(KTSG) – Các chuyên gia về bảo mật cho rằng Ngân hàng Ngoại thương Việt Nam (VCB) chưa minh định thông tin liên quan đến việc khách hàng bị mất tiền oan, và đằng sau vụ việc này có quá nhiều điều khó hiểu, và khó mà nói là VCB không liên đới trách nhiệm.
Một phòng giao dịch của Ngân hàng Vietcombank. Ảnh: Thời báo Ngân Hàng |
Ông Võ Đỗ Thắng, Giám đốc Trung tâm đào tạo Quản trị và An ninh mạng Athena, nhận định: đầu tiên là ngân hàng khi xảy ra sự cố mất khoản tiền 500 triệu đồng chỉ nhắc tới việc mất username (tên người dùng), password (mật khẩu) mà không đề cập tới yếu tố xác thực khi thực hiện giao dịch/chuyển tiền.
Trong trường hợp này, yếu tố xác thực bằng mã xác thực dùng một lần (OTP) là thông tin quan trọng nhất mà hacker phải có được nếu muốn lấy tiền từ tài khoản nạn nhân.
Phải chở VCB minh định thông tin
Việc khách hàng bị lộ OTP hầu như là không thể xảy ra. OTP (One-Time Password) là mã xác thực sử dụng một lần mỗi khi chủ tài khoản thực hiện giao dịch chuyển tiền hoặc thay đổi thông tin của tài khoản ngân hàng. Mã xác thực OTP được gửi qua SMS đến số điện thoại di động do chủ tài khoản đăng ký với ngân hàng.
Ông Thắng giải thích: Cách dễ nhất là hacker phải chiếm được quyền điều khiển điện thoại nhận tin nhắn xác thực OTP từ ngân hàng. “Điều này theo tôi là khó xảy ra vì nạn nhân đang sử dụng điện thoại iPhone, vốn có yêu cầu bảo mật cao. Chỉ khi nào điện thoại di động của nạn nhân đã bị bẻ khoá (Jailbreak) thì mã độc mới có khả năng chiếm quyền điều khiển, đọc trộm tin nhắn SMS… Cách khó hơn là hacker phải tiến hành nghe lén tin nhắn xác thực OTP khi tin nhắn này được gửi từ ngân hàng tới nhà mạng hoặc từ nhà mạng tới thuê bao (tức nạn nhân mất tiền). Điều này cũng không đơn giản vì ngân hàng lẫn nhà mạng đều có hệ thống bảo mật.”
Đồng thời, các chuyên gia bảo mật đều lưu ý một chi tiết rằng đại diện ngân hàng đã tiếp cận điện thoại di động của nạn nhân mất tiền, nếu phát hiện trong điện thoại có mã độc thì chắc chắn họ sẽ thông báo ngay.
Một số chuyên gia từ các công ty CNTT và bảo mật hàng đầu cũng khẳng định với TBKTSG Online rằng nguyên nhân chính xác việc mất tiền này chỉ có thể biết được khi Vietcombank công khai thông tin đầy đủ. Khó có thể bình luận sâu điều gì khi không có đủ thông tin.
Nếu Vietcombank không công khai thông tin cụ thể, rõ ràng đầy đủ về vụ việc thì việc phán đoán tình huống này hoàn toàn chỉ là giả định và có rất nhiều giả định được đặt ra.
Chuyên gia an ninh mạng của một công ty uy tín không muốn nêu tên cho biết, họ chỉ có thể biết được chính xác nguyên nhân khi Vietcombank công bố đầy đủ và rõ ràng thông tin về vụ việc. Còn không chỉ ở ngoài phán đoán mà không biết cụ thể vụ việc trên cơ sở theo dõi trên hệ thống công nghệ thông tin của Vietcombank thì có thể giả định rất nhiều tình huống khác nhau.
