Chiều 4/10, báo chí đưa tin một chủ tài khoản Vietcombank phát hiện bị “bốc hơi” 406 triệu đồng trong tài khoản. Theo thông tin được đăng tải, tài khoản của nạn nhân được xác định có 4 giao dịch phát sinh, lần lượt chuyển toàn bộ số tiền bị mất nói trên đến các tài khoản thuộc 2 ngân hàng khác trong vòng 7 phút. Chủ tài khoản khẳng định, bản thân không thực hiện các giao dịch trên và cũng không biết người thụ hưởng là ai.
Mấu chốt của vấn đề là, trong khi nạn nhân cho biết không hề nhận được tin nhắn thông báo mã xác thực, biến động số dư bằng SMS qua điện thoại như thông lệ, phía ngân hàng cho biết đã ghi nhận 4 giao dịch chuyển khoản nói trên đều hợp lệ và đã có 8 tin nhắn được gửi đến số điện thoại của chủ tài khoản.
Một điểm đáng lưu ý khác, theo Vietcombank tài khoản trên ứng dụng VCB Digibank của nạn nhân đã được kích hoạt trên một thiết bị khác và thực hiện lệnh chuyển tiền trong khi chủ tài khoản khẳng định không cung cấp, chia sẻ tên truy cập dịch vụ hay mật khẩu VCB Digibank cho bất cứ ai.
Nhận định về vấn đề này, một chuyên gia về công nghệ thông tin chia sẻ: “Hacker đã khai thác điểm yếu của công nghệ xác thực SMS OTP. Có 2 cách để khai thác điểm yếu của công nghệ này: Cách thứ nhất hacker lừa nạn nhân nhập mã SMS OTP vào một website giả mạo; Cách thứ hai lừa nạn nhân cài phần mềm gián điệp chiếm quyền điều khiển của thiết bị di động.”
Hacker có thể dễ dàng khai thác lỗ hổng nguyên nhân cũng là đều do sự không cẩn thận của nạn nhân, bị hacker lừa đảo theo một kịch bản đã có sẵn, hoặc cài một phần mềm có thể khai thác được tin nhắn OTP. Từ đó có thể thực hiện các giao dịch giả mạo.
Giải pháp hiện tại, các bạn lưu ý khi tải các ứng dụng không rõ nguồn gốc trên mạng, nhất là các ứng dụng yêu cầu cấp quyền truy cập SMS như ảnh dưới. Không nhập mã OTP vào bất kỳ một website nào không rõ ràng, không được cung cấp bởi ngân hàng và các dịch vụ tài chính hợp pháp. Ngoài ra cài đặt các ứng dụng bảo mật, chống đánh cắp dữ liệu, chống mã độc, chiếm quyền điều khiển…Cảnh báo lỗ hổng bảo mật từ công nghệ xác thực SMS OTP.
Giải pháp Vbee Voice xác thực OTP – lấp đầy lỗ hổng bảo mật OTP
Vbee Voice OTP là dịch vụ gọi thoại tự động gửi mã xác thực OTP ứng dụng công nghệ giọng nói trí tuệ nhân tạo tiên phong tại Việt Nam, được sử dụng trong các dịch vụ trực tuyến cần bảo mật thông tin tối đa như đăng nhập, đăng ký tài khoản, chuyển khoản và thanh toán online, nạp tiền,….
Giọng nói trong cuộc gọi được tạo ra hoàn toàn tự động từ văn bản bằng công nghệ chuyển đổi văn bản thành giọng nói Vbee (Text To Speech) mà không cần thu âm.
Khi sử dụng dịch vụ Vbee Voice OTP, mã OTP chỉ được thông báo khi người nhận nhấc máy, đồng thời việc nghe cuộc gọi cũng giúp phương thức này trở nên riêng tư và an toàn hơn rất nhiều so với hình thức SMS/email thông thường.
Bên cạnh tăng cường bảo mật, Vbee Voice OTP còn nhiều ưu điểm vượt trội khác nhau như tiết kiệm, tốc độ tiếp cận siêu nhanh, đồng thời giúp tăng tính chủ động cho doanh nghiệp bạn. Cụ thể, giá trọn gói cho mỗi cuộc gọi chỉ từ 149 đồng, tiết kiệm 50% chi phí so với SMS OTP. Chi phí chỉ phát sinh khi cuộc gọi thành công.
Cuộc gọi gửi mã OTP của Vbee được thực hiện tự động ngay lập tức với tỉ lệ tiếp cận ổn định 100%, trong khi đó SMS OTP chỉ từ 10-20% do nhà mạng kiểm duyệt gắt gao hơn. Bên cạnh việc có thể bị nhầm là tin nhắn spam, SMS có thể bị trễ nếu nhà mạng quá tải, nhưng Voice OTP không bị trễ vì nhà mạng ưu tiên cuộc gọi nối máy rất cao. Số cuộc gọi trong một thời điểm là không giới hạn, đồng thời có thể gọi lại nếu người dùng bận hoặc chưa nhấc máy.
Đặc biệt, Vbee Voice OTP có khả năng tùy chỉnh cá nhân hóa nội dung cuộc gọi OTP 1 cách dễ dàng theo nhu cầu mà không bị kiểm duyệt bởi nhà mạng, giúp gia tăng nhận diện thương hiệu cho doanh nghiệp bạn. Sử dụng Vbee Voice OTP, doanh nghiệp cũng có thể kiểm soát thông tin khách hàng nhận cuộc gọi dễ dàng dựa vào báo cáo chi tiết theo thời gian thực (đã nghe, máy bận, số không xác thực,…) và file ghi âm nội dung cuộc gọi.
