Tiến sĩ Jonathan Crellin và Tiến sĩ Nguyễn Ngọc Thành, giảng viên Khoa Khoa học và Công nghệ của Đại học RMIT Việt Nam có những nhận định xung quanh tính rủi ro của phương pháp bảo mật này.

Các ngân hàng khi giới thiệu Internet banking luôn đề cao tính bảo mật nhưng nhiều chủ tài khoản vẫn bị mất tiền, đặc biệt liên tục gần đây nhiều người bỗng nhiên thấy bốc hơi hàng trăm triệu đồng trong tài khoản mà họ không thực hiện giao dịch. Ông đánh giá điều này ra sao?

Tiến sỹ Jonathan Crelin: Mobile banking, Internet banking, hay ngân hàng trực tuyến là xu hướng tất yếu trong thời đại 4.0. Cách đây 10 năm các ngân hàng ở các nước tiên tiến đã triển khai các trụ sở không giao dịch tiền mặt, yêu cầu khách hàng phải giao dịch chuyển tiền qua Internet banking và nhận hay nộp tiền mặt qua máy ATM.

"Không thể loại trừ hoàn toàn các rủi ro trong hoạt động giao dịch ngân hàng online, chúng ta nên chuẩn bị tinh thần để sống chung với nó".

Thế hệ đầu của ngân hàng trực tuyến được thiết kế rất chặt chẽ với mặc định giao dịch xác thực 2 hoặc 3 lớp bằng thiết bị tạo token bỏ túi (pocket token, Hard OTP). Người dùng đăng nhập vào trang web của ngân hàng bằng tài khoản cá nhân gồm tên đăng nhập và mật khẩu, sau đó đăng nhập tiếp bằng OTP (mật khẩu sử dụng một lần) sinh ra từ pocket token. Các thiết bị này cũng được bảo vệ bằng mã PIN giúp nâng cao độ an toàn thêm một mức.

Ở một số nước như Mỹ chẳng hạn, các giao dịch mua bán trực tuyến thường được thực hiện bằng thẻ tín dụng. Trong khi các giao dịch chuyển tiền được thực hiện qua dịch vụ trung gian như PayPal. Ngân hàng và khách hàng của họ do đó ít khi phải đối mặt với những tình huống như ở Việt Nam. Dù vậy, các vụ mất tiền qua thẻ tín dụng đều được ngân hàng hoặc tổ chức phát hành thẻ tín dụng bồi thường. Khách hàng phần nhiều không phải chịu những tổn thất này.

Tiến sỹ Nguyễn Ngọc Thành: Ở Việt Nam, các phiên bản đầu tiên của ngân hàng trực tuyến cũng sử dụng bộ giao thức giao dịch xác thực 2 hoặc 3 lớp bằng thiết bị tạo token bỏ túi. Tuy nhiên, có lẽ do giá thành cao và kém sự tiện dụng của thiết bị tạo token đã khiến cho phương pháp được coi là an toàn này bị thay thế bởi các hình thức xác thực rẻ tiền và tiện lợi hơn như SMS OTP (qua tin nhắn) hay Soft OTP (OTP dùng phần mềm trên điện thoại thông minh).

Nói vậy để thấy rằng, việc sử dụng SMS OTP hay Soft OTP thay cho Hard OTP đã là một sự thoả hiệp giữa tính tiện lợi và tính bảo mật. Soft OTP có thể an toàn hơn SMS OTP nhưng một khi đã là phần mềm cài đặt trên điện thoại thông minh có kết nối Internet, Soft OTP sẽ tiềm ẩn nhiều nguy cơ.

Thực tế, không có một phương pháp bảo mật nào là tuyệt đối hoàn hảo.

Vậy đâu là cách thức hacker vượt qua lớp bảo mật ngân hàng để lấy tiền của chủ tài khoản?

Tiến sỹ Nguyễn Ngọc Thành: Đây là câu hỏi thú vị. Là người ngoài cuộc chúng ta chỉ có thể suy đoán dựa trên những thông tin đã công khai mà chúng ta có được. Hiện nay các kỹ thuật social engineering (tấn công bằng cách dụ dỗ người dùng thay vì bằng kỹ thuật) và cài phần mềm gián điệp (mã độc, malware...) trên điện thoại là các kỹ thuật có thể đánh cắp mã OTP của người dùng (cả SMS OTP và Soft OTP).

