OTP (viết tắt của one-time password) là khái niệm dựa trên Thuật toán Mật khẩu một lần có thời hạn, được phát minh ra vào khoảng thập niên 1980. Mã OTP sau đó được ứng dụng rộng rãi trong nhiều lĩnh vực của đời sống từ thương mại, ngân hàng và tài chính, quốc phòng, y tế đến các dịch vụ trên nền Internet. 

Trong đó, các ngân hàng là nơi ứng dụng rộng rãi nhất của mã OTP bởi tính xác thực giao dịch đơn giản mà hiệu quả của nó. Tuy nhiên, càng đơn giản bao nhiêu, mã OTP lại càng dễ trở thành mục tiêu tấn công chiếm đoạt của tội phạm mạng bấy nhiêu.

Đó là lý do nhiều ngân hàng trên thế giới liên tục tìm cách cải tiến phương thức xác thực đa lớp (multi-authentication, MFA) kết hợp cùng mã OTP để giảm thiểu tối đa những phi vụ chiếm đoạt tài sản của người dùng. Trên thế giới hiện nay, các ngân hàng đang dùng gửi mã OTP kết hợp cùng/hoặc yêu cầu nhập mã PIN/mật khẩu và/hoặc xác thực sinh trắc học (giọng nói, vân tay, mống mắt, khuôn mặt) và/hoặc xác thực cứng (thẻ thông minh, USB chứa token)...

Các biện pháp xác thực càng nhiều, người dùng càng mất nhiều thời gian nhưng sẽ nâng cao tính bảo mật và định danh chính xác. Hiện nay những công ty công nghệ lớn như Google hay Facebook cũng chuyển sang sử dụng xác thực bắt buộc hai lớp (two-factor authentication, 2FA) khi tài khoản người dùng được liên kết với thẻ tín dụng và dễ bị tổn thương trước những vụ tấn công chiếm đoạt thẻ.

Xác thực đa lớp (MFA) đang được sử dụng rộng rãi thay thế OTP.

Với các ngân hàng Việt Nam, khoảng vài năm trở lại đây, nhận ra sự sơ hở của mã OTP gửi về số điện thoại (gọi là SMS OTP), nhiều ngân hàng đã triển khai các biện pháp bảo mật tăng cường gọi là smart OTP. 

Về cơ bản, với smart OTP, người dùng sẽ phải tải ứng dụng tương ứng của ngân hàng, đăng nhập bằng mật khẩu (hoặc mã PIN) rồi sau đó phải xác thực bằng mã OTP gửi về chính ứng dụng đó, thay vì gửi về số điện thoại ở phương thức cũ SMS OTP. Phương pháp này cũng tương đương 2FA nói trên, theo các chuyên gia.

Trở lại trường hợp của ông Trần Việt Luận (TP.HCM) bốc hơi 406 triệu đồng trong tài khoản Vietcombank chỉ trong vòng 7 phút như đã nói từ đầu. Do không nhận được thông báo xác thực và biến động số dư nên ông này chỉ biết tiền đã ‘không cánh mà bay’ sau khi ra ngân hàng giao dịch.

Phía Vietcombank cho biết tài khoản của khách hàng này đã kích hoạt ứng dụng VCB Digibank trên thiết bị khác và gửi đi 4 tin nhắn xác thực, 4 tin nhắn thông báo số dư biến động. Như vậy, theo các chuyên gia, ông Luận có thể chưa từng sử dụng VCB Digibank hoặc là đã bị tin tặc chiếm đoạt số điện thoại gắn với tài khoản Internet Banking. 

Biện pháp xác thực bằng smart OTP của Vietcombank.

Theo tìm hiểu của ICTnews, Vietcombank đang triển khai hình thức xác thực smart OTP trên ứng dụng VCB Digibank yêu cầu khớp mã giao dịch. Nhiều ngân hàng khác như SCB, VPBank, Tecombank, NCB... cũng triển khai những biện pháp bảo mật 2FA tương tự. Đặc biệt, MSB đã áp dụng 2FA kết hợp sinh trắc học. Vấn đề của các biện pháp bảo mật này là dù an toàn hơn SMS OTP nhưng phụ thuộc vào ý thức bảo mật thông tin cá nhân của người dùng cuối. 

Để chiếm đoạt tiền trong tài khoản kiểu này, tin tặc vừa phải biết được mật khẩu đăng nhập app, vừa phải có số điện thoại liên kết với tài khoản ngân hàng đúng với tài khoản đăng nhập vào app. Khả năng bị mất hết những thông tin này xảy ra khi người dùng bị lừa đăng nhập vào một trang web giả mạo, bị lừa nhập mã OTP lần đầu dẫn đến mất quyền truy cập vào tài khoản online ở lần sau mà hay không hề hay biết, theo các chuyên gia.

