Tin liên quan

Có OTP, khách hàng vẫn bị “cướp” tiền

Chuyên gia an ninh mạng giải thích, sử dụng OTP (One Time Password) người dùng vẫn bị mất tiền đó là do điện thoại bị hacker theo dõi. Thủ đoạn của hacker là cài mã độc vào điện thoại khi nhận mật khẩu OTP để thực hiện 1 giao dịch thanh toán hay chuyển khoản thì tin tặc sẽ cướp ngay mật khẩu OTP đó và thực hiện hành vi trộm tiền.

Cụ thể hơn, khách hàng tham gia giao dịch trực tuyến sử dụng phương thức SMS OTP này được cấp tài khoản gồm UserID, Password tĩnh. Khi thực hiện mua bán, chuyển khoản, ứng dụng giao dịch trực tuyến sẽ yêu cầu khách hàng nhập mã OTP để xác nhận. Mã này được ứng dụng giao dịch trực tuyến gửi đến điện thoại di động của khách hàng qua tin nhắn SMS (tuỳ từng hệ thống quản lý mà SMS OTP có thể được thiết lập có hiệu lực trong một khoảng thời gian nhất định). Nếu điện thoại của người dùng bị nhiễm phần mềm gián điệp như Keylogger có thể bị đánh cắp UserID, Password khi nhập thông tin, tin tặc có thể nhanh chóng lấy được số OTP, thực hiện giao dịch mà chủ thể quản lý không hề biết.

Mobile Banking vẫn tiềm ẩn nguy cơ không an toàn

Bên cạnh hình thức tấn công qua SMS OTP, hacker còn đưa khách hàng vào các trang giao dịch giả mạo có giao diện giống hệt trang giao dịch thật để lấy cắp thông tin. Trang giả mạo này sẽ là “cầu nối” giữa khách hàng và ngân hàng (hình thức này gọi là Man in the middle). Ví dụ khi khách hàng thực hiện giao dịch chuyển khoản, trang giả mạo sẽ đánh cắp tất cả những thông tin khách hàng nhập vào, sau đó tự động chỉnh sửa các thông tin như số tiền, số tài khoản người nhận trước khi thực hiện giao dịch với trang giao dịch thật của nhà cung cấp dịch vụ mà khách hàng không hề biết.

Làm cách nào để giao dịch an toàn?

Hiện cả nước có khoảng hơn 30 ngân hàng với khoảng 1 triệu người đăng ký ngân hàng điện tử, rất nhiều người sử dụng smartphone để thực hiện giao dịch.  Khi đăng ký tài khoản và thực hiện giao dịch, người dùng nên lựa chọn mật khẩu an toàn. Một mật khẩu được coi là tốt nếu có các yếu tố như: dài ít nhất 08 ký tự, có chữ hoa, chữ thường, có số, có ký tự đặc biệt như @#$

Bên cạnh đó, một số lưu ý khi lựa chọn mật khẩu như không dùng tên, số điện thoại hay ngày sinh của bạn để làm mật khẩu, nên dùng các mật khẩu khác nhau cho các website thanh toán khác nhau.

Người dùng cần tăng cường bảo mật cho điện thoại

Các chuyên gia an ninh khuyến cáo người dùng không nên chia sẻ thông tin đăng nhập website thanh toán hay số thẻ thanh toán với bất kỳ ai. Khi nhận được email hay điện thoại của ai đó yêu cầu bạn cung cấp thông tin thanh toán như: tên đăng nhập và mật khẩu, số thẻ… với bất kỳ lý do gì, cũng cần phải trực tiếp xác thực lại với ngân hàng phát hành thẻ hoặc website thanh toán bằng cách gọi điện đến số điện thoại chăm sóc khách hàng của ngân hàng hoặc website thanh toán và hỏi rõ lí do. 

Đồng thời sử dụng công cụ phát hiện và lọc các website lừa đảo, cài các phần mềm diệt virus và được cập nhật thường xuyên để bảo vệ và tiêu diệt các phần mềm mã độc như trojan, keylogger… trước khi thực hiện bất kỳ giao dịch trực tuyến nào.

Thu Thủy (TH)