Vụ hack ví MoMo: Thiếu cơ chế xác thực thanh toán
Việc mất mã OTP là do lỗi người dùng, tuy nhiên việc MoMo không có xác thực thanh toán dẫn đến nhiều nguy cơ về độ an toàn của tài khoản điện tử.
Thời gian gần đây, liên tục có thông tin phản ánh tình trạng người dùng bị mất tiền oan trong các ví điện tử. Mới đây nhất, anh Hữu Tiến, một người dùng MoMo đã tá hỏa khi biết khoản tiền 2,5 triệu trong tài khoản của mình đã không cánh mà bay.
Theo đó, kẻ xấu gọi điện từ một số di động đến số máy của nạn nhân và tự dưng là nhân viên tổng đài cung cấp dịch vụ của MoMo. Đối tượng này yêu cầu người anh Tiến đọc mã OTP được gửi đến. Sau khi chiếm được mã OTP, kẻ xấu đã chiếm được quyền kiểm soát ví, tự nạp tiền từ thẻ VISA/Master Card của anh Tiến vào ví. Sau đó, sử dụng ví để mua 5 mã thẻ điện thoại mệnh giá 500 ngàn đồng.
Tính năng khôi phục lại mật khẩu có thể bị kẻ xấu lợi dụng để chiếm quyền sử dụng tài khoản ví MoMo, nếu người dùng cả tin cung cấp mã xác thực OTP cho kẻ lừa đảo. Ảnh: Trọng Đạt. |
MOMO khẳng định không có lỗ hổng bảo mật
Trước câu hỏi của phóng viên VietNamNet xoay quanh vấn đề này, MoMo khẳng định hệ thống của mình không có lỗ hổng bảo mật. Hệ thống MoMo đang hoạt động ổn định và người dùng hoàn toàn an toàn.
Đơn vị này cũng thông tin thêm rằng, trưa 7/12, đại diện MoMo đã gặp làm việc với khách hàng Nguyễn Hữu Tiến để xác minh thông tin, tìm hiểu rõ hơn về tình huống mà khách hàng gặp phải.
Theo đó, anh Tiến cho biết đã cung cấp cho đối tượng lừa đảo các thông tin cá nhân và OTP được gửi tới điện thoại của anh. Sau khi được giải thích và làm rõ sự việc, anh Tiến đã hiểu được việc cung cấp mã OTP cho đối tượng lừa đảo (số điện thoại 090.654.8409) là nguyên nhân trực tiếp dẫn đến các giao dịch mua mã thẻ với tổn thất là 2,5 triệu đồng.
Cũng trong buổi gặp, hai bên thống nhất, MoMo sẽ là đơn vị chuyển thông tin đến cơ quan chức năng để giải quyết và bảo đảm quyền lợi cho anh.
Trong thời gian chờ đợi quyết định cuối cùng của cơ quan chức năng, MoMo đã tạm ứng cho anh Tiến số tiền thiệt hại 2,5 triệu đồng.
Số tiền này sẽ được anh Tiến hoàn lại cho MoMo sau khi các tổn thất của anh Tiến đã được giải quyết theo quyết định của cơ quan chức năng.
Với trường hợp của khách hàng Song Chân (TP.HCM), người vô tình bị lộ thông tin thẻ tín dụng và bị kẻ gian lợi dụng nhập thông tin thẻ vào một ví MoMo khác và tiêu tiền từ ví này. MoMo cho biết khách hàng đã sơ suất để lộ thông tin thẻ tín dụng nên đối tượng lừa đảo lợi dụng thẻ này để thanh toán cho nhiều giao dịch ở các nền tảng online khác nhau ngoài Ví MoMo.
Đơn vị này cũng đưa ra khuyến cáo tới người dùng ví điện tử, tuyệt đối không cung cấp OTP, mật khẩu, thông tin cá nhân... Đồng thời, đề cao cảnh giác đối với các cuộc gọi yêu cầu cung cấp các thông tin trên.
Ví điện tử không dùng OTP xác thực thanh toán, chuyên gia lên tiếng
Thông tin về cơ chế bảo mật đang áp dụng trong dịch vụ ví điện tử, đại diện MoMo cho biết đơn vị này áp dụng chứng chỉ bảo mật quốc tế PCI DSS, bảo mật đường truyền Internet theo tiêu chuẩn SSL/TLS. Bên cạnh đó, đơn vị này sử dụng các phương pháp xác thực bằng mật khẩu, vân tay và xác thực hai lớp (2-FA) hay mã OTP khi đăng ký tài khoản mới, đổi thiết bị hoặc đăng xuất rồi đăng nhập lại.
Khi tiến hành xác minh trên thực tế, đơn vị này có sử dụng các biện pháp nói trên. Tuy nhiên, việc xác thực OTP chỉ được thực hiện khi đăng ký tài khoản mới và đổi thiết bị. Ứng dụng của MoMo không yêu cầu mã OTP khi đăng xuất rồi tiến hành đăng nhập lại như những thông tin được chia sẻ.