Các chuyên gia nhận định, biện pháp bảo mật smart OTP này, dù vậy vẫn đang đi sau thế giới. Theo quy định Chỉ thị Dịch vụ Thanh toán (PSD2) do Liên minh châu Âu ban hành năm 2019, dịch vụ tài chính bắt buộc phải có xác thực hai lớp, tiến tới ba lớp. Ba lớp này phải gồm một lớp mà người dùng biết (ví dụ mật khẩu), một lớp mà người dùng sở hữu (ví dụ thẻ, USB) và một lớp định danh người dùng (ví dụ giọng nói, vân tay, khuôn mặt). 

Mã OTP nói chung đang dần bị thay thế trên toàn thế giới và nhường chỗ cho các loại xác thực đa lớp khác. Báo cáo của M&M dự báo thị trường xác thực đa lớp sẽ đạt giá trị 12,5 tỷ USD vào năm 2022 với dự báo tăng trưởng hàng năm đạt 15,52%.

Phương Nguyễn

Vụ “hack” 400 triệu trong tài khoản ngân hàng: Có nên bảo mật bằng mã OTP?

Theo ông Nguyễn Tử Quảng, việc bảo mật bằng mã OTP có những điểm yếu nhất định. Đây là nguyên nhân dẫn tới những vụ trừ tiền tài khoản ngân hàng thời gian qua.  

Ngay trước đó, trong ba tháng 7, 8 và 9/2020, hệ thống kỹ thuật của Trung tâm Giám sát an toàn không gian mạng quốc gia cũng ghi nhận số lượng sự cố tấn công mạng vào các hệ thống thông tin tại Việt Nam tiếp tục giảm hoặc tăng không nhiều qua các tháng.

Cụ thể, trong tháng 7/2020, đã có 521 sự cố tấn công mạng vào các hệ thống thông tin tại Việt Nam gồm 232 cuộc Phishing (tấn công lừa đảo), 168 cuộc Deface (tấn công thay đổi giao diện) và 121 cuộc Malware (tấn công cài mã độc) được NCSC ghi nhận, cảnh báo và hướng dẫn xử lý, giảm 0,19% so với tháng 6/2020.

Trong tháng 8/2020, tổng số sự cố tấn công mạng vào các hệ thống thông tin tại Việt Nam được NCSC ghi nhận, cảnh báo và hướng dẫn xử lý là 517 (199 cuộc Phishing, 160 cuộc Deface, 158 cuộc Malware), giảm 0,77% so với tháng 7/2020.

Với tháng 9/2020, số liệu của NCSC cho thấy, đã có 524 sự cố tấn công mạng vào các hệ thống thông tin tại Việt Nam được ghi nhận, cảnh báo và hướng dẫn xử lý (204 cuộc Phishing, 158 cuộc Deface, 162 cuộc Malware), tăng 1,35% so với tháng 8/2020.

Tính chung cả 10 tháng đầu năm nay, Trung tâm NCSC thuộc Cục An toàn thông tin, Bộ TT&TT đã ghi nhận, cảnh báo và hướng dẫn xử lý tổng số 4.161 sự cố tấn công mạng vào các hệ thống thông tin tại Việt Nam, giảm 7,82% so với cùng kỳ 10 tháng đầu năm 2019.

Đặc biệt, từ sau khi Bộ TT&TT chủ trì, phối hợp cùng các doanh nghiệp làm an toàn thông tin trong và ngoài nước bắt đầu triển khai chiến dịch “Rà soát và bóc gỡ mã độc trên toàn quốc năm 2020” cho đến giữa tháng 10/2020, số lượng địa chỉ IP của Việt Nam nằm trong các mạng máy tính ma (IP Botnet) đã giảm mạnh, từ hơn 2 triệu xuống còn trên 1,3 triệu.

Theo đánh giá của các chuyên gia, việc số lượng sự cố tấn công mạng được ghi nhận, cảnh báo và hướng dẫn xử lý chỉ tăng nhẹ, số lượng địa chỉ IP Botnet tiếp tục giảm so với tháng trước cho thấy dấu hiệu khả quan khi giảm liên tiếp trong 4 tháng gần đây.

Nhận thức về an toàn thông tin cải thiện rõ rệt

Ở góc nhìn của một doanh nghiệp, trong trao đổi tại tọa đàm trực tuyến “Giải pháp nào nâng cao chỉ số an toàn, an ninh mạng của Việt Nam?” được chuyên trang ICTnews của báo VietNamNet phối hợp với Cục An toàn thông tin, Bộ TT&TT tổ chức chiều 30/10,  ông Nguyễn Thành Đạt, Phó Tổng Giám đốc Công ty cổ phần công nghệ an ninh không gian mạng Việt Nam (VNCS), Giám đốc điều hành VNCS Global đánh giá, thời gian qua, công tác đảm bảo an toàn, an ninh mạng ở khối các cơ quan, tổ chức, doanh nghiệp nhà nước đã có những chuyển biến tích cực.

