Lỗ hổng chết người trong bảo mật tài khoản

“Đụng” đâu, hở đó Anh Vũ Minh Nhật (ở Hà Nội) là trường hợp thứ 2 khiếu nại về việc số điện thoại 090xxx050 của anh đang dùng bỗng bị nhà mạng cắt và cấp lại cho một đối tượng mạo chưa xác định. Trước đó, một chủ thuê bao khác là anh Đặng Thanh Hải (TP.HCM) cũng rơi vào cảnh rưa rứa, khi nhận được tin nhắn từ tổng đài của Viettel, cho biết số thuê bao anh đang dùng sẽ được đổi sang sim mới, trước khi khóa luôn sim anh Hải đang dùng. Cả hai trường hợp đều dẫn đến một hậu quả chung: ngay sau khi đoạt được số điện thoại mà các khổ chủ đang dùng, kẻ giấu mặt đã dùng số điện thoại này để nhận mật khẩu dùng một lần (OTP) và duyệt y dịch vụ tính sổ trực tuyến Smartlink để “tiêu” tiền trong trương mục của các khổ chủ, với số tiền tuần tự là 75 triệu và 30 triệu đồng. Với trường hợp của anh Nhật, nhà mạng MobiFone nhận nhân viên đại lý MobiFone tại Thanh Hóa đã làm sai quy trình, khi chỉ cứ trên giấy CMND bản photocopy với nhiều thông tin không trùng khớp với thông tin chủ thuê bao đã đăng ký. Song song, nhân viên nhà mạng cũng không đề nghị người yêu cầu cấp lại sim khai báo lịch sử cuộc gọi. Còn anh Hải cũng không khỏi ngỡ ngàng khi nhận được tin nhắn của tổng đài về việc đổi sim vào lúc... 20h ngày 10/7, tức ngoài giờ hành chính. Mặc dầu anh đã báo ngay với nhà mạng, nhưng trong khi chờ được đấu nối lại, chỉ trong vòng 1 tiếng đồng hồ account của anh tại ngân hàng đã “bốc hơi” 30 triệu đồng. Mặc dầu sau đó Viettel đã lên tiếng khẳng định kẻ gian dùng CMND mạo để đề nghị cấp lại số, nhưng chỉ riêng thời khắc cấp lại ngoài giờ hành chính đã đủ khiến các thuê bao không khỏi ngỡ ngàng vì cách làm việc của nhà mạng. “Với việc tự ý thay đổi trái nguyên tắc và cũng tự ý đấu nối SIM trở lại của MobiFone vào số SIM cũ của tôi là do MobiFone tự tiện tiến hành thì giả sử như những khách hàng đi vắng hoặc vì lý do nào đó không phát hiện ra kịp thời sẽ tạo ra tiền lệ cực kỳ hiểm nguy cho tội phạm tấn công khai phá, thay đổi thông tin SIM thẻ để nhận được mật khẩu OTP tiến hành hợp thức các giao thiệp gian lận rồi biến mất trong khi nạn nhân hoàn toàn không hay biết gì”, anh Vũ Minh Nhật nói. Qua hai sự việc cùng một “kịch bản”, có thể thấy quy trình cấp lại số của hai nhà mạng hệ trọng lỏng lẻo đến mức khó tin. Cũng như anh Nhật hay anh Hải, nhiều người không khỏi giật thột bởi họ hoàn toàn có thể bị “cướp” số bằng mánh lới tưởng nghe đâu rất cũ kỹ này. “Ngoài việc mất tiền nhãn tiền như tôi, việc này có thể gây rất nhiều nguy cơ như việc giả danh ai đó trong phút giây để thực hiển khẩu lệnh với đối tác, cấp dưới... Nếu bạn bị cướp số vào ban đêm, kẻ gian có thể thực hiện rất nhiều trò phạm pháp và sau đó trả lại số vào sáng mai mà bạn không hề hay biết”, nạn nhân đặt giả thiết. Lời khuyên hay lời đổ lỗi? Theo các chuyên gia về lĩnh vực thanh toán, hiện có 2 hình thức tính sổ qua internet dùng tài khoản ngân hàng: một là sử dụng dịch vụ internet banking của các nhà băng, trong đó khách hàng được cấp user và password để truy cập và thực hành các giao tế; hai là sử dụng các cổng thanh toán như Paypal, Smartlink, Banknetvn... Và thực hành giao thiệp thông qua số thẻ thanh toán, chứng nhận bằng OTP về số điện thoại đã đăng ký gắn với trương mục tại nhà băng. Ở trường hợp trước nhất, password là bí hiểm của riêng khách hàng, nên việc sử dụng được bảo mật tốt hơn, giống như password email hay các