Mật khẩu dùng một lần (OTP) giúp xác thực các lệnh giao dịch trực tuyến được đưa ra từ người có quyền truy cập tài khoản hợp pháp, nhưng tuỳ từng giải pháp nhận mã OTP mà cấp độ bảo mật khác nhau. Đây là hình thức nhận OTP phổ biến đối với khách hàng cá nhân, mỗi khi khách hàng thực hiện lệnh giao dịch, mã OTP sẽ được gửi đến dưới dạng SMS thông qua số điện thoại mà người dùng đã đăng ký.

Hiện nay, tuỳ từng ngân hàng mà mã OTP nhận qua SMS vẫn xác thực được các giao dịch với hạn mức lên tới 300 triệu đồng. Tuy nhiên, từ 1/1/2019, hình thức nhận mã OTP qua SMS được phân loại là giao dịch loại B với hạn mức giao dịch 1 ngày tới 100 triệu đồng. Vậy có bao nhiêu biện pháp xác thực bằng OTP?

Soft Token và Smart Token là những ứng dụng được cài đặt lên các thiết bị thông minh. Để cài đặt được ứng dụng, khách hàng phải đăng ký với ngân hàng và mỗi thiết bị chỉ cài đặt được một ứng dụng tạo mã OTP. Smart OTP sẽ sử dụng thuật toán đồng bộ với hệ thống ngân hàng trong cùng thời điểm và sinh ra mã OTP ngẫu nhiên với giới hạn hiệu lực từ 30 giây - 1 phút.

Đối với Soft Token/Smart Token còn phân thành loại có chức năng xác thực người dùng Token hay không có chức năng này, ứng với hạn mức giao dịch nằm trong nhóm giao dịch loại B hay loại C.

Điểm tiện dụng của phương thức này, giúp khách hàng có thể lấy mã OTP mà không cần sóng di động, không cần Internet rất tiện dụng cho khách hàng cá nhân. Nhiều ngân hàng khuyến khích khách hàng sử dụng hình thức lấy mã OTP qua Soft Token bằng cách miễn phí dịch vụ.

Tuy nhiên, do gắn với thiết bị cá nhân nên việc sử dụng Soft Token hay Smart Token đôi khi gây ra bất tiện trong doanh nghiệp, nơi vốn có hoạt động uỷ quyền thanh toán cho một vài vị trí nhất định.

Theo Softpedia, công ty bảo mật Nga cho biết hầu hết các ứng dụng này đều nằm trong mục "Sports" (ứng dụng liên quan thể thao) và cung cấp các tính năng như stream nhằm che giấu việc chiếm dụng tài nguyên gây ra bởi việc đào tiền mã hoá.

Ví dụ, một ứng dụng stream bóng đá của Bồ Đào Nha, với hơn 100.000 lượt tải, bị chèn vào một đoạn mã khởi chạy khi người dùng bắt đầu stream. Bằng cách này, đoạn mã độc kia sẽ rất khó bị phát hiện, bởi mọi người đều lầm tưởng rằng CPU hoạt động quá nhiều là do đang stream.

"Các ứng dụng này truy cập đến máy chủ placartv.com. Đây cũng là tên miền được sử dụng trong địa chỉ email của nhà phát triển, được liệt kê trên Play Store. Có thể người dùng không để ý, nhưng trang web placartv.com sẽ chạy một đoạn mã để đào tiền mã hoá mỗi khi họ truy cập" - Kaspersky cho biết.

Công ty bảo mật này cũng cho biết không chỉ các ứng dụng thể thao, các đoạn mã đào tiền ảo còn được tích hợp vào rất nhiều ứng dụng khác, bao gồm một ứng dụng tổng hợp sản phẩm giảm giá, nhưng thay vì mở ra các trang web chứa các sản phẩm đó, nó lại tải các trang web chứa mã đào tiền ảo.

Bên cạnh các ứng dụng nêu trên, Kaspersky còn phát hiện một ứng dụng mang tên "Crypto Mining for Children" (?!) với miêu tả là "đào tiền ảo vì mục đích từ thiện".

"Phần miêu tả của ứng dụng này không đề cập gì đến nơi nào hoặc làm cách nào số tiền đào được sẽ được sử dụng - một thông tin tối quan trọng mà bất kỳ tổ chức gây quỹ từ thiện nào cũng sẽ công khai. Hơn nữa, tên của nhà phát triển lại trông khá giống với tên của một ứng dụng di động nổi tiếng (ứng dụng ví tiền ảo), nhưng lại thiếu mất một ký tự. Đây là thủ đoạn thường được sử dụng bởi những kẻ lừa đảo" - Kaspersky nói.

Google đã được thông báo về các ứng dụng này và tiến hành loại bỏ toàn bộ số ứng dụng mà Kaspersky phát hiện ra, có nghĩa là chúng ta đã có thể tạm thời an tâm. Tuy nhiên, những khách hàng đã cài các ứng dụng tương tự như đã nói ở trên nên sử dụng các biện pháp bảo mật có khả năng phát hiện mã đào tiền ảo (như ứng dụng Malwarebyte trên Play Store), hoặc sử dụng các ứng dụng kiểm soát CPU để theo dõi các hoạt động sử dụng CPU bất thường - dấu hiệu của các đoạn mã độc ẩn trong các ứng dụng đang hoạt động.

Những chú chuột điện đang đưa mình say mê theo những nốt nhạc thì bỗng dưng có chuyện gì đó không ổn. Bộ trang phục của con Pikachu đứng đầu bỗng dưng xì hơi và bắt đầu rũ sụp xuống. Tuy vậy, chú vẫn cố gắng hoàn thành bài nhảy, cho đến khi 7 người đàn ông trong những bộ suit đen (giống y nhân vật phản diện) lao lên và túm khỏi sân khấu.

Sự cố xảy ra vào khoảng thời điểm 1:00 trong video dưới đây, do người dùng YouTube có tên Green Lime đăng tải và chia sẻ với The Verge. Khi bộ đồ Pikachu bắt đầu co lại và sụp xuống trước đám đông khán giả, một nhân viên mang áo sơ mi trắng dài tay của sự kiện đã hớt hải chạy lên, nhưng bị ngăn lại bởi một chiếc áo đen khác, vì tưởng là kẻ lạ vào gây rối.

Những người này đã cố gắng để phục hồi chú chuột tội nghiệp trở lại trạng thái ban đầu và đưa cậu nhóc trở về hàng ngũ vào khoảng 4:35, nhưng lúc đó thì bài hát đã kết thúc mất rồi.

Theo Game4V