Lỗ hổng chết người trong bảo mật tài khoản

“Đụng” đâu, hở đó Anh Vũ Minh Nhật (ở Hà Nội) là trường hợp thứ 2 khiếu nại về việc số điện thoại 090xxx050 của anh đang dùng bỗng bị nhà mạng cắt và cấp lại cho một đối tượng giả mạo chưa xác định. Trước đó, một chủ thuê bao khác là anh Đặng Thanh Hải (TP.HCM) cũng rơi vào cảnh na ná, khi nhận được tin nhắn từ tổng đài của Viettel, cho biết số thuê bao anh đang dùng sẽ được đổi sang sim mới, trước khi khóa luôn sim anh Hải đang sử dụng. Cả hai trường hợp đều dẫn đến một hậu quả chung: ngay sau khi đoạt được số điện thoại mà các khổ chủ đang dùng, kẻ giấu mặt đã dùng số điện thoại này để nhận mật khẩu sử dụng một lần (OTP) và thông qua dịch vụ tính sổ trực tuyến Smartlink để “tiêu” tiền trong account của các khổ chủ, với số tiền tuần tự là 75 triệu và 30 triệu đồng. Với trường hợp của anh Nhật, nhà mạng MobiFone nhận nhân viên đại lý MobiFone tại Thanh Hóa đã làm sai quy trình, khi chỉ cứ trên giấy CMND bản photocopy với nhiều thông tin không trùng khớp với thông tin chủ thuê bao đã đăng ký. Song song, nhân viên nhà mạng cũng không đề nghị người đề nghị cấp lại sim khai báo lịch sử cuộc gọi. Còn anh Hải cũng không khỏi ngỡ ngàng khi nhận được tin nhắn của tổng đài về việc đổi sim vào lúc... 20h ngày 10/7, tức ngoài giờ hành chính. Dù rằng anh đã báo ngay với nhà mạng, nhưng trong khi chờ được đấu nối lại, chỉ trong vòng 1 tiếng đồng hồ trương mục của anh tại nhà băng đã “bốc hơi” 30 triệu đồng. Mặc dầu sau đó Viettel đã lên tiếng khẳng định kẻ gian sử dụng CMND mạo để yêu cầu cấp lại số, nhưng chỉ riêng thời khắc cấp lại ngoài giờ hành chính đã đủ khiến các thuê bao không khỏi ngỡ ngàng vì cách làm việc của nhà mạng. “Với việc tự ý thay đổi trái nguyên tắc và cũng tự tiện đấu nối SIM trở lại của MobiFone vào số SIM cũ của tôi là do MobiFone tự tiện tiến hành thì giả tỉ như những khách hàng đi vắng hoặc vì lý do nào đó không phát hiện ra kịp thời sẽ tạo ra tiền lệ cực kỳ hiểm nguy cho tầy tiến công khai phá, đổi thay thông tin SIM thẻ để nhận được mật khẩu OTP tiến hành hợp thức các giao thiệp ăn gian rồi biến mất trong khi nạn nhân hoàn toàn không hay biết gì”, anh Vũ Minh Nhật nói. Qua hai sự việc cùng một “kịch bản”, có thể thấy quy trình cấp lại số của hai nhà mạng liên tưởng lỏng lẻo đến mức khó tin. Cũng như anh Nhật hay anh Hải, nhiều người không khỏi giật thột bởi họ hoàn toàn có thể bị “cướp” số bằng mánh khoé tưởng dường như rất cũ kỹ này. “Ngoài việc mất tiền nhãn tiền như tôi, việc này có thể gây rất nhiều nguy cơ như việc mạo danh ai đó trong giây phút để thực hiển khẩu lệnh với đối tác, cấp dưới... Nếu bạn bị cướp số vào ban đêm, kẻ gian có thể thực hiện rất nhiều trò bất hợp pháp và sau đó trả lại số vào sáng mai mà bạn không hề hay biết”, nạn nhân đặt giả thiết. Lời khuyên hay lời đổ lỗi? Theo các chuyên gia về lĩnh vực tính sổ, hiện có 2 hình thức thanh toán qua internet dùng tài khoản nhà băng: một là sử dụng dịch vụ internet banking của các ngân hàng, trong đó khách hàng được cấp user và password để truy cập và thực hiện các giao tế; hai là sử dụng các cổng thanh toán như Paypal, Smartlink, Banknetvn... Và thực hiện giao tiếp thông qua số thẻ thanh toán, chứng thực bằng OTP về số điện thoại đã đăng ký gắn với trương mục tại nhà băng. Ở trường hợp trước tiên, password là bí hiểm của riêng khách hàng, nên việc dùng được bảo mật tốt hơn, giống như password email hay các tài khoản