account internet khác. Thực tại, cả hai trường hợp mất tiền vì mất số trên đây đều rơi vào trường hợp thứ hai, giao du qua cổng tính sổ chung của Smartlink và chứng nhận bằng OTP. Chỉ cần nhập một số thẻ ngẫu nhiên, và tên chủ thẻ bất kỳ thì hệ thống đều chấp nhận và chuyển sang khâu nhập OTP được nhắn về số điện thoại gắn với tài khoản có mã số thẻ này Như vậy, chỉ cần đoạt được số điện thoại, Đồng thời bằng cách nào đó biết được số thẻ (in trên bề mặt các loại thẻ tính sổ) của khổ chủ là kẻ gian có thể thoải mái xâm nhập tài khoản ngân hàng của nạn nhân và tiêu tiền qua các cổng thanh toán như Smartlink. Đàm đạo với phóng viên, cả nhà mạng và nhà băng can dự đều nhận nghĩa vụ của mình và cam kết sẽ sớm cùng các bên liên tưởng giải quyết lợi quyền của khách hàng. Các đơn vị này cũng đã mời Cục CSĐT TP công nghệ cao (C50) Bộ Công an vào điều tra vụ việc khá nghiêm trọng này. “Chúng tôi đã rà hệ thống bảo mật của ngân hàng, nhưng không phát hiện lỗi. Thực tế ở đây kẻ gian cũng không xâm nhập được vào tài khoản nhà băng, mà dùng dịch vụ tính sổ chung của Smartlink để giao dịch qua hình thức chứng thực OTP. Chúng tôi sẽ cùng Smartlink đàm đạo, và nếu cảm thấy hệ thống này không đủ tin tưởng.# Về bảo mật thì có thể coi xét rút khỏi hệ thống tính sổ này”, lãnh đạo ngân hàng nơi có hai khách hàng bị mất tiền cho biết. Thực tại, Smartlink áp dụng hình thức giao du chứng nhận bằng OTP chung cho ắt các nhà băng tham dự hệ thống, có tức là khách hàng của ngân hàng nào cũng có thể mất tiền nếu bị mất số điện thoại, và bị lộ thông báo số thẻ tính sổ. “Chúng tôi không để lộ số thẻ, nhưng việc dùng thẻ để tính sổ qua mạng, hay thanh toán ở nhà hàng, khách sạn, trọng điểm mua sắm... Hoàn toàn có thể dẫn đến số thẻ bị lưu ở đâu đó. Nếu chỉ vì lộ số thẻ mà có thể mất tiền thì rõ ràng dịch vụ này cần được coi xét lại về hàng rào bảo mật”, anh Hoàng Bảo Chung - một người dùng thẻ tính sổ lo ngại. Qua hai sự việc, rõ ràng ngoài nghĩa vụ không thể chối cãi của các nhà mạng, việc kẻ lạ dùng trương mục của khổ chủ để tiêu tiền thực hiện trên hệ thống Smartlink và vấn đề cần đặt ra là nên chăng cần tăng cường hàng rào bảo vệ trên hệ thống này thay vì chỉ cần chứng nhận OTP. Tuy nhiên, thay cho câu đáp các câu hỏi của PV Dân trí như việc soát lại hệ thống, tăng cường tính bảo mật, trách nhiệm đối với người sử dụng dịch vụ bị thiệt hại... Đại diện Smartlink lại chỉ đưa ra hàng loạt... Lời khuyên. Dĩ nhiên các lời khuyên như bảo mật thông báo thẻ, thông báo cá nhân chủ nghĩa, lập password trên điện thoại hay báo cho nhà băng khóa tài khoản khi mất điện thoại là không thừa, nhưng vấn đề nằm ở chỗ: việc lộ thông tin cá nhân hoàn toàn có thể xảy ra từ nhiều nguồn (người dùng, ngân hàng, nhà mạng, hoặc chính hệ thống thanh toán...) Thì đơn vị cung cấp dịch vụ tính sổ cần làm gì để không gây thiệt hại cho người dùng. Đặc biệt trong trường hợp này, thủ đoạn của kẻ gian không hề cao xa, mà chỉ là lợi dụng các kẽ hở của nhà mạng, cũng như dịch vụ tính sổ. Tăng cường hàng rào bảo mật để bảo vệ người dùng dịch vụ và niềm tin của người dùng vào dịch vụ, có nhẽ là việc nên làm hơn là chỉ ra những căn nguyên mà ai cũng biết như “Kẻ gian lợi dụng khách hàng người dùng thiếu cảnh giác, không bảo mật các thông báo cá nhân quan yếu như số thẻ tín dụng, số thẻ ATM, số Chứng minh thư nhân dân….” (Trích thông báo phản hồi từ Smartlink về sự việc). Hồng Kỹ Theo Dân trí