Lừa đảo ngày càng tinh vi, chuyên gia khuyên: Không nên tiếp tục nhận mã OTP qua tin nhắn SMS

Mã OTP (One Time Password - mật khẩu dùng 1 lần) là dãy gồm các ký tự hoặc chữ số được ngân hàng tạo ra và gửi đến số điện thoại của chủ thẻ để xác nhận giao dịch. Mã OTP là một trong những lớp bảo mật quan trọng giúp các giao dịch trên ngân hàng số đảm bảo an toàn hơn. Thường thì mã OTP chỉ được gửi qua ứng dụng hoặc số điện thoại đã đăng ký. Do đó, chỉ chủ tài khoản mới có thể nhận được mã OTP để xác thực giao dịch.

Mã OTP được hiểu là mật khẩu dùng một lần, thường gửi qua tin nhắn văn bản SMS (Ảnh minh họa).

Tuy nhiên, ngày càng có nhiều chuyên gia an ninh mạng đồng tình rằng OTP, giống như mật khẩu truyền thống, nên được loại bỏ.

Người dùng cần hiểu rõ các loại OTP khác nhau và đánh giá rủi ro bảo mật so với lợi ích mà mỗi loại mang lại. Theo Ant Allan, Phó Chủ tịch phân tích tại Gartner Research, kinh nghiệm cho thấy luôn tồn tại cách để vượt qua các biện pháp xác thực, nhưng một số phương thức vẫn được xem là an toàn hơn. Allan nhấn mạnh: "Không có phương pháp xác thực nào là tuyệt đối an toàn."

Theo Tracy C. Kitten, Giám đốc phụ trách an ninh tại Javelin Strategy & Research, OTP qua SMS đặc biệt dễ bị tấn công qua nhiều hình thức như lừa đảo qua email, đánh cắp SIM và chặn tin nhắn, ngay cả khi điện thoại vẫn trong tay bạn.

Một vấn đề nghiêm trọng là người dùng có thể không nhận ra tài khoản của mình bị xâm nhập ngay lập tức. Kitten lấy ví dụ: "Bạn có thể yêu cầu ngân hàng gửi lại mã OTP mà không biết rằng kẻ gian đang nhận được mã đó. Bạn có thể mất 45 phút để nhận ra sự cố, và lúc đó thì đã quá muộn."

Theo các chuyên gia bảo mật, ứng dụng xác thực (authenticator app) là phương án an toàn hơn (dù không hoàn toàn tuyệt đối). Các ứng dụng như Google Authenticator hay Microsoft Authenticator có thể tránh được nhiều rủi ro của SMS.

(Ảnh minh họa)

Ant Allan cho biết dù các app này vẫn có thể bị tấn công kiểu "kẻ trung gian" (adversary in the middle), nhưng chúng an toàn hơn nhiều so với OTP qua SMS.

Với app xác thực, mỗi lần đăng nhập, người dùng sẽ nhận được mã duy nhất, mã này tự động hết hạn sau khoảng 30-60 giây. Không có thông tin nào được gửi qua số điện thoại, mà mã nằm ngay trong thiết bị của bạn. Nếu điện thoại được bảo vệ bằng mật khẩu và nhận diện khuôn mặt, nguy cơ bị tấn công sẽ giảm mạnh, theo Kitten.

Tuy nhiên, Cedric Thevenet, Phó Chủ tịch và Trưởng bộ phận an ninh mạng tại Capgemini Americas, cảnh báo vẫn tồn tại những rủi ro. Ví dụ, nếu người dùng nhận được email giả mạo (nhưng trông rất thật nhờ AI hỗ trợ), họ có thể nhấp vào liên kết độc hại, nhập tên đăng nhập, mật khẩu và cả mã xác thực, vô tình trao toàn bộ quyền truy cập cho hacker.

Một lựa chọn bảo mật cao hơn là dùng thông báo xác thực qua ứng dụng (mobile app push). Khi người dùng đăng nhập vào ngân hàng hoặc dịch vụ khác, hệ thống sẽ gửi thông báo về ứng dụng trên điện thoại để xác nhận danh tính.

(Ảnh minh họa)

Ant Allan cho biết, phương thức này không phụ thuộc vào thiết bị đăng nhập và an toàn hơn OTP qua SMS hoặc app xác thực. Tuy nhiên, nó cũng có thể bị tấn công. Hacker có thể thử đăng nhập nhiều lần với mật khẩu đánh cắp, khiến người dùng nhận hàng loạt thông báo. Nếu người dùng bấm "xác nhận" mà không để ý, hacker sẽ có quyền truy cập vào tài khoản.

Dù OTP qua SMS là cách phổ biến và dễ dùng, người dùng nên cân nhắc các phương thức bảo mật mạnh hơn như ứng dụng xác thực, thông báo qua app, khóa phần cứng và passkeys để bảo vệ tài khoản tốt hơn trước các mối đe dọa ngày càng tinh vi.