Những dấu hỏi quanh vụ mất nửa tỷ đồng trong tài khoản

Nếu thực sự chị Na Hương vào website giả mạo và bị dẫn dụ nộp không thông tin, cả quyền kích hoạt Smart OTP cho tin tặc thì nhiều chuyên gia cho rằng, Vietcombank cũng cần có trách nhiệm với quy trình bảo mật chưa chặt chẽ.

Khách hàng đã thao tác gì trên website giả mạo

Nhiều chuyên gia cho rằng có thể tin tặc đã chiếm quyền kiểm soát tài khoản Internet Banking tại Vietcombank của khách hàng từ ngày 28/7, chứ không chờ đến đêm 3/8, rạng sáng 4/8 - khi các giao dịch chuyển tiền thực hiện. Vì vậy khi bị mất tiền, chị mới không nhận được tin nhắn OTP từ ngân hàng.

Theo Vietcombank, chị Na Hương (Cầu Giấy, Hà Nội) đã truy cập vào một website giả mạo từ ngày 28/7 - tức là trước thời điểm xảy ra 7 giao dịch lừa đảo 6 ngày. Đường link http://creatingacreator.com/kob/1/index.htm) với giao diện giống hệt của Vietcombank khiến khách hàng vô tình nhập các thông tin như tên tài khoản (username), mật khẩu vào Internet Banking mà không hề hay biết. Dù chị Hương vẫn khẳng định không vào trang web lạ nhưng Vietcombank nói, trong cuộc làm việc ngày 11/8, nhân viên ngân hàng đã hướng dẫn chị kiểm tra và thấy có đường link này vẫn còn lưu trên lịch sử của điện thoại.

Khách hàng cho biết không nhận được thông báo nào từ ngân hàng về việc đã chuyển đổi hình thức đăng ký xác thực từ OTP sang Smart OTP.

Nhiều khả năng, trên một giao diện giả mạo Internet Banking của Vietcombank, tin tặc từng bước lừa người dùng vào cài đặt Smart OTP mà chị Hương không hề biết. Để kích hoạt được phương thức xác thực mới này, khách hàng sẽ nhận một mã xác thực OTP bằng SMS.

Một chuyên gia về thanh toán thẻ lý giải, trên website giả mạo sẽ không hiển thị nội dung thực hiện giao dịch của khách hàng là kích hoạt Smart OTP mà có thể chỉ đơn giản là dẫn dụ chị để xác nhận một thông tin nào đó về tài khoản. Vì thế không loại trừ khả năng chính chị Hương đã điền mã OTP vào website giả mạo mà không biết mục đích là để kích hoạt phương thức xác thực mới.

Cơ chế hoạt động Smart OTP của Vietcombank thế nào?

Nếu thực sự chị Na Hương vào website giả mạo và bị dẫn dụ nộp không thông tin, cả quyền kích hoạt Smart OTP cho tin tặc thì nhiều chuyên gia cho rằng, Vietcombank cũng cần có trách nhiệm với quy trình bảo mật chưa chặt chẽ.

Smart OTP được Vietcombank ra mắt vào đầu năm 2015, được giới thiệu là ứng dụng có lợi thế vượt trội so với các hình thức tạo mã OTP hiện có. Một trong những lợi thế đầu tiên là Smart OTP có thể tạo mã OTP bất kỳ lúc nào, không cần phải có sóng điện thoại, cũng không cần thiết bị tạo mã OTP cứng tốn kém đi kèm. Tuy nhiên, theo tổng giám đốc một ngân hàng cổ phần, có thể sơ hở nằm ở chỗ Vietcombank cho phép người dùng cài Smart OTP trên một thiết bị di động khác - không phải thiết bị có chứa sim điện thoại đã đăng ký ban đầu với ngân hàng. Tức là, nếu bạn đăng ký nhận OTP qua SMS thông thường bằng chiếc điện thoại thông minh iPhone với số đăng ký 091xxx123 thì bạn vẫn có thể đăng ký cài Smart OTP trên một chiếc điện thoại hoặc máy tính bảng khác mà không cần với chính số đuôi 123 này. Trường hợp của khách hàng Na Hương, sau khi dẫn dụ được chị vào website giả mạo, kẻ gian đã lừa được chị nhập mã OTP một lần duy nhất để kích hoạt Smart OTP của chị Hương trên thiết bị di động của tin tặc.