Trong trường hợp của anh Nguyễn Hữu Tiến ở Thừa Thiên Huế, việc để lộ mã OTP hoàn toàn do lỗi của người dùng. Tuy nhiên, anh Tiến không nhận được bất kỳ một thông báo xác thực nào liên quan đến quá trình nạp tiền từ thẻ VISA/Master Card vào ví điện tử, cũng như quá trình thực hiện giao dịch mua thẻ điện thoại từ ví MoMo. Chủ ví hay chủ thẻ chỉ biết tới giao dịch khi việc thanh toán đã xong và tiền đã trừ ở thẻ.
Đây là điểm đáng chú ý bởi với các ứng dụng mobile banking của những ngân hàng phổ biến tại Việt Nam như Techcombank và Vietcombank, giao dịch chỉ được thực hiện sau khi đã tiến hành việc xác thực 2 bước.
Cụ thể hơn, mỗi khi tiến hành giao dịch, bên cạnh việc nhập mật khẩu, hệ thống sẽ gửi mã OTP về số điện thoại người dùng đăng ký và yêu cầu người dùng phải nhập lại mã này. Quá trình xác thực trên được giới hạn trong khoảng 1 phút để loại trừ các nguy cơ về bảo mật.
MoMo cần tăng cường thêm các biện pháp xác thực để bảo vệ người dùng sản phẩm của mình. |
Khi được tham khảo ý kiến, đại diện CMC InfoSec, một trong những đơn vị hàng đầu tại Việt Nam về an toàn thông tin cho rằng, việc sử dụng duy nhất một mật khẩu để thực hiện xác nhận thanh toán sẽ không đảm bảo an toàn cho người sử dụng.
“Doanh nghiệp cung cấp dịch vụ thanh toán điện tử,dù đã được cấp chứng chỉ PCI DSS hay chưa, không những nên thiết lập 2 Factor Authentication (2-FA) trong phần xác nhận thanh toán mà còn nên yêu cầu khách hàng đặt các mật khẩu đăng nhập thanh toán truy cập đủ mạnh.”, đại diện CMC InfoSec chia sẻ.
Đối với doanh nghiệp cung cấp dịch vụ thanh toán trực tuyến, phương pháp để đảm bảo an toàn trong giao dịch điện tử có thể kể đến là việc tuân thủ theo một số tiêu chuẩn cơ bản và phổ biến như: tiêu chuẩn PCI DSS ( dành cho bảo mật dữ liệu thẻ cho hệ thống), PA DSS ( tiêu chuẩn bảo mật cho ứng dụng thanh toán), tiêu chuẩn P2PE (dành cho mã hóa đường truyền).
Ngoài ra doanh nghiệp thanh toán điện tử nên thực hiện việc rà soát, kiểm tra mức độ an toàn thông tin của hệ thống theo định kỳ để đảm bảo hệ thống không bị kiểm soát cũng như bị nhiễm các mã độc nguy hiểm.
Đơn vị này cũng đưa ra khuyến cáo, để đảm bảo thêm an toàn cho phía người dùng của mình, doanh nghiệp cần thiết lập các phương pháp xác thực tối thiểu là xác thực 2 bước.
Những điều cần lưu ý khi giao dịch điện tử
Cảnh giác với các cuộc gọi, đoạn chat hay email tự nhận đến từ các đơn vị phát hành thẻ, ngân hàng dịch vụ khi bên kia yêu cầu cung cấp thông tin cá nhân, password hay thông tin thẻ. Đây có thể là thủ đoạn của những kẻ lừa đảo.
Thông thường các ngân hàng sẽ yêu cầu bạn ra tận quầy giao dịch để thực hiện các thay đổi liên quan đến internet banking và mobile banking. Việc bảo vệ thông tin dữ liệu cá nhân phải xuất phát từ cả phía người dùng chứ không chỉ là trách nhiệm của doanh nghiệp cung cấp dịch vụ.
Giao dịch điện tử luôn tiềm ẩn các nguy cơ cao về bảo mật. Người dùng nên có ý thức bảo vệ thông tin cá nhân để tránh trở thành nạn nhân của hacker. |
Luôn luôn sử dụng mật khẩu mạnh (8 ký tự trở lên trong đó có bao gồm các thành phần ký tự đặc biệt và số) cho tất cả các tài khoản cũng như dùng xác thực đa lớp. Người dùng cũng nên cân nhắc mức độ rủi ro khi sử dụng đối với các ứng dụng thanh toán cài trên thiết bị cầm tay không yêu cầu xác thực 2 bước.
Đối với các hoạt động mua sắm trên các trang web bán hàng online hay các ứng dụng thanh toán điện tử, người dùng nên lựa chọn các trang chính thống và có uy tín.
Hầu hết các hệ thống mua sắm trực tuyến lớn đều phải tuân thủ theo một số các tiêu chuẩn bảo mật dữ liệu nhất định. Trong đó, phổ biến có chứng chỉ PCI DSS. Dấu tích của PCI sẽ được hiển thị trong phần thanh toán tại các trang mua sắm này.
Những trang web mua sắm được bảo mật sẽ có địa chỉ trang web bắt đầu bằng “https”. Chữ “s” là viết tắt của “secured”, có nghĩa là “đã được tăng cường bảo mật”.
Trọng Đạt