Vừa qua, ông Nguyễn Tử Quảng, CEO Bkav đã đăng tải trên Facebook cá nhân bài viết “Lý giải nguyên nhân vụ việc tài khoản khách hàng của Vietcombank bị đánh cắp 406 triệu đồng chỉ trong vài phút !”
Theo ông, Bkav từng 2 lần cảnh báo rộng rãi về việc công nghệ xác thực SMS OTP không đảm bảo an toàn. Bkav cũng đã tư vấn cho Ngân hàng Nhà nước Việt Nam ban hành quy định về giao dịch sử dụng chữ ký số để thay thế cho SMS OTP.
Ông Nguyễn Tử Quảng - CEO Bkav
Lý giải về nguyên nhân vụ việc, CEO Bkav cho biết hacker đã khai thác điểm yếu của công nghệ xác thực SMS OTP. Ông cũng chỉ ra có 2 cách để khai thác điểm yếu của công nghệ này. Cách thứ nhất hacker lừa nạn nhân nhập mã SMS OTP vào một website giả mạo. Cách thứ hai lừa nạn nhân cài phần mềm gián điệp chiếm quyền điều khiển của thiết bị di động.
Ông cho biết, công nghệ SMS OTP không có tính “chống chối bỏ”, tức là không có đủ cơ sở để chỉ ra ai là người thực hiện giao dịch.
"Với tôi thì sự việc này là điều không ngạc nhiên. Trong một năm qua, chúng tôi biết đã có nhiều vụ việc tương tự và với nhiều ngân hàng khác nhau, không chỉ Vietcombank", ông Quảng chia sẻ.
Hiện Ngân hàng Nhà nước Việt Nam đã ban hành quy định bắt buộc áp dụng với tất cả các ngân hàng, tuy nhiên hạn mức để bắt buộc phải sử dụng chữ ký số đang còn ở mức cao, cụ thể giao dịch phải trên 500 triệu mới phải sử dụng chữ ký số.
Để khắc phục tình trạng trên, CEO Bkav kiến nghị phải hạ thấp hạn mức giao dịch xuống, tiến tới loại bỏ công nghệ SMS OTP tại các ngân hàng ở Việt Nam giống như một số nước phát triển đang áp dụng.
Trước đó, vào ngày 4/10, tài khoản của ông Trần Việt Luận bị kích hoạt ứng dụng VCB Digibank trên thiết bị mới và chuyển 406 triệu cho người thụ hưởng tại MSB, SEABank trong 7 phút. Ông Luận cho biết tài khoản tại Vietcombank phát sinh 4 giao dịch song ông không nhận được tin nhắn thông báo mã xác thực, biến động số dư qua điện thoại. Vì thế ông không phát hiện cho đến khi ra ngân hàng giao dịch vào chiều cùng ngày.
Vietcombank có hai lần gặp trực tiếp khách hàng để trả lời, cung cấp thông tin liên quan và sẽ tiếp tục cập nhật trong thời gian chờ kết quả tra soát giao dịch tại ngân hàng hưởng. Đại diện nhà băng khẳng định hệ thống của ngân hàng an toàn và đáp ứng quy định pháp luật liên quan đến cung ứng dịch vụ trực tuyến, đồng thời lưu ý khách hàng giữ bí mật các yếu tố định danh, thực hiện theo hướng dẫn của ngân hàng về giao dịch an toàn.