Vietcombank cho phép khách hàng cài đặt Smart OTP ở một thiết bị di động khác với thiết bị chứa sim nhận mã OTP.

Bên cạnh đó, còn một nghi vấn đặt ra, ngay cả khi chị Na Hương bị tin tặc lừa nhập mã OTP để kích hoạt Smart OTP (mà chị không biết), đáng lẽ ra, ngay sau khi tin tặc đã kích hoạt Smart OTP của chị thành công, ngân hàng vẫn phải có một tin nhắn thông báo, tài khoản của bạn đã được chuyển đổi phương thức xác thực từ OTP sang Smart OTP. Vậy tại sao chị Na Hương không nhận được tin nhắn này và vẫn không hề hay biết gì về khái niệm Smart OTP cho tới khi trình báo với Vietcombank.

"Trường hợp này có thể là một trong hai đơn vị chưa nói đúng sự thật nhưng việc không có một tin nhắn hay email nào từ ngân hàng thông báo việc đã chuyển đổi thành công phương thức xác thực là vô lý", chuyên gia bảo mật này cho hay.

Không chỉ vậy, theo nhiều chuyên gia bảo mật, chính áp lực tạo thuận tiện tối đa cho khách hàng giao dịch online đã khiến một số ngân hàng mở điều kiện "thoáng" với một số dịch vụ. Như với Smart OTP của Vietcombank, khách hàng không cần ra quầy để đăng ký cài đặt và kích hoạt, chỉ cần qua một lần nhập OTP (SMS).

Phó tổng giám đốc một ngân hàng khác cũng cho biết, Smart OTP là phương thức xác thực được sử dụng nhiều ở một số nước. Tuy nhiên, thường các ngân hàng trên thế giới không để hạn mức giao dịch bằng Smart OTP cao mà hầu như đều thấp hơn với OTP thông thường bởi tính rủi ro cao hơn. Trong trường hợp này, mỗi giao dịch của tin tặc (với Smart OTP) đều với số tiền lớn, 50 và 100 triệu đồng.

Ai chịu trách nhiệm?

Theo Luật sư Hồ Anh Khoa, Trưởng phòng tư vấn doanh nghiệp của Công ty Luật Basico, trong trường hợp này nên nhắc tới trách nhiệm của cả hai bên thay vì đổ lỗi cho khách hàng hay nhà băng. Với khách hàng, nếu đúng họ truy cập vào website giảo mạo, theo ông Khoa, cũng là một sai sót. Mỗi khách hàng cần có ý thức bảo vệ và quản lý các thông tin của mình cũng như lường trước các rủi ro nếu tham gia dịch vụ.

Ngược lại, với ngân hàng, muốn tạo một tiện lợi cho khách thì khi đưa vào sử dụng phải có cách gì đó tăng cường tính bảo mật của ứng dụng. Ở trường hợp này, ngân hàng lại cho phép khách sử dụng ứng dụng trên một thiết bị khác thay vì thiết bị di động đã dùng OTP của khách.

Thực tế hiện nay trong khi khách hàng nói không có những giao dịch, truy cập vào website giả mạo thì ngân hàng lại đưa ra những bằng chứng trên hệ thống cho thấy có lệnh nhập OTP để mở tính năng xác thực Smart OTP. Do đó, theo các luật sư, rất cần sự vào cuộc của một bên thứ ba độc lập, có thể là cơ quan điều tra để làm sáng tỏ.

"Ngân hàng Nhà nước cũng cần có định hướng chung cho tất cả các tổ chức tín dụng về những rủi ro qua thanh toán trên những ứng dụng điện tử", ông Hồ Anh Khoa nói.

Chuyên đề