Mã xác thực OTP và những rủi ro tiềm ẩn
Khác với mật khẩu thông thường, mã xác thực OTP được tạo ra ngẫu nhiên không phải từ người dùng, chỉ sử dụng được một lần và sau đó không còn tác dụng. Nhưng không phải vì vậy mà nó không có những lỗ hổng.
Theo các ngân hàng trên địa bàn tỉnh, mã xác thực OTP là một dạng mật khẩu sử dụng một lần với một chuỗi số hoặc một chuỗi kết hợp cả số với ký tự. Mã này có thể tồn tại trong một khoảng thời gian rất ngắn trước khi vô tác dụng và được thay thế bằng một mã mới. Với những lợi thế như vậy, OTP được sử dụng khá phổ biến như là lớp bảo vệ thứ hai cho các tài khoản ngân hàng điện tử, thanh toán trực tuyến, email hay mạng xã hội. Khi muốn chuyển tiền hay thực hiện một giao dịch trực tuyến, ngoài tên tài khoản và mật khẩu đăng nhập, người dùng còn phải thực hiện thao tác nhập đúng mã xác thực OTP để hoàn tất.
Đây thực sự là điều cần thiết trong thời đại an toàn thông tin luôn được đặt lên hàng đầu. Ngay cả khi tin tặc ăn cắp được thông tin tài khoản và mật khẩu, đặc biệt trong lĩnh vực tài chính, thì các hoạt động giao dịch chuyển tiền gian lận đều không thể thực hiện nếu như không có mã OTP. Ở thời điểm hiện tại có hai cách phổ biến để người dùng có thể nhận mã OTP. Đầu tiên, thông qua thiết bị hoặc ứng dụng tạo mã. Thứ hai, được gửi trực tiếp từ nhà cung cấp dịch vụ thông qua tin nhắn điện thoại hoặc email.
Thế nhưng, những chiêu trò lừa đảo gần đây cho thấy nhiều điểm yếu của mã OTP. Rất nhiều trò lừa đảo đều nhắm đến việc thu thập mã OTP của người dùng: dọa khóa sim điện thoại do chưa chuẩn hóa thông tin thuê bao; mạo danh ngân hàng thu thập thông tin; phát tán tin nhắn mạo danh ngân hàng; giả mạo website của các doanh nghiệp, ngân hàng, sàn giao dịch điện tử; giả danh công an, viện kiểm sát, tòa án; chuyển nhầm tiền vào tài khoản ngân hàng; dịch vụ lấy lại tài khoản Facebook, Telegram... Chúng đều có điểm chung là dụ nạn nhân cung cấp mã OTP để chiếm đoạt tài khoản hoặc thực thi một lệnh chuyển tiền.
Táo tợn hơn, gần đây còn xuất hiện cả chiêu lừa cài app giả mạo hòng chiếm quyền điều khiển điện thoại từ xa. Từ đó, tội phạm mạng có thể âm thầm thực hiện các thao tác chuyển tiền. Các vụ tấn công này đã phần nào cho thấy điểm yếu của hệ thống xác thực sử dụng OTP.
Anh Phạm Văn Khánh, phường Hưng Thành (TP Tuyên Quang) chia sẻ: Anh hay chơi game, nên khi có cuộc gọi thông báo là bạn game ở nước ngoài gửi bưu phẩm về tặng thì anh tưởng thật. Qua cuộc điện thoại họ nói vì món quà là một chiếc đồng hồ có giá trị hơn 10 triệu đồng nên bảo anh phải đăng nhập thông tin vào đường link họ gửi và làm theo các bước để xác minh thông tin xem có đúng là người được nhận hay không.
Kết thúc cuộc điện thoại anh có làm theo một vài bước như điền họ tên, địa chỉ và số điện thoại vào link họ gửi. Nhưng đến bước thứ 2 phải nhập các thông tin trên căn cước công dân và chụp ảnh khuôn mặt để xác minh nên anh vội thoát và xóa đường link khỏi điện thoại của mình. 30 phút sau anh lại nhận được cuộc điện thoại giục thực hiện nốt các thao tác, thấy anh không muốn thực hiện bọn chúng lại dụ anh nhấn kết thúc và nhận mã OTP rồi đọc cho bọn chúng xác minh giúp. Thấy giống đối tượng lừa đảo nên anh liền tắt máy.
Từ đầu năm đến nay, các ngân hàng trên địa bàn tỉnh đã kịp thời phát hiện và ngăn chặn kịp thời hàng chục giao dịch lừa đảo người dân chuyển tiền với tổng số tiền trên 3 tỷ đồng. Theo ông Vũ Giang Nam, Giám đốc LPBank Tuyên Quang, để tránh bị các đối tượng lừa đảo qua mạng, người dân cần chủ động bảo mật thông tin tài khoản ngân hàng, thông tin cá nhân và luôn cảnh giác trước tin nhắn, số điện thoại lạ. Không nên truy cập vào các đường link lạ.
Trước khi chuyển tiền cho người thân hoặc bạn bè, cần gọi điện cho người đó trước nhằm xác nhận nội dung chuyển tiền, phòng trường hợp đối tượng giả mạo người thân, bạn bè để lừa đảo. Đặc biệt, không được cung cấp tên đăng nhập, mật khẩu truy cập, mã OTP cho người khác, ngay cả khi nhận được yêu cầu từ người tự xưng là nhân viên ngân hàng. Mọi thắc mắc, nghi ngờ về thông tin tài khoản cá nhân của mình và tài khoản của người nhận, người dân cần trực tiếp đến các ngân hàng để được kiểm tra, hỗ trợ, giải đáp.
Các ngân hàng thương mại khác như BIDV Tuyên Quang, VietinBank Tuyên Quang, Agribank tỉnh, MB Bank Tuyên Quang, SHB Tuyên Quang, HD Bank Tuyên Quang cũng khuyến cáo khách hàng của mình không chia sẻ mã OTP với người khác. Do đó, hãy luôn chắc chắn rằng các mã OTP chỉ riêng bạn thấy, chỉ riêng bạn dùng. Đồng thời trước khi quyết định nhập mã OTP vào bất kỳ trang thông tin hay ứng dụng nào cũng đều nên kiểm tra tính chính chủ và mức độ đáng tin cậy của trang.