Tất nhiên, để không ảnh hưởng đến uy tín và hoạt động của ngân hàng, Vietcombank chỉ cho cơ quan điều tra tiếp cận hệ thống công nghệ (nếu được yêu cầu). Còn lại họ sẽ tìm cách “bảo vệ” uy tín cho ngân hàng mình trong vụ việc này do đó chỉ thông tin ngắn gọn về vụ việc. Do đó muốn biết nguyên nhân cụ thể thì phải chờ công an công bố.
Luật sư Trương Thanh Đức, Giám đốc Công ty Luật ANVI và là Trọng tài viên Trung tâm Trọng tài Quốc tế Việt Nam (VIAC), nói với TBKTSG Online hôm nay 13-8, rằng khi thực hiện các giao dịch ngân hàng trực tuyến, như dịch vụ Internet Banking, nếu khách hàng làm mất số tài khoản và mật khẩu, thì vẫn còn những tầng bảo mật khác, đặc biệt là mã xác thực OTP.
Các tầng bảo vệ khác nhau này được các ngân hàng đặt ra với mục đích cuối cùng là để xác định người thực hiện giao dịch là chủ của tài khoản. Nếu khách hàng chỉ đánh mất thông tin cá nhân là số tài khoản và mật khẩu mà từ đấy kẻ gian có thể vượt qua tầng bảo vệ cuối cùng thì có vẻ tầng bảo vệ của ngân hàng khá sơ hở, không đảm bảo an toàn tuyệt đối cho khách hàng. Nếu như vậy thì ngân hàng có thể phải chịu một phần trách nhiệm, Luật sư Trương Thanh Đức cho biết.
Luật sư Trương Thanh Đức cho rằng khách hàng và ngân hàng cần phải đám phán, thương lượng với nhau nếu ngân hàng thực sự có một phần lỗi khi hệ thống không hoàn hảo là một trong những nguyên nhân dẫn đến rủi ro cho khách hàng. Thậm chí, ngân hàng có thể xem xét đền bù đầy đủ số tiền khách hàng bị mất và kịp thời chấn chỉnh lỗ hổng bảo mật để tạo lòng tin cho khách hàng.
Trao đổi với TBKTSG Online, lãnh đạo một ngân hàng lớn có uy tín của Việt Nam cho hay, tại Việt Nam hiện ngân hàng là lĩnh vực được trang bị giải pháp bảo mật mạng tốt nhất hiện nay. Hầu hết các ngân hàng lớn đều trang bị các giải pháp bảo mật tốt nhất có thể. Tuy nhiên, không có ngân hàng nào dám đảm bảo hệ thống của mình là an toàn tuyệt đối. Và càng không có ngân hàng nào dám công khai nói rằng hệ thống đảm bảo an toàn.
Một vài giả thiết
Một chuyên gia bảo mật làm việc trong ngành ngân hàng nhận định về vụ mất tiền này: Nếu như hacker đã sử dụng cách thức xác thực qua ứng dụng (app) ngân hàng (Smart OTP) thì nạn nhân vẫn có thể bị mất tiền mà hacker không cần can thiệp vào điện thoại của nạn nhân. Ứng dụng Smart OTP (dùng để xác thực giao dịch) cho phép cài đặt ở một chiếc điện thoại khác, không cần phải cài đặt trên chiếc điện thoại gắn SIM/số điện thoại đăng ký với ngân hàng.
Tuy nhiên, giả thiết này lại đặt ra câu hỏi tại sao nạn nhân lại không hay biết việc thay đổi cách thức xác thực giao dịch (từ SMS OTP qua Smart OTP) vì hệ thống iBanking của ngân hàng sẽ gửi tin nhắn thông báo, yêu cầu chủ tài khoản xác nhận việc thay đổi cách thức xác thực giao dịch.
Một số chuyên gia bảo mật khác thì cho rằng giả thiết nạn nhân đã cung cấp mã xác thực OTP cho hacker ngay trên website giả mạo website của ngân hàng (thủ thuật tấn công Phishing) sẽ dễ thuyết phục hơn. Tuy nhiên, giả thiết này cũng cực kỳ khó xảy ra vì hacker không thể thay đổi số điện thoại di động nhận tin nhắn xác thực OTP sang một số điện thoại khác. Bởi vì, hiện nay hầu hết các ngân hàng chỉ cho phép khách hàng đổi số điện thoại di động nhận tin nhắn xác thực OTP tại phòng giao dịch; phải ra ngân hàng mới đổi số điện thoại được.
