Điểm yếu bảo mật rất lớn của ngân hàng

Sau sự cố, giao dịch Internet Banking của VCB khó khăn hơn trước. Tuy nhiên, các chuyên gia bảo mật vẫn khuyên dùng hình thức giao dịch này với điều kiện ngân hàng phải bảo mật an toàn - Ảnh: T.T.D.

Các chuyên gia bảo mật đã phân tích và đưa ra lời khuyên.

Ông Nguyễn Hồng Phúc, chuyên gia bảo mật độc lập, cho rằng trong việc này có lỗi ở cả hai phía. Theo đó, do khách hàng đã nhấp vào đường link dẫn đến một trang web giả mạo ngân hàng và khai tên đăng nhập cùng mật khẩu, từ đó tội phạm “lấy được chìa khóa nhà” nên tạo SmartOTP để sử dụng.

Theo ông Phúc, giải thích đó của Vietcombank đã gián tiếp xác nhận SmartOTP (của họ) là không an toàn, trong khi tính năng OTP được lập ra để giúp khách hàng tránh được việc đó (có tên đăng nhập hoặc mật khẩu cũng chưa thể lấy được tiền). Đây chính là điểm yếu bảo mật rất lớn của ngân hàng.

Lớp bảo mật sau đã vô dụng

Có 3 loại OTP: OTP phần cứng, SMS OTP và app OTP trên các thiết bị di động. Tác dụng của OTP là để ngăn ngừa tội phạm có lấy được tên đăng nhập, mật khẩu đi nữa thì họ phải thêm một mật khẩu sinh ra từ một thiết bị OTP phần cứng, nhận qua tin nhắn hoặc được tạo ra từ một app an toàn để bọn tội phạm không thực hiện được việc chuyển tiền.

Tuy nhiên trường hợp của chị Hương chỉ đơn giản bị mất tên đăng nhập, mật khẩu là có thể vào chuyển sang tính năng SmartOTP và xem như khách hàng đã mất quyền.

Theo ông Phúc, như vậy lỗi ở đây không chỉ có khách hàng để mất tên truy cập, mật khẩu, mà còn có lỗi ở cả ngân hàng vì lẽ ra sau khi khách hàng mất tên truy cập, mật khẩu thì các lớp bảo mật sau lẽ ra bảo vệ được khách hàng thì hiện các lớp bảo mật khác vô dụng.

Như vậy có những cơ chế bảo mật nhưng ngân hàng đã không vận dụng được các tính năng đó để bảo vệ khách hàng.

Bán dịch vụ phải kèm hướng dẫn sử dụng

Ông Võ Văn Khang, chuyên gia an ninh mạng trong lĩnh vực ngân hàng, cho biết theo giải thích của Vietcombank thì ngoài việc sử dụng mã xác thực SMS OTP trong các giao dịch, họ còn cho phép người dùng sử dụng Etoken - phần mềm tạo ra cái gọi là SmartOTP được cài đặt trên thiết bị đầu cuối của người dùng.

Chị Hương đầu tiên sử dụng SMS OTP nhưng sau đó bị hacker lấy mất toàn bộ thông tin tài khoản, kể cả mã kích hoạt Etoken. Sau đó hacker đã kích hoạt Etoken và dĩ nhiên có thể chuyển tiền mà không cần SMS OTP nữa.

Về trách nhiệm của bên ngân hàng, ông Khang cho rằng: “Nếu đúng như những gì Vietcombank và C50 (Cục Cảnh sát phòng chống tội phạm công nghệ cao) đã công bố thì trách nhiệm ở đây là cơ chế hướng dẫn và khuyến cáo khách hàng khi sử dụng dịch vụ online chưa thật sự tốt.

Các ngân hàng thường cố gắng bán dịch vụ một cách nhanh nhất có thể, trong khi người sử dụng chưa thật sự hiểu hết các rủi ro. Các ngân hàng quốc tế không hơn chúng ta ở công nghệ mà chính ở điều này. Không có dịch vụ nào an toàn tuyệt đối. Tiện ích luôn đi kèm rủi ro”.

Ông Khang cũng cho rằng hiện nay, điều duy nhất các ngân hàng VN chưa làm đối với Internet Banking là xác thực cả thiết bị kết nối.

Cụ thể “khi khách hàng thay đổi thiết bị kết nối (thay đổi điện thoại, laptop, PC khi truy cập) đều phải tái xác thực qua OTP và gửi email hay gọi điện cảnh báo, điều này đã được các ứng dụng như Facebook hay Yahoo!... áp dụng từ lâu.

Nếu làm được điều này cùng với việc huấn luyện bắt buộc khi sử dụng dịch vụ ngân hàng điện tử, tôi nghĩ người sử dụng có thể yên tâm vì trên thế giới hàng trăm triệu người vẫn đang sử dụng những dịch vụ với công nghệ tương tự” - ông Khang đề xuất.

Còn ông Ngô Tuấn Anh, phó chủ tịch phụ trách an ninh mạng Công ty Bkav, cho rằng: “Có hàng triệu người dùng dịch vụ ngân hàng điện tử. Trường hợp xảy ra như trên là cá biệt, thậm chí còn ít hơn các sự cố xảy ra tại quầy nếu có thống kê rõ ràng.

Giống như những tai nạn xảy ra khi hàng triệu người đang tham gia giao thông, không nên vì thế mà tẩy chay hay không dùng dịch vụ ngân hàng điện tử, điều này không có lợi cho phát triển của Việt Nam”.