Nhận OTP qua SMS, tiền trong tài khoản có thể “bốc hơi” chỉ sau vài phút: Chuyên gia an ninh mạng lý giải

Theo các chuyên gai an ninh mạng, OTP vẫn là phương thức đăng nhập quen thuộc nhờ tính tiện lợi: người dùng chỉ cần nhập một dãy số được gửi về điện thoại để hoàn tất giao dịch. Tuy nhiên, chính sự đơn giản đó lại mở ra những lỗ hổng lớn.

 Ông Ant Allan, Phó Chủ tịch phân tích tại Gartner Research, nhận định rằng không có phương thức xác thực nào là tuyệt đối an toàn, nhưng rõ ràng có những phương pháp vượt trội hơn những cách con người đã sử dụng suốt nhiều thập kỷ qua. Trong bức tranh toàn cảnh về an ninh mạng hiện nay, OTP qua SMS đang dần tụt lại phía sau.

SMS – công nghệ cũ trong cuộc chiến tội phạm mạng hiện đại

Một trong những rủi ro nghiêm trọng nhất của OTP qua SMS là khả năng bị tấn công thông qua hình thức chiếm đoạt SIM. Khi kẻ gian kiểm soát được số điện thoại, toàn bộ tin nhắn xác thực, từ ngân hàng đến email, mạng xã hội đều có thể bị tiếp quản. Theo Báo cáo Tội phạm Internet năm 2023 của FBI, riêng tại Mỹ, thiệt hại do các vụ chiếm đoạt SIM đã lên tới gần 100 triệu USD chỉ trong một năm. Ở nhiều quốc gia châu Âu, các ngân hàng cũng ghi nhận không ít trường hợp khách hàng bị rút sạch tiền chỉ sau vài giờ vì mã OTP bị chuyển sang tay hacker.

Điều đáng lo ngại là nạn nhân thường không nhận ra ngay việc SIM đã bị chiếm quyền. Điện thoại mất sóng, tưởng do lỗi mạng, nhưng thực tế, các mã xác thực đang được gửi sang thiết bị của kẻ gian. Khi người dùng phát hiện ra bất thường thì tiền trong tài khoản có thể đã "không cánh mà bay".

OTP qua SMS không được mã hóa, dễ bị nghe lén

Không giống các nền tảng xác thực hiện đại, tin nhắn SMS không được mã hóa đầu cuối, khiến dữ liệu có thể bị chặn trong quá trình truyền tải. Các chuyên gia an ninh mạng từng nhiều lần cảnh báo rằng SMS có thể bị thu thập thông qua trạm phát sóng giả hoặc phần mềm gián điệp. Báo cáo của hãng bảo mật Positive Technologies từng cho biết hầu hết các mạng di động trên thế giới đều tồn tại lỗ hổng cho phép chặn SMS trong một số điều kiện kỹ thuật nhất định. Điều này đồng nghĩa với việc OTP gửi qua tin nhắn, về lý thuyết, có thể bị "đọc trộm" bất cứ lúc nào.

Nạn nhân bị lừa ngay cả khi… bảo mật đầy đủ

Ngoài nguy cơ bị chặn giữa đường truyền, OTP qua SMS còn cực kỳ dễ bị khai thác thông qua các cuộc tấn công lừa đảo giả mạo. Do mã OTP không gắn với thiết bị hay giao dịch cụ thể, hacker chỉ cần dựng một website giả mạo ngân hàng hoặc app dịch vụ, dụ người dùng đăng nhập và nhập OTP, là có thể chiếm quyền kiểm soát tài khoản.

Bà Tracy C. Kitten, Giám đốc phụ trách an ninh tại Javelin Strategy & Research, cho biết nhiều nạn nhân thậm chí còn không biết rằng hacker đang nhận mã OTP thay mình. "Người dùng có thể yêu cầu gửi lại OTP mà không hề hay biết kẻ gian đang nhận được chính mã đó. Đến khi phát hiện, thường đã quá muộn", bà Kitten cảnh báo.

Ứng dụng độc hại biến điện thoại thành thiết bị "theo dõi"

Rủi ro với OTP SMS đặc biệt lớn đối với người dùng Android – nơi nhiều ứng dụng có thể xin quyền đọc tin nhắn. Khi điện thoại vô tình cài các app giả mạo hoặc phần mềm trôi nổi, mã OTP có thể bị thu thập âm thầm. Trong vài năm gần đây, các chiến dịch tấn công bằng mã độc như FluBot, Anatsa hay Xenomorph đã gây ra hàng loạt vụ mất tiền tại Đông Nam Á bằng cách tận dụng khả năng đọc trộm SMS ngân hàng của malware.

Không chỉ vậy, SMS còn thiếu ổn định về mặt kỹ thuật. Tin nhắn có thể đến chậm trong giờ cao điểm, không đến khi roaming hoặc gián đoạn khi nhà mạng gặp sự cố. Với các giao dịch tài chính, chỉ cần chậm vài phút cũng có thể khiến người dùng rơi vào thế bị động.

Trước rủi ro ngày càng rõ ràng, giới công nghệ và tài chính đã bắt đầu chuyển dịch sang những phương thức bảo mật mới. Các ứng dụng tạo mã xác thực như Google Authenticator hay Microsoft Authenticator được đánh giá cao vì sinh mã trực tiếp trên thiết bị, không phụ thuộc vào nhà mạng. 

Cao hơn nữa là công nghệ passkey và FIDO2 – tiêu chuẩn xác thực không mật khẩu mà Google, Apple và Microsoft đang thúc đẩy. Ông Cedric Thevenet, Phó Chủ tịch phụ trách an ninh mạng tại Capgemini Americas, cho rằng tương lai của xác thực là không còn phụ thuộc vào mật khẩu hay OTP qua SMS. Thay vào đó, danh tính người dùng sẽ được gắn chặt với thiết bị cá nhân một cách an toàn tuyệt đối.

Tại Việt Nam, nhiều ngân hàng đã liên tục cảnh báo khách hàng không chia sẻ OTP và khuyến nghị chuyển sang sử dụng xác thực trên ứng dụng. Một số ngân hàng thậm chí đã ngừng cung cấp OTP qua tin nhắn cho các giao dịch giá trị lớn, thay bằng Soft OTP hoặc xác thực sinh trắc học.

Đức Anh