internet khác. Thực tại, cả hai trường hợp mất tiền vì mất số trên đây đều rơi vào trường hợp thứ hai, giao dịch qua cổng thanh toán chung của Smartlink và chứng thực bằng OTP. Chỉ cần nhập một số thẻ ngẫu nhiên, và tên chủ thẻ bất kỳ thì hệ thống đều ưng và chuyển sang khâu nhập OTP được nhắn về số điện thoại gắn với trương mục có mã số thẻ này Như vậy, chỉ cần đoạt được số điện thoại, Đồng thời bằng cách nào đó biết được số thẻ (in trên bề mặt các loại thẻ tính sổ) của khổ chủ là kẻ gian có thể thoải mái thâm nhập account ngân hàng của nạn nhân và tiêu tiền qua các cổng tính sổ như Smartlink. Bàn luận với phóng viên, cả nhà mạng và ngân hàng liên hệ đều nhận nghĩa vụ của mình và cam kết sẽ sớm cùng các bên hệ trọng giải quyết lợi quyền của khách hàng. Các đơn vị này cũng đã mời Cục CSĐT TP công nghệ cao (C50) Bộ Công an vào điều tra vụ việc khá nghiêm trọng này. “Chúng tôi đã rà hệ thống bảo mật của ngân hàng, nhưng không phát hiện lỗi. Thực tế ở đây kẻ gian cũng không xâm nhập được vào tài khoản ngân hàng, mà dùng dịch vụ thanh toán chung của Smartlink để giao thiệp qua hình thức chứng nhận OTP. Chúng tôi sẽ cùng Smartlink thảo luận, và nếu cảm thấy hệ thống này không đủ tin tưởng về bảo mật thì có thể coi xét rút khỏi hệ thống thanh toán này”, lãnh đạo nhà băng nơi có hai khách hàng bị mất tiền cho biết. Thực tiễn, Smartlink vận dụng hình thức giao tiếp chứng thực bằng OTP chung cho quờ các ngân hàng tham gia hệ thống, có tức là khách hàng của ngân hàng nào cũng có thể mất tiền nếu bị mất số điện thoại, và bị lộ thông tin số thẻ thanh toán. “Chúng tôi không để lộ số thẻ, nhưng việc dùng thẻ để thanh toán qua mạng, hay thanh toán ở nhà hàng, khách sạn, trọng điểm mua sắm... Hoàn toàn có thể dẫn đến số thẻ bị lưu ở đâu đó. Nếu chỉ vì lộ số thẻ mà có thể mất tiền thì rõ ràng dịch vụ này cần được coi xét lại về hàng rào bảo mật”, anh Hoàng Bảo Chung - một người dùng thẻ tính sổ lo ngại. Qua hai sự việc, rõ ràng ngoài trách nhiệm chẳng thể chối cãi của các nhà mạng, việc kẻ lạ dùng tài khoản của khổ chủ để tiêu tiền thực hành trên hệ thống Smartlink và vấn đề cần đặt ra là nên chăng cần tăng cường hàng rào bảo vệ trên hệ thống này thay vì chỉ cần chứng thực OTP. Tuy nhiên, thay cho câu trả lời các câu hỏi của PV Dân trí như việc rà lại hệ thống, tăng cường tính bảo mật, bổn phận đối với người sử dụng dịch vụ bị thiệt hại... Đại diện Smartlink lại chỉ đưa ra hàng loạt... Lời khuyên. Tất nhiên các lời khuyên như bảo mật thông báo thẻ, thông tin cá nhân, lập password trên điện thoại hay báo cho nhà băng khóa account khi mất điện thoại là không thừa, nhưng vấn đề nằm ở chỗ: việc lộ thông tin cá nhân chủ nghĩa hoàn toàn có thể xảy ra từ nhiều nguồn (người dùng, ngân hàng, nhà mạng, hoặc chính hệ thống tính sổ...) Thì đơn vị cung cấp dịch vụ tính sổ cần làm gì để không gây thiệt hại cho người dùng. Đặc biệt trong trường hợp này, thủ đoạn của kẻ gian không hề cao xa, mà chỉ là lợi dụng các kẽ hở của nhà mạng, cũng như dịch vụ thanh toán. Tăng cường hàng rào bảo mật để bảo vệ người dùng dịch vụ và niềm tin của người dùng vào dịch vụ, có nhẽ là việc nên làm hơn là chỉ ra những căn do mà ai cũng biết như “Kẻ gian lợi dụng khách hàng người dùng thiếu cảnh giác, không bảo mật các thông báo cá nhân chủ nghĩa quan yếu như số thẻ tín dụng, số thẻ ATM, số Chứng minh thư nhân dân….” (Trích thông tin phản hồi từ Smartlink về sự việc). Hồng Kỹ Theo Dân trí