Theo Vietcombank, để kích hoạt dịch vụ Digibank và mở Smart OTP đều phải xác thực qua tin nhắn.

Trong công văn phản hồi vụ việc của ông Luận, theo Vietcombank thì tài khoản trên ứng dụng VCB Digibank của nạn nhân đã được kích hoạt, thực hiện lệnh chuyển tiền trên một thiết bị khác. Ông Luận cho rằng mình không cung cấp, chia sẻ tài khoản hay mật khẩu cho ai.

Theo quy trình của Vietcombank, khi khách hàng chuyển đổi ứng dụng Digibank sang một thiết bị mới và muốn kích hoạt Smart OTP (mã bảo mật bên trong ứng dụng, không cần nhận qua SMS), họ sẽ phải xác thực từng bước một bằng hình thức nhập OTP qua SMS.

Sau khi tra soát, Vietcombank cho biết hệ thống đã gửi tin nhắn chứa mã xác thực tới số điện thoại của khách hàng 2 lần để kích hoạt Digibank và Smart OTP, và cả 2 lần mã xác thực đều được nhập chính xác.

Tiếp sau đó, hệ thống yêu cầu người dùng phải thực hiện 2 giao dịch với hình thức xác thực OTP qua SMS mới có thể dùng Smart OTP. Ở khâu này, đối tượng tiếp tục nhập đúng mã xác thực và chuyển 89 triệu cho một tài khoản tại Ngân hàng Đông Nam Á (SEA Bank).

Sau khi dùng được tính năng Smart OTP trên thiết bị mới, đối tượng thực hiện 2 giao dịch, chuyển 317 triệu đồng tới tài khoản tại Ngân hàng Hàng hải Việt Nam (MSB).

Cần loại bỏ xác thực OTP SMS khỏi các giao dịch ngân hàng

Dựa trên công văn của Vietcombank, có thể thấy đối tượng lừa đảo đã phải chiếm được quyền kiểm soát, đọc tin nhắn điện thoại của ông Luận mới có thể nhập đúng OTP qua SMS tới 4 lần.

Lý giải về vụ hack này, chuyên gia bảo mật cho rằng lỗ hổng trong phương thức xác thực SMS OTP chính là điểm yếu được hacker tận dụng.

Vào tháng 6, Bkav cũng cảnh báo về ứng dụng chạy ẩn trên các trang web giả mạo Bộ Công an, có khả năng thu thập dữ liệu của người dùng khi cài vào máy. Ảnh: Bkav.

Trong bài viết trên diễn đàn bảo mật Whitehat, nhóm chuyên gia an ninh mạng của Bkav cho rằng có 2 kịch bản mà hacker có thể dựng lên để lừa người sử dụng. Trong đó, kịch bản đầu tiên là kẻ xấu lừa nạn nhân nhập OTP và website giả mạo để chiếm mã OTP, từ đó tạo ra giao dịch chuyển tiền giả.

Kịch bản thứ hai là kẻ xấu lừa nạn nhân cài phần mềm gián điệp trên điện thoại, có khả năng theo dõi mọi thông tin, bao gồm cả tin nhắn chứa mã OTP và thông tin đăng nhập vào ứng dụng ngân hàng. Với các thông tin này, hacker có thể tự thực hiện giao dịch chuyển tiền.

Tuy vậy, một số chuyên gia an ninh quốc tế lại cho rằng thiết bị người dùng có thể đã không bị chiếm quyền.

"Theo thông báo từ ngân hàng, tài khoản đã bị ăn cắp và đăng nhập ở một thiết bị mới, nên có vẻ không phải nạn nhân bị 'điều khiển từ xa'", Phạm Văn Toàn, chuyên gia về bảo mật đang làm việc tại một tập đoàn công nghệ ở Singapore chia sẻ với Zing.

Theo chuyên gia Phạm Văn Toàn, với hình thức gửi OTP qua SMS, có đến 3 phía có thể bị tấn công gồm: ngân hàng, nhà mạng và người dùng.

Ở phía người dùng, có thể điện thoại bị cài các ứng dụng bên thứ 3 có quyền đọc tin nhắn. Về phía ngân hàng, có thể giải thuật cấp OTP của họ đã bị đoán được hoặc server bị hack.

Trong khi đó, thông tin truyền giữa các cột sóng của nhà mạng có thể đã bị giải mã, server nhà mạng bị hack hoặc thậm chí SIM vật lý của người dùng đã bị sao chép.

"Hình thức OTP qua SMS đã không còn an toàn bởi nó có đến 3 bên có thể bị tấn công", Nguyễn Trí Đức, chuyên gia an ninh mạng đang làm việc tại Mỹ cho biết.

Theo ông Đức, các ngân hàng có thể tham khảo các công cụ tạo mã xác thực như Google Authenticator hay Duo Mobile. "Những trình tạo mã này không cần Internet, không cần nhận tin nhắn, từ đó loại bỏ các yếu tố can thiệp bên ngoài", ông Đức nói thêm.

(Theo Zing)

Vụ “hack” 400 triệu trong tài khoản ngân hàng: Có nên bảo mật bằng mã OTP?

Theo ông Nguyễn Tử Quảng, việc bảo mật bằng mã OTP có những điểm yếu nhất định. Đây là nguyên nhân dẫn tới những vụ trừ tiền tài khoản ngân hàng thời gian qua.  

