải dùng nhiều thiết bị khác nhau.
Theo ông Vũ Ngọc Sơn, giải pháp đang được người dùng yêu thích hơn cả là sử dụng xác thực sinh trắc học – theo đó các giao dịch ngoài mã OTP, mật khẩu thì cần có thêm xác thực khuôn mặt hoặc vân tay. Đây cũng là giải pháp được nhiều chuyên gia khuyến nghị.
“Tuy nhiên, trên thực tế, ngoài các giao dịch ngân hàng còn rất nhiều giao dịch khác như dịch vụ công trực tuyến, dịch vụ mua bán trực tuyến cũng đang sử dụng OTP là hình thức xác thực chủ đạo. Thiết bị giao dịch theo đó cũng đa dạng hơn, từ smartphone, tablet đến máy tính, không phải lúc nào hình thức xác thực bằng sinh trắc học cũng có sẵn trên các thiết bị này”, ông Sơn nói.
Ông Sơn cũng cho biết gần đây các nghiên cứu mới cho thấy giải pháp sử dụng chữ ký số cá nhân hoặc thiết bị xác thực sinh trắc học chuyên dụng độc lập là một hướng đi mới để thay thế OTP. Điểm mạnh của giải pháp này là an toàn hơn, nhưng điểm yếu là hiện tại các hệ thống công nghệ thông tin chưa thể tích hợp ngay, cũng như chi phí của người dùng bỏ ra sẽ lớn hơn so với hình thức xác thực OTP hiện nay.
“Vì vậy, các giải pháp xác thực mới sẽ phù hợp với các giao dịch quan trọng, có giá trị lớn; còn xác thực OTP vẫn thích hợp với các giao dịch mang tính thường xuyên, giá trị không cao”, ông Sơn khuyến nghị.
Đã có giải pháp mạnh hơn
Giải pháp thay thế OTP, theo ông Đỗ Ngọc Duy Trác, tổng giám đốc Công ty an ninh mạng VinCSS, xác thực không mật khẩu là công nghệ duy nhất hiện nay giải quyết trọn vẹn cả ba khía cạnh của xác thực, đó là an toàn, chi phí hợp lý và mang lại trải nghiệm tốt cho người dùng.
Một trong những ứng dụng phổ biến của công nghệ nêu trên là công nghệ Passkeys theo chuẩn của Liên minh xác thực trực tuyến thế giới (FIDO). Passkeys là một phương pháp xác thực mới được đề xuất bởi Apple, Google và Microsoft nhằm thay thế mật khẩu truyền thống. Passkeys sử dụng công nghệ khóa công khai (public key) để xác thực người dùng.
Cụ thể, mỗi người dùng sẽ có một cặp khóa gồm: khóa công khai (public key) được lưu trên ứng dụng xác thực như Google Password Manager và được chia sẻ với các website; khóa bí mật (private key) được lưu trữ bảo mật trong thiết bị của người dùng như điện thoại, máy tính.
Khi đăng nhập, người dùng không cần nhập mật khẩu, mà ứng dụng xác thực sẽ tự động ký và gửi khóa công khai tới website. Website sau đó sử dụng khóa công khai để mã hóa dữ liệu và gửi trả lại. Ứng dụng xác thực của người dùng sẽ giải mã dữ liệu bằng khóa bí mật và xác thực người dùng.
Passkeys hiện đã được tích hợp sẵn trên nhiều thiết bị chạy hệ điều hành Android và iOS, MacOS. Người dùng có thể kích hoạt Passkeys từ chương trình quản lý tài khoản của mình (Google) hoặc trên điện thoại iPhone. Thao tác kích hoạt rất đơn giản. Sau đó, người dùng có thể đăng nhập bằng cách xác thực vân tay, khuôn mặt, mã pin trên điện thoại hoặc bấm xác nhận trên thiết bị đã đăng ký mà không cần phải nhập mật khẩu như trước kia.
Passkeys được đánh giá là một giải pháp xác thực mạnh hơn mật khẩu và sẽ đóng vai trò quan trọng trong tương lai.
Nhiều giải pháp hạn chế rủi ro
Theo các chuyên gia bảo mật, đối với người dùng, việc không chia sẻ OTP là vô cùng quan trọng nếu không muốn trở thành nạn nhân của các giao dịch lừa đảo. Do đó, hãy luôn chắc chắn rằng các mã OTP chỉ riêng bạn thấy, chỉ riêng bạn dùng, không có thêm bất kỳ một người thứ hai nào khác. Đồng thời, trước khi quyết định nhập mã OTP vào bất kỳ trang thông tin hay ứng dụng nào cũng đều nên kiểm tra tính chính chủ và mức độ đáng tin cậy của trang.
Bên cạnh đó, khi nhận được một đường link từ nguồn không rõ hoặc không quen thuộc, đừng nhấp ngay mà kiểm tra xem link có xuất phát từ một nguồn đáng tin cậy hay không.
Ngoài ra, bạn nên sử dụng phần mềm chống malware (mã độc) và chống phishing (lừa đảo) để bảo vệ thiết bị của mình, hạn chế tối đa các nguy cơ có thể xảy ra bất kỳ lúc nào.
VN-Tek