Làm sao có thể lấy được mã OTP
(PCWorldVN) Để đảm bảo an ninh giao dịch qua mạng, nhà cung cấp dịch vụ thường áp dụng cách xác thực 2 bước hoặc xách thực 2 yếu tố, trong đó OTP là một thành phần.
Sau sự cố mất tiền tại VCB có nhiều chuyên gia cho rằng việc lấy được OTP hay tấn công vào SMS là rất dễ dàng, hay hệ thống bảo mật ngân hàng (NH) là rất dễ xâm nhập. Một số còn khẳng định rằng có liên quan đến SS7 – một giao thức quản lý báo hiệu trong mạng viễn thông di động và có thể lấy được tin nhắn SMS từ bất kỳ số điện thoại nào. Điều này gây hoang mang trong cộng đồng.
Thực tế lỗi SS7 chỉ khai thác được khi nằm bên trong hệ thống của Telco. Lỗi này chủ yếu được các cơ quan an ninh và tình báo khai thác. Những người có trình độ khai thác SS7 và có điều kiện tiếp cận để khai thác chắc chắn không làm những việc ăn cắp vài trăm triệu.
Với kinh nghiệm làm trong NH và kiến thức bảo mật của mình, tôi đưa ra môt số phân tích sơ bộ sau đây:
Để chuyển tiền trong trong Internet banking (IB) cần sở hữu 2 thông tin:
Thông tin đăng nhập tài khoản ( username và password). Một số NH sử dụng username là số CIF hoặc chuỗi định danh theo quy luật đặt trước để tránh trùng lắp).
OTP (one time password) – được tạo ra bởi Token hoặc gửi đến cho khách hàng qua SMS đến số điện thoại được đăng ký trước và chỉ có giá trị trong vòng vài phút.
Việc làm sao hacker lấy được thông tin tài khoản IB tôi không phân tích ở đây vì họ có thể cài sẵn mã độc (malware) lên ĐTDĐ hoặc đơn giản là lừa đảo (phishing) dụ nạn nhân (victim) vào đường link giả để chiếm đoạt thông tin.Tôi chỉ phân tích những phương pháp mà hacker có thể lấy được nội dung SMS có chứa OTP để thực hiện chuyển tiền.
1. Thay đổi số điện thoại nhận OTP
– Một số NH cho phép đổi số điện thoại nhận OTP ngay trong giao diện IB, điều này cho phép hacker sau khi sở hữu thông tin tài khoản sẽ đăng nhập và thay đổi số điện thoại nhận OTP mà không cần đến quầy giao dịch (có ít nhất 3 NH bị lỗi như vậy). Vụ của VCB rất có thể rơi vào trường hợp này.
– Trên hệ thống quản lý của Telco, mỗi số SIM gắn với số điện thoại của người sử dụng. khi mất SIM, hỏng SIM nhà mạng sẽ chuyển đổi số điện thoại tương ứng với số SIM mới. Trước đây một số đại lý lớn được phép làm việc thay đổi này. Kẽ hở này đã bị lợi dụng tấn công một lần trước đây bằng cách chuyển đổi số điện thoại của khách hàng đến SIM của hacker trong vòng 1 phút, thậm chí 30 giây đủ để nhận SMS rồi trả lại. Khách hàng chỉ mất sóng trong 30 giây và không hề biết. Lỗi này hiện hiện nay khó xảy ra vì việc các nhà mạng đã quản lý rất chặt và nếu xảy ra sẽ phát hiện ngay người tiếp tay.
2. Tấn công dạng man-in-the-middle
Giao thức SMS là dạng Clear Text Message không mã hóa, vì vậy hoàn toàn có thể chiếm đoạt thông tin nếu đặt được một chân vào đâu đó trong quá trình chuyển nội dung SMS từ NH đến ICP (Internet Content Provider) nhà cung cấp dịch vụ đầu số short code ví dụ 8xxx, 19xx…), rồi từ ICP đến Telco thông tin đường chuyển đến Telco theo đường truyền dữ liệu riêng. Sau đó Telco chuyển thông tin đến ĐTDĐ người dùng qua SMS.
– Nếu hacker có thể tấn công vào server quản lý tin nhắn của ICP họ có thể có được nội dung OTP vì thông thường nó không được mã hóa.
– Về nguyên tắc các hệ thống Telco cho phép một số đặc quyền có thể lọc, chặn hoặc bản sao nội dung thoại, tin nhắn và cả dữ liệu trao đổi trên hạ tầng của họ. Tuy nhiên những tính năng này chỉ phục vụ cho công tác an ninh quốc phòng và được quản lý chặt chẽ.
– Dùng trạm phát sóng BTS (Base Transceiver Station) giả mạo để bắt nội dung SMS.Thiết bị ĐTDĐ kết nối đến Telco thông qua các trạm BTS ở gần nhất mà chúng ta thường thấy trên các nóc nhà. Một thiết bị chuyên dụng có giá vào khoảng 2.000 USD có thể giả dạng làm trạm chuyển tiếp các giao tiếp từ thiết bị di động đến các BTS thật, và dĩ nhiên đón nhận tất cả các thông tin đi qua nó. Lỗ hổng của GSM cho phép hacker dễ dàng làm việc đó nếu họ đặt vị trí BTS giả mạo rất gần với ĐTDĐ của người sử dụng.
– Cài đặt malware vào ĐTDĐ của dùng để bắt và chuyển tiếp (forward) SMS có Brandname tương ứng đến ĐTDĐ của hacker. Thực tế có nhiều ứng dụng hợp pháp lẫn malware có thể kiểm soát ứng dụng SMS trong ĐTDĐ, nó lọc các SMS đến từ các Brand hoặc số ĐT được định nghĩa trước và chuyển tiếp đi mà người sử dụng không hề biết. Đây là cách tấn công khá thông dụng được sử dụng tại châu Âu, và cũng có xác suất cao cho trường hợp VCB.
3. Tấn công vào thuật toán tạo OTP
Một số đơn vị (tôi không nói là ngân hàng) sử dụng những thuật toán tạo OTP rất đơn giản, thiếu các yếu tố ngẫu nhiên. Điều này tạo điều kiện để hacker nhận biết và phán đoán hoặc bẻ khóa được nguyên tắc tạo OTP.
Vụ việc VCB vừa xảy ra chắc chắn nạn nhân đã được dụ vào link lừa đảo để lấy thông tin tài khoản.Tuy nhiên cách thức lấy OTP cần tìm hiểu thêm nhưng không nên quá lo lắng và đưa ra những phán xét vội vàng, làm ảnh hưởng đến người sử dụng dịch vụ, hoang mang dư luận.