時政

OTP驗證可有漏洞?

銀行賬戶的存款“不翼而飛”,而客戶肯定沒有登入任何陌生的鏈結網頁,也沒有向其他人提供賬戶資訊,但銀行卻通知交易符合規定的情況令多人焦慮不安。

  銀行賬戶持有人在手機上下載應用程式、 軟件時要謹慎。

  銀行賬戶持有人在手機上下載應用程式、 軟件時要謹慎。

間諜軟件盜取資訊

家住守德郡,透過Digibank應用程式被盜取在越南外貿商業股份銀行(Vietcombank)銀行賬戶中4億零600萬元的陳越論告知,在媒體報導這一事件後,銀行對他沒有登入賬戶及沒有轉賬這筆款項的事宜未有任何回覆。他說:“在向客戶答覆信中,Vietcombank 銀行只通知服務單位以短信給我發送一次性密碼(OTP),而沒有提供可證明的資訊,而我已說過我沒有收到任何關於OTP碼的短信。真的太累!我將報警及已委託律師代為處理。”

OTP是一次性密碼,僅在一定的短時間存在,通常在60秒後將不再有效,獲視為最有效的賬戶安全保護措施。因此,OTP碼也可能被盜取一事令用戶焦慮不安。越南Whitehat(白帽)駭客論壇分析說,漏洞在於以手機短信發送OTP 碼(SMS OTP)的方式中技術缺陷。歹  徒已利用該漏洞以實施網路釣魚(Phishing)攻擊,而受害者一無所知。Whitehat指出兩種情況。第一,歹徒誘騙受害者在某冒充銀行、匯款服務等網站輸入OTP碼,以佔用該密碼,從而建立假冒轉賬交易。第二,歹徒誘騙受害者在手機上安裝間諜軟件,以掌握所有資訊,包括含有OTP 碼的短信和用於登入Mobile Banking應用程式的資訊。

關於OTP驗證方式的保密弱點,Bkav 技術集團最近發出有關VN84App間諜軟件的警報。該軟件竊取越南用戶的數據,尤其是集中竊取SMS OTP碼。按統計數據,僅在短時間內,越南約有300多名受害者。VN84App間諜軟件通過假冒各職能機關網站散發。當用戶登入這些網站,將把在.apk檔案形式下的VN84App應用軟件下載到手機。當時,VN84App將暗中收集短信、電話號碼、IMEI資料等,並將這些資訊發送到駭客的控制主機。經分析VN84App後,專家發現控制主機內有從手機收集到的短信是有關價值為數十億元的銀行交易。
許多惡意代碼

保密專家阮明德分析說,為了盜取銀行賬戶中的存款,騙子須盜取關於銀行賬戶的全部資訊,然後盜取OTP碼。對於上述客戶的場合,騙子在另一台設備上啟動銀行賬戶。當時,騙子需有OTP碼,才能安裝。OTP碼被盜的可能很多。例如,當OTP碼發送到,並在用戶的手機熒幕上顯示時,會有人窺視並立即輸入以啟動賬戶。或類似上述場合的通過引到Vietcombank 假冒網站的鏈接,導致用戶以為自己正在銀行的正式網站上交易,便輸入OTP碼,因此被駭客竊取,同時在其他設備上進行賬戶設置。或用戶的設備已被安裝惡意代碼,因此所有資訊、交易都被偷竊。

網絡安全培訓中心經理武杜勝對上述觀點表示贊同,並認為,該單位已見證許多客戶被盜取電子信箱、Zalo帳戶等的個人資訊,甚至在移動設備上的銀行賬戶也遭間諜軟件的攻擊。間諜軟件多種多樣,有的應用程式只集中盜取與財政交易有關的資訊,例如:銀行賬戶、手機銀行;也有的應用程式只專注記錄電話交換資訊等。一旦手機上被安裝間諜軟件,則所有透過手機進行的活動、交易的資訊,包括在轉賬交易中含有OTP碼的短信都被盜取。武杜勝經理說:“一旦設備不安全,則無論是採取銀行的任何交易安全措施,例如: SMS OTP、透過應用程式的OTP碼等,都可能被盜取,金錢損失的風險很高。”◆
保密專家阮明德認為,若SMS OTP方式存在“漏洞”,則已成為嚴重的問題,因為任何人都可能失去存款,但   此事故很罕見。但SMS OTP的不足之處  是不能使用於跨境服務。或存在從電信網絡被窺視的風險,但實際上並不容   易發生。現在,許多單位已轉向透過如Google Authenticator的應用程式進行 OTP驗證,因為此方式比較便利。

清 春

相關閱讀