Social engineering để đánh cắp OTP nghe phi lý nhưng ở Việt Nam không ít người đã là nạn nhân. Riêng năm ngoái công an thành phố Qui Nhơn và Hà Nội đã bắt vài nhóm chuyên dụ dỗ nạn nhân đọc mã OTP gửi tới tin nhắn hoặc phần mềm OTP trên máy của nạn nhân. 

Tội phạm đã đóng giả giả làm nhân viên ngân hàng thông báo giao dịch lỗi và yêu cầu đọc mã OTP để xác minh. Trong các trường hợp khác, tội phạm giả vờ báo nạn nhân đã trúng thưởng và yêu cầu nạn nhân đọc mã OTP để hoàn tất giao dịch. Táo tợn hơn, có vụ tội phạm còn yêu cầu nạn nhân nói vợ chuyển lại tiền vào tài khoản của nạn nhân để tội phạm ăn cắp một lần luôn thể vì số tiền còn lại trong tài khoản còn quá ít. Và nạn nhân vẫn tự nguyện đọc mã OTP cho tội phạm.

Còn việc bị dính phần mềm gián điệp trên điện thoại là khá phổ biến khi ở Việt Nam nhiều người hay cài những ứng dụng không rõ nguồn gốc mà không qua AppStore hay PlayStore.

Tiến sỹ Jonathan Crelin: Apple và Google hằng năm tốn rất nhiều chi phí để kiểm tra các ứng dụng phân phối trên nền tảng của họ giúp đảm bảo rằng các ứng dụng này không chứa mã độc hại và đánh cắp thông tin của người dung. Tuy nhiên, thỉnh thoảng họ vẫn để lọt lưới một vài ứng dụng. Việc cài đặt ứng dụng không thông qua AppStore hay PlayStore, người dùng đã tự đặt mình vào thế khó.

Một khi điện thoại của người dùng bị dính ứng dụng độc hại, ứng dụng này có thể chiếm quyền điều khiển điện thoại của nạn nhân như đọc và xoá tin nhắn để nạn nhân không phát hiện, truy cập bộ nhớ để đánh cắp các dữ liệu khác, kích hoạt camera để chụp hình và quay phim cũng như thu âm nghe lén.

Lúc này, dù cho hệ thống bảo mật của ngân hàng có tốt cách mấy cũng khó lòng bảo vệ được khách hàng. Tuy nhiên, ngân hàng có thể cung cấp cho phía công an các dữ liệu như ngày giờ truy cập hệ thống, địa chỉ IP của máy dùng để truy cập, tài khoản đích cũng như các thông tin khác giúp cơ quan công an nhanh chóng tìm ra thủ phạm.

Thông thường, để thực hiện chuyển tiền cần phải vượt nhiều lớp bảo mật, đặc biệt là cần SMS OTP xác thực mới có thể thực hiện được. Nhưng vụ việc gần đây chủ tài khoản không nhận được mã OTP để thực hiện giao dịch nhưng tiền vẫn bốc hơi?

Tiến sỹ Nguyễn Ngọc Thành: Thực tế, phía hạ tầng của ngân hàng luôn được bảo mật rất cao, hiếm khi hacker có thể tấn công vào được hệ thống lõi của ngân hàng. Các vụ tấn công chủ yếu xảy ra ở phía khách hàng. 

Hiện tại, đa số các ngân hàng ở Việt Nam đều áp dụng xác thực 2 bước, phổ biến nhất là sử dụng tài khoản đăng nhập và mật khẩu sử dụng 1 lần thông qua tin nhắn (SMS OTP) hoặc phần mềm OTP (Soft OTP). Nói vậy để thấy rằng, phía khách hàng vẫn là phía dễ tổn thương nhất trong toàn bộ quy trình bảo mật khắt khe của giao dịch ngân hàng trực tuyến.

Tiến sỹ Nguyễn Ngọc Thành

Giao dịch ngân hàng trực tuyến hiện nay thực chất không bảo mật hơn khi đăng nhập Gmail hoặc Facebook nếu đã bật tính năng xác thực 2 bước.

Trong vụ việc xảy ra vừa rồi, tội phạm có khả năng đã đọc được tin nhắn của nạn nhân thông qua mã độc cài trên điện thoại của nạn nhân và dùng tin nhắn này để kích hoạt ứng dụng Internet Banking và cả ứng ứng dụng OTP trên máy của chúng. Thông thường nếu dùng SMS OTP giới hạn giao dịch một ngày chỉ là 100 triệu đồng. Trong trường hợp này, số tiền bị chuyển đi là hơn 400 triệu đồng giúp ta suy đoán là tội phạm đã dùng ứng dụng Soft OTP thay vì SMS OTP.