Theo giải đáp từ ngân hàng Vietcombank, có hai cách thức để thay đổi số điện thoại nhận mã xác thực OTP: Khách hàng có thể thay đổi số điện thoại theo hai kênh; dùng dịch vụ ngân hàng điện tử-Internet Banking hoặc yêu cầu đổi số điện thoại tại quầy giao dịch. Với kênh Internet Banking, khách hàng chọn mục “Đăng ký số điện thoại nhận OTP”; sau đó đổi số điện thoại.
Một giả thiết được những người nghiên cứu an ninh mạng đặt ra là chị Hương không mất username/password, thay vào đó là chính Vietcombank bị hacker tấn công chuyển khoản trong hệ thống nên không có OTP được gửi tới khách hàng (điều này khó xảy ra nhưng vẫn có thể); chị bị mất tiền nếu hacker đăng nhập vào website Vietcombank và kích hoạt tính năng Vietcombank Mobile B@nking. Bởi những người dùng ứng dụng di động này của Vietcombank đều có thể chuyển khoản không cần OTP.
Lần đầu kích hoạt ứng dụng, Vietcombank sẽ gửi mã xác thực qua SMS tới số điện thoại đăng ký dịch vụ.
Hôm 12-8, theo Vietcombank, chị Hoàng Thị Na Hương trước đó đã thông báo với ngân hàng về việc tài khoản bị mất số tiền 500 triệu đồng vào đêm ngày 3-8 rạng sáng ngày 4-8. Sau khi nhận được thông báo của bà Hương, Vietcombank đã có buổi làm việc với khách hàng vào chiều ngày 11-8-2016, cùng tham gia có luật sư (do khách hàng mời). Trên cơ sở thông tin do bà Hương cung cấp, Vietcombank cho biết có cơ sở để xác định khách hàng đã truy cập vào một trang web giả mạo có địa chỉ http://creatingacreator.com/kob/1/index.htm vào ngày 28-7-2016 qua máy điện thoại cá nhân. Theo Vietcombank, tại buổi làm việc, đại diện Vietcombank đã hướng dẫn cho khách hàng tự kiểm tra lại máy điện thoại cá nhân và phát hiện ra địa chỉ trang web giả mạo vẫn lưu trên máy của khách hàng. Vietcombank cho rằng, việc mất tiền trong tài khoản xảy ra vì khách hàng bị đánh cắp thông tin tài khoản do trước đó đã truy cập và khai báo thông tin trên đường link giả mạo website của ngân hàng. Từ việc truy cập này, thông tin và mật khẩu của khách hàng đã bị đánh cắp, sau đó tài khoản khách hàng đã bị lợi dụng vào đêm ngày 3-8 rạng sáng ngày 4-8-2016. Các đối tượng lừa đảo đã chuyển tiền từ tài khoản khách hàng tới nhiều tài khoản trung gian tại 3 ngân hàng khác nhau tại Việt Nam. Sau đó, đối tượng lừa đảo đã rút 200 triệu đồng qua ATM ở Malaysia. Vietcombank đã xử lý các biện pháp khẩn cấp, kịp thời khoanh giữ lại được 300 triệu đồng. Đây là các giao dịch chuyển khoản sang ngân hàng khác, chưa kịp chuyển ra khỏi hệ thống Vietcombank. Vietcombank cho biết đang phối hợp với khách hàng để làm việc với cơ quan chức năng nhằm làm rõ các đối tượng đã thực hiện hành vi lừa đảo này. Khách hàng đã đồng ý sẽ cung cấp máy điện thoại có lưu đường link giả mạo để tiếp tục làm việc với cơ quan chức năng. |
Thu Vân – Chí Thịnh
——————
TB Kinh tế Sài Gòn (Ngân hàng) 13-8-2016:
(263/1.889)