Khách hàng đã làm gì trên trang web giả mạo?
Nhiều chuyên gia cho rằng có thể hacker đã chiếm quyền kiểm soát tài khoản ngân hàng trực tuyến của khách hàng Vietcombank từ ngày 28/7 mà không cần đợi đến đêm thứ 3. Ngày 4 tháng 8, sáng ngày 4 tháng 8-khi thực hiện chuyển khoản. Vì vậy, khi bị mất tiền, chị không nhận được tiền trả một lần từ ngân hàng.
Theo báo cáo của Ngân hàng Viễn thông Việt Nam, chị Na Hương (Cầu Giấy, Hà Nội) đã truy cập vào một trang web giả mạo từ ngày 28-7 đến nay, đã có 7 giao dịch lừa đảo. Đường dẫn http://creatingacreator.com/kob/1/index.htm trên giao diện giống Vietcombank buộc khách hàng vô tình nhập các thông tin như tên tài khoản (user name) và mật khẩu trên Internet Banking. biết rôi. Dù chị Hương luôn khẳng định chưa vào trang web lạ này nhưng Ngân hàng Viễn thông Việt Nam cho biết, tại buổi làm việc ngày 11/8, nhân viên ngân hàng đã yêu cầu chị xác minh và phát hiện đường link này vẫn được lưu trong lịch sử điện thoại.
Khách hàng chưa nhận được thông báo từ ngân hàng về việc thay đổi hình thức đăng ký từ OTP sang Smart OTP.
Rất có thể hacker sẽ dần dần nhắc người dùng cài đặt Smart OTP mà Hương không hề hay biết trên giao diện ngân hàng trực tuyến giả mạo của Viễn thông Việt Nam. Để kích hoạt phương thức xác thực mới này, khách hàng sẽ nhận được mã xác thực OTP qua SMS.
Chuyên gia thanh toán thẻ giải thích rằng trang web giả mạo sẽ không hiển thị nội dung giao hàng. Bản dịch của khách hàng là d’activate Smart OTP, có thể chỉ cần nhắc anh ta xác nhận một số thông tin tài khoản nhất định. Do đó, không loại trừ trường hợp chị Hương nhập mã OTP vào trang web giả mạo mà không biết mục đích là để kích hoạt phương thức xác thực mới.
Vietcombank Smart OTP hoạt động như thế nào? – Nếu chị Na Hương thực sự vào một trang web giả mạo và bị dụ dỗ gửi thông tin, thậm chí kích hoạt quyền Smart OTP cho hacker, nhiều chuyên gia cho rằng Viễn thông Việt Nam cũng phải chịu trách nhiệm về quy trình bảo mật không an toàn. Vietcombank ra mắt Smart OTP vào đầu năm 2015. Công nghệ này được đánh giá là có ưu điểm vượt trội so với các hình thức tạo OTP hiện có. Ưu điểm đầu tiên là OTP thông minh có thể tạo mã OTP bất cứ lúc nào mà không cần tín hiệu điện thoại hay thiết bị tạo OTP phần cứng đắt tiền. Tuy nhiên, theo giám đốc điều hành một ngân hàng cổ phần, lỗ hổng có thể là việc Ngân hàng Viễn thông Việt Nam cho phép người dùng cài đặt Smart OTP trên một thiết bị di động khác thay vì trên thiết bị có thẻ SIM. Với ngân hàng. Tức là nếu bạn đăng ký bằng điện thoại thông minh iPhone có số đăng ký 091xxx123 nhận OTP qua SMS thông thường thì bạn vẫn có thể đăng ký cài đặt Smart OTP trên điện thoại hoặc máy tính bảng khác. Con số là 123. Đối với khách hàng Na Hương, sau khi lừa cô vào trang web giả mạo, kẻ gian đã tìm cách bắt cô nhập mã OTP một lần để kích hoạt Smart OTP của cô Hương trên thiết bị. Hack điện thoại di động. — Vietcombank cho phép khách hàng cài đặt Smart OTP trên thiết bị di động không phải thiết bị di động có gắn SIM để nhận mã OTP.
Ngoài ra, dù chị Na Hương là hacker lừa đảo thì chỉ cần nhập mã OTP kích hoạt Smart OTP (không biết), khi hacker kích hoạt thành công Smart OTP thì ngân hàng vẫn có tin nhắn thông báo. Một tài khoản. Phương thức xác thực được chuyển từ’OTP sang Smart OTP. Vậy tại sao chị Na Hương không nhận được tin nhắn này và vẫn không biết gì về khái niệm Smart OTP cho đến khi chị trình báo với Ngân hàng Viễn thông Việt Nam.
“Tình huống này có thể một trong hai cơ sở chưa thực hiện được. Tuy nhiên, không có văn bản hay email nào từ ngân hàng thông báo chuyển đổi phương thức xác thực thành công là điều vớ vẩn”, chuyên gia bảo mật nói.
Không chỉ vậy, theo nhiều chuyên gia bảo mật, việc mang đến cho khách hàng sự thuận tiện giao dịch trực tuyến lớn nhất đã khiến một số ngân hàng mở điều kiện “mở” cho nhiều dịch vụ. Cũng giống như Smart OTP của Vietnam Telecom, khách hàng không cần đến quầy đăng ký, cài đặt và kích hoạt mà chỉ cần nhập mã OTP (SMS).
Tổng giám đốc kiêm phó chủ tịch một ngân hàng khác cũng cho biết: Smart OTP đã có ở một số quốc gia / khu vực Các phương thức xác thực được sử dụng rộng rãi, tuy nhiên, các ngân hàng trên thế giới thường không cho phép giới hạn giao dịch Smart OTP cao mà hầu như chúng đều thấp hơn mức bình thường đối với tất cả các OTP do rủi ro cao hơn. Trong trường hợp này, mọi giao dịch trong emailc (với Smart OTP), số tiền lần lượt là 5 tỷ và 100 triệu đồng. Ai chịu trách nhiệm?
Theo Luật sư Hồ Anh Khoa, Trưởng bộ phận tư vấn doanh nghiệp của Công ty Luật Basico, trong trường hợp này, cần nói đến trách nhiệm của cả hai bên chứ không phải khách hàng hay ngân hàng. Đối với khách hàng, nếu đúng thì vào trang web giả mạo, theo ông Khoa, đây cũng là một sai lầm. Mọi khách hàng phải có ý thức bảo vệ và quản lý thông tin của mình, lường trước những rủi ro khi tham gia sử dụng dịch vụ.
Mặt khác, đối với ngân hàng, nếu đưa vào sử dụng thì phải có chức năng nâng cao tính bảo mật. s ứng dụng. Trong trường hợp này, ngân hàng cho phép khách hàng sử dụng ứng dụng trên các thiết bị khác thay vì sử dụng thiết bị di động OTP của khách hàng.
Hiện tại, mặc dù khách hàng nói rằng không thực hiện bất kỳ giao dịch nào. , Ngân hàng sẽ chứng minh cho hệ thống thấy có lệnh nhập OTP để mở chức năng xác thực OTP thông minh. Vì vậy, theo luật sư, rất cần bên thứ ba độc lập (có thể là cơ quan điều tra) vào cuộc làm rõ.
“Ngân hàng Quốc dân cũng nên quản lý toàn diện mọi người. Ông Hồ Anh Khoa nói:” Cả cơ quan tín dụng đều lo ngại rủi ro khi thanh toán qua ứng dụng điện tử.