Đây cũng là một kẽ hở khi mà SMS OTP giới hạn số tiền giao dịch nhưng nếu dùng SMS OTP để kích hoạt và xác nhận chuyển sang Soft OTP thì hạn mức được tăng lên gấp 10 lần.

Việc hacker nắm được OTP liệu có liên quan đến tính bảo mật không chắc chắn từ phía ngân hàng? Hay lỗi của khổ chủ?

Tiến sỹ Jonathan Crelin: Trong số 3 loại OTP dùng trong ngân hàng phổ biến hiện nay là OTP thông qua tin nhắn, OTP thông qua phần mềm (Soft OTP), OTP thông qua thiết bị tạo token (Hard OTP) thì SMS OTP dễ tổn thương với tấn công mạng nhất.

Điểm yếu của SMS OTP không phải nằm ở việc nó không có tính chống chối bỏ (non-repudiation), một thuật ngữ ám chỉ việc người dùng không thể chối bỏ việc mình đã xác nhận giao dịch bằng cách nhập mã gửi đến số điện thoại của mình. Về mặt này, SMS OTP và các loại OTP khác là giống nhau.

SMS OTP bản thân nó có nhiều điểm yếu khác. Có 3 lỗ hổng mà tội phạm có thể khai thác trên SMS OTP đó là: social engineering, SIM swapping (tráo đổi SIM), Signalling System No 7 (SS7). Tráo đổi SIM cũng tương tự như social engineering, tội phạm sẽ giả vờ là chủ sở hữu của số điện thoại của nạn nhân, sau đó gọi điện lên nhà cung cấp dịch vụ điện thoại hoặc thậm chí ra cả cửa hàng yêu cầu được đổi sim mới. Chiêu thức này đã thành công ở nhiều nước và Việt Nam. Ngay cả CEO của Twitter cũng đã từng là nạn nhân của chiêu thức này.

Tin nhắn có thể bị đọc lén nếu tội phạm lợi dụng lỗ hổng SS7. Mặc dù SS7 là nền tảng cho điện thoại di động và các nhà khai thác mạng của nó, nhưng tính bảo mật của thiết kế hoàn toàn dựa vào sự tin tưởng. Lỗ hổng của SS7 cho phép tội phạm đánh cắp dữ liệu, nghe trộm, đánh chặn văn bản và theo dõi vị trí của thuê bao di động.

Cuối cùng, việc sử dụng tin nhắn trong giao dịch giữa ngân hàng với khách hàng đã vô hình trung liên quan tới bên thứ 3 đó là các nhà mạng. Việc gửi mật khẩu dù chỉ để sử dụng một lần ra ngoài cũng đã tiềm ẩn nhiều nguy cơ. 

Vì những lý do này, Liên Minh Châu Âu gần đây đã ban hành chỉ thị trong giao dịch thanh toán (PSD2) trong đó đã loại hình thức SMS OTP ra khỏi danh mục xác thực được phép sử dụng.

Gần đây, chữ ký số nổi lên như một phương pháp ưu việt trong bảo mật giao dịch trực tuyến. Tuy nhiên, giá thành cao cộng quá trình giao dịch phức tạp đã khiến cho phương pháp này chưa được phổ biến. Giá thuê bao chữ ký số mỗi năm hiện nay lên tới gần 2 triệu đồng Việt Nam. Hiện tại ở Việt Nam ngay cả một số ngân hàng lớn vẫn chưa triển khai phương pháp này.

Ông có cho rằng những vụ việc mất tiền gần đây có tạo ra nỗi lo sợ cho những người đang sở hữu tài khoản lo lắng hay là vẫn tiếp tục đặt niềm tin vào tính bảo mật từ phía ngân hàng?

Tiến sỹ Jonathan Crelin: Như đã nói ở trên, việc sử dụng SMS OTP đã là một sự thoả hiệp giữa tính an toàn và tính tiện dụng. Mỗi ngày, mỗi giờ hàng ngàn tỉ đồng được giao dịch trên internet banking. Và lâu lâu chúng ta lại nghe thấy có những sự cố về an ninh.