Theo cáo trạng, John McAfee bị tố không nộp thuế trong 4 năm bất chấp kiếm được hàng triệu USD từ năm 2014 tới 2018 từ tiền ảo, tư vấn, thuyết trình và bán bản quyền câu chuyện cuộc đời cho một bộ phim tài liệu. Cáo trạng viết McAfee trốn thuế bằng cách gửi tiền vào các tài khoản ngân hàng và tiền ảo đứng tên người khác. Ngoài ra, ông còn dùng tên người khác để che giấu quyền sở hữu tài sản, trong đó có một chiếc du thuyền.

Nếu bị kết tội, John McAfee có thể ngồi tù tối đa 5 năm với mỗi tội danh trốn thuế và tối đa 1 năm với mỗi tội danh cố ý không khai thuế. McAfee cũng phải đối mặt với khả năng bị giám sát và nộp phạt 350.000 USD.

Ngoài ra, ông trùm bảo mật còn bị Ủy ban Hối đoái và Chứng khoán Mỹ (SEC) đâm đơn kiện vào ngày 5/10, cáo buộc ông kiếm được hàng triệu USD từ việc đề xuất một số dịch vụ ICO trên Twitter mà không nói rõ ông được các công ty trả tiền để quảng bá chúng. Ông còn tự nhận là một nhà đầu tư/cố vấn kỹ thuật khi đưa ra đề xuất, tạo ấn tượng ông đã tìm hiểu những công ty liên quan và sẵn sàng rót tiền vào họ. Thực tế, các tweet của ông đều là bài đăng trả tiền ngụy trang dưới hình thức tư vấn đầu tư. Theo SEC, ông đã thu về hơn 23 triệu USD từ hành vi này.

Du Lam (Theo CNN)

McAfee: Triều Tiên giấu 3 phần mềm gián điệp trong kho ứng dụng Google

Các chuyên gia an ninh mạng của công ty bảo mật McAfee đã phát hiện 3 ứng dụng gián điệp ẩn nấp trong kho phần mềm Google Play dành cho các thiết bị Android. 3 ứng dụng này có dấu tích của hacker Triều Tiên.

Nhiệt độ dao động trong khoảng 30-34 độ C, độ ẩm tương đối phổ biến 49%, mật độ mây 70%.

Dự báo chỉ số UV: Các quận, huyện của TP.HCM đều có chỉ số tia UV chạm ngưỡng nguy cơ gây hại cao.

Thời tiết các tỉnh Nam Bộ ngày 25/11/2024

Nam Bộ đêm mưa rào và dông vài nơi, ngày nắng. Gió đông bắc cấp 2-3.

Nhiệt độ thấp nhất 23-26 độ C. Nhiệt độ cao nhất 31-34 độ C.

Cụ thể, TP Phú Quốc 32 độ C, TP Cà Mau 32 độ C, TP Bạc Liêu 32 độ C, TP Bến Tre 32 độ C, TP Sóc Trăng 33 độ C, TP Cần Thơ 33 độ C, TP Châu Đốc 33 độ C, TP Vĩnh Long 33 độ C, TP Cao Lãnh 33 độ C, TP Tây Ninh 34 độ C, TP Thủ Dầu Một 34 độ C, huyện Đồng Phú 34 độ C, TP.HCM 34 độ C và TP Biên Hoà 35 độ C.

Trên biển: Vùng biển từ Bà Rịa - Vũng Tàu đến Cà Mau gió Đông Bắc có cường độ cấp 5, có lúc cấp 6, giật cấp 7-8. Thời tiết biển có mưa rào và dông, trong cơn dông cần đề phòng có gió giật mạnh và lốc xoáy.

Dự báo thời tiết các vùng trên cả nước ngày 25/11/2024

Hà Nội mưa vài nơi, sáng sớm có nơi sương mù, trưa chiều giảm mây hửng nắng. Gió nhẹ. Đêm và sáng trời lạnh. Nhiệt độ thấp nhất 20-22 độ C. Nhiệt độ cao nhất 26-28 độ C.

Phía Tây Bắc Bộ mưa vài nơi, sáng sớm có nơi sương mù, trưa chiều giảm mây hửng nắng. Gió nhẹ. Đêm và sáng trời lạnh. Nhiệt độ thấp nhất 18-21 độ C, có nơi dưới 15 độ C. Nhiệt độ cao nhất 25-28 độ C.

Phía Đông Bắc Bộ mưa vài nơi, sáng sớm có nơi sương mù, trưa chiều giảm mây hửng nắng. Gió nhẹ. Đêm và sáng trời lạnh. Nhiệt độ thấp nhất 19-22 độ C, vùng núi có nơi dưới 19 độ C. Nhiệt độ cao nhất 25-28 độ C.

Thanh Hóa - Thừa Thiên Huế có mưa, mưa rào rải rác và có nơi có dông, cục bộ có nơi mưa to. Gió bắc đến tây bắc cấp 2-3. Nhiệt độ thấp nhất 21-24 độ C. Nhiệt độ cao nhất 23-26 độ C.

Đà Nẵng đến Bình Thuận phía Bắc có mưa, mưa rào rải rác và có nơi có dông, cục bộ có nơi mưa to. Phía Nam đêm mưa rào và dông vài nơi, ngày nắng. Gió đông bắc cấp 2-3. Nhiệt độ thấp nhất 23-26 độ C. Nhiệt độ cao nhất phía Bắc 27-29 độ C, phía Nam 29-32 độ C.

Tây Nguyên đêm mưa rào và dông vài nơi, ngày nắng. Gió đông bắc cấp 2-3. Nhiệt độ thấp nhất 20-23 độ C. Nhiệt độ cao nhất 27-30 độ C.