“Thực tiễn khi chào hàng và cung cấp dịch vụ cho nhiều cơ quan, tổ chức, doanh nghiệp tại Việt Nam, chúng tôi nhận thấy các đơn vị đều ý thức rất rõ sự cần thiết phải xây dựng những phương án đảm bảo an toàn cho các hệ thống thông tin. Tôi nghĩ đó là nhờ thời gian vừa qua có sự thúc đẩy của Chính phủ, Bộ TT&TT thông qua cơ chế, chính sách cụ thể để hỗ trợ các doanh nghiệp làm an toàn thông tin trong nước tích cực tham gia vào công cuộc bảo mật cho các cơ quan, đơn vị”, ông Nguyễn Thành Đạt chia sẻ.

Tuy nhiên, vị Phó Giám đốc VNCS cũng nhận định, vẫn còn tương đối nhiều khó khăn liên quan đến vấn đề tài chính, nhân lực nên không ít đơn vị chưa thực sự triển khai đảm bảo an toàn thông tin được mạnh mẽ.

Nhấn mạnh nhận thức của lãnh đạo và người dùng là yếu tố hết sức quan trọng để đảm bảo an toàn thông tin, đại diện VNCS cho biết thêm, qua tiếp xúc với nhiều đơn vị, có thể thấy người đứng đầu đều nhận thức rất rõ vai trò của an toàn thông tin đối với hoạt động của đơn vị mình. 

Dù vậy, vẫn còn một số đơn vị, thường là những cơ quan không chuyên về CNTT, khi được các cán bộ CNTT đề xuất thực hiện một số biện pháp đảm bảo an toàn thông tin thì không dễ dàng được phê duyệt và cấp kinh phí thực hiện. “Vì thế, vấn đề nâng cao nhận thức về đảm bảo an toàn thông tin, nhất là cho các lãnh đạo cần được tiếp tục chú trọng trong thời gian tới”, đại diện Công ty VNCS nói. 

Theo bác sĩ Phan Tấn Đức, Trưởng khoa Thận niệu, phẫu thuật nối niệu quản khó vì miệng nối bị căng, khó lành, nguy cơ rò miệng nối khá cao. Trường hợp này được xem là hy hữu, khó hơn nhiều vì bé đã nhiễm trùng, rò nước tiểu sau lần nối đầu tiên. 

Cha bệnh nhi cho biết, ngày xảy ra tai nạn, bé đi cùng cha mẹ trên xe tải để vận chuyển hàng là nhiều hộp thủy tinh. Xe bất ngờ đứt phanh, tông thẳng vào đuôi xe tải chở gỗ phía trước với lực rất mạnh.

Sau cú tông, các mảnh kính vỡ văng ra xung quanh làm thủng bụng trẻ, lộ dạ dày và ruột, nhiều mảnh kính nhỏ rơi vào trong bụng nạn nhân.

Trước tình huống trên, các bác sĩ khuyến cáo phụ huynh hãy đảm bảo an toàn khi tham gia giao thông, đặc biệt khi có con trẻ đi cùng. Không cho bé ngồi gần những vật sắc nhọn, dễ vỡ, dễ gây tổn thương. 

Cũng tại Bệnh viện Nhi đồng 2, hầu như mỗi ngày, Khoa Cấp cứu đều tiếp nhận từ 1 - 3 trường hợp trẻ bị tai nạn giao thông khi vào năm học mới.

Bác sĩ Vũ Hiệp Phát, Trưởng khoa Cấp cứu nhận định, mật độ xe cộ, tần suất giao thông trên đường sẽ tăng cao khi phụ huynh đưa đón trẻ đến trường, trẻ lớn từ 12 - 16 tuổi điều khiển xe đạp, xe đạp điện... cùng tham gia giao thông. 

Để đảm bảo an toàn, phụ huynh nên thắt dây an toàn cho trẻ nhỏ, đội mũ bảo hiểm và nhắc nhở trẻ ngồi ngay ngắn, đề phòng trẻ ngủ gật…

Thường xuyên nhắc nhở nhóm học sinh từ 12 - 16 tuổi cẩn thận, tuân thủ luật giao thông, tránh đùa giỡn, thách đố nhau khi đang điều khiển xe đạp, xe đạp điện, đề phòng các tai nạn đáng tiếc xảy ra.

Đau dữ dội trong đêm, bé trai Hà Nội suýt phải cắt bỏ tinh hoàn