Nếu chia trung bình thì tỉ lệ này rất rất nhỏ trên tổng giá trị giao dịch. Đổi lại, mỗi khách hàng phải mua một thiết bị tạo token giá 1 triệu đồng, giả định số lượng khách hàng của một ngân hàng là 1 triệu thì chi phí là một con số khổng lồ.

Hoặc nếu sử dụng chữ ký số, mỗi khách hàng phải trả gần 2 triệu đồng mỗi năm. Nó lớn hơn nhiều so với thiệt hại mà chúng ta ghi nhận được cho tới nay khi sử dụng SMS OTP.

Tôi nghĩ rằng trong khi không thể loại trừ hoàn toàn các rủi ro trong hoạt động giao dịch ngân hàng online, chúng ta nên chuẩn bị tinh thần để sống chung với nó. Các ngân hàng có thể thiết lập các thiết chế bảo hiểm qua giao dịch trực tuyến. Qua đó giúp nâng cao niềm tin của khách hàng đối với xu thế tất yếu của ngân hàng trực tuyến hiện nay.

Nhiều người cho rằng, có lẽ cần sử dụng cả điện thoại thông minh, và điện thoại "cùi bắp", ý nói điện thoại này không thể kết nối Internet để bảo vệ mình. Họ lý giải, sử dụng điện thoại cùi bắp để nhận mã OTP, và lấy mã này nhập vào ứng dụng cài đặt trên điện thoại thông minh để chuyển tiền. Theo ông phương pháp này có an toàn?

Tiến sỹ Jonathan Crelin: Như đã nói ở trên có 2 kỹ thuật tấn công lấy mã OTP. Hacker có thể "dụ dỗ" người dùng tiết lộ mã OTP bằng nhiều chiêu thức khác nhau. Và điều này thì không phụ thuộc vào việc sử dụng điện thoại thông minh hay điện thoại thường. Chưa kể, điện thoại phổ thông hầu hết đều hỗ trợ J2ME một dạng "hệ điều hành" thô sơ, hacker có thể dụ người dùng cài mã độc vào điện thoại để ăn cắp mã OTP như trên điện thoại thông minh.

Dưới góc độ là một chuyên gia, ông có lời khuyên nào cho chủ tài khoản? Còn các ngân hàng nên làm gì để tăng tính an toàn?

Tiến sỹ Jonathan Crelin: Ngân hàng có thể bắt đầu lộ trình thay thế SMS OTP bằng các loại OTP có tính an toàn cao hơn (như Hard OTP và Soft OTP) và cả việc xem xét sử dụng chữ ký điện tử, nhận diện khuôn mặt, hoặc các yếu tố sinh trắc học khác trong giao dịch ngân hàng. Tuy nhiên, các kỹ thuật này cần thời gian để triển khai và không có gì đảm bảo rằng chúng sẽ tuyệt đối an toàn.

Ví dụ, kẻ gian có thể tìm cách chiếm đoạt thiết bị tạo chữ ký số (USB Token) và dùng nó giả mạo người dùng để thực hiện giao dịch trực tuyến. Lúc này, tính chống chối bỏ của chữ ký số cũng sẽ trở nên vô dụng.

Ngân hàng cũng có thể yêu cầu khách hàng mỗi lần kích hoạt cài đặt Soft OTP hoặc ứng dụng Internet banking phải ra phòng giao dịch thay vì cho phép thực hiện qua tin nhắn. Ngoài ra, tính năng cảnh báo truy cập như của Google và Facebook cũng có thể được tính hợp nâng cao tính bảo mật của tài khoản ngân hàng. Tính năng này sẽ thông báo cho khách hàng bất cứ khi nào có phiên đăng nhập trên thiết bị lạ hoặc từ địa chỉ IP bất thường như từ nước ngoài. Đôi khi, kẻ gian đã đột nhập thành công nhưng lúc đó tài khoản nạn nhân chưa có tiền nên chúng sẽ chờ đợi lúc tài khoản có tiền mới ra tay hành động.

Về phía khách hàng, việc thường xuyên cập nhật kiến thức về bảo mật, tuân theo các khuyến cáo an toàn của ngân hàng cũng như các cơ quan hữu quan thì mọi việc sẽ ổn, không cần quá lo lắng. Hãy học cách sống chung và đối mặt thay cho tránh né bởi vì giao dịch trực tuyến sẽ là phương thức thống trị trong thời đại chúng ta đang sống và rất lâu sau này nữa trước khi con người có thể phát minh ra cái gì đó thông minh hơn và tiện lợi hơn.