OTP驗證可有漏洞?

銀行賬戶的存款“不翼而飛”,而客戶肯定沒有登入任何陌生的鏈結網頁,也沒有向其他人提供賬戶資訊,但銀行卻通知交易符合規定的情況令多人焦慮不安。

  銀行賬戶持有人在手機上下載應用程式、 軟件時要謹慎。

  銀行賬戶持有人在手機上下載應用程式、 軟件時要謹慎。

間諜軟件盜取資訊

家住守德郡,透過Digibank應用程式被盜取在越南外貿商業股份銀行(Vietcombank)銀行賬戶中4億零600萬元的陳越論告知,在媒體報導這一事件後,銀行對他沒有登入賬戶及沒有轉賬這筆款項的事宜未有任何回覆。他說:“在向客戶答覆信中,Vietcombank 銀行只通知服務單位以短信給我發送一次性密碼(OTP),而沒有提供可證明的資訊,而我已說過我沒有收到任何關於OTP碼的短信。真的太累!我將報警及已委託律師代為處理。”

OTP是一次性密碼,僅在一定的短時間存在,通常在60秒後將不再有效,獲視為最有效的賬戶安全保護措施。因此,OTP碼也可能被盜取一事令用戶焦慮不安。越南Whitehat(白帽)駭客論壇分析說,漏洞在於以手機短信發送OTP 碼(SMS OTP)的方式中技術缺陷。歹  徒已利用該漏洞以實施網路釣魚(Phishing)攻擊,而受害者一無所知。Whitehat指出兩種情況。第一,歹徒誘騙受害者在某冒充銀行、匯款服務等網站輸入OTP碼,以佔用該密碼,從而建立假冒轉賬交易。第二,歹徒誘騙受害者在手機上安裝間諜軟件,以掌握所有資訊,包括含有OTP 碼的短信和用於登入Mobile Banking應用程式的資訊。

關於OTP驗證方式的保密弱點,Bkav 技術集團最近發出有關VN84App間諜軟件的警報。該軟件竊取越南用戶的數據,尤其是集中竊取SMS OTP碼。按統計數據,僅在短時間內,越南約有300多名受害者。VN84App間諜軟件通過假冒各職能機關網站散發。當用戶登入這些網站,將把在.apk檔案形式下的VN84App應用軟件下載到手機。當時,VN84App將暗中收集短信、電話號碼、IMEI資料等,並將這些資訊發送到駭客的控制主機。經分析VN84App後,專家發現控制主機內有從手機收集到的短信是有關價值為數十億元的銀行交易。
許多惡意代碼

保密專家阮明德分析說,為了盜取銀行賬戶中的存款,騙子須盜取關於銀行賬戶的全部資訊,然後盜取OTP碼。對於上述客戶的場合,騙子在另一台設備上啟動銀行賬戶。當時,騙子需有OTP碼,才能安裝。OTP碼被盜的可能很多。例如,當OTP碼發送到,並在用戶的手機熒幕上顯示時,會有人窺視並立即輸入以啟動賬戶。或類似上述場合的通過引到Vietcombank 假冒網站的鏈接,導致用戶以為自己正在銀行的正式網站上交易,便輸入OTP碼,因此被駭客竊取,同時在其他設備上進行賬戶設置。或用戶的設備已被安裝惡意代碼,因此所有資訊、交易都被偷竊。

網絡安全培訓中心經理武杜勝對上述觀點表示贊同,並認為,該單位已見證許多客戶被盜取電子信箱、Zalo帳戶等的個人資訊,甚至在移動設備上的銀行賬戶也遭間諜軟件的攻擊。間諜軟件多種多樣,有的應用程式只集中盜取與財政交易有關的資訊,例如:銀行賬戶、手機銀行;也有的應用程式只專注記錄電話交換資訊等。一旦手機上被安裝間諜軟件,則所有透過手機進行的活動、交易的資訊,包括在轉賬交易中含有OTP碼的短信都被盜取。武杜勝經理說:“一旦設備不安全,則無論是採取銀行的任何交易安全措施,例如: SMS OTP、透過應用程式的OTP碼等,都可能被盜取,金錢損失的風險很高。”◆
保密專家阮明德認為,若SMS OTP方式存在“漏洞”,則已成為嚴重的問題,因為任何人都可能失去存款,但   此事故很罕見。但SMS OTP的不足之處  是不能使用於跨境服務。或存在從電信網絡被窺視的風險,但實際上並不容   易發生。現在,許多單位已轉向透過如Google Authenticator的應用程式進行 OTP驗證,因為此方式比較便利。

清 春

相關閱讀

最多點擊

Nanocovax 國產新冠疫苗效果比預期更好。(圖源:D.Thu)

我國新冠疫苗效果比預期更好

〔本報消息〕軍事醫藥學研究院昨(14)日上午對志願者接種由越南Nanogen 公司研製的第二劑25微克劑量的新冠疫苗。該院副院長胡英山告知,在接種第一劑的28天後,志願者獲觀察3天,隨後通過電話跟進情況。至今滿28天,3名志願者的身體狀況均好並獲接種第二劑25微克劑量的疫苗。

焦點新聞

守德市成立促進本市經濟發展

[本報消息]市委、市人民議會、市人委會與市越南祖國陣線委員會今(31)日在第二郡人委會辦事處,就第十四屆國會常務委員會關於成立本市所屬守德市與部署縣、鄉一級行政單位的第1111號《決議》舉行公佈儀式。

海外同胞暫時不要回國

〔本報消息〕旨在防控新冠肺炎疫情,不少國家及地區已採取各種強硬措施,以能監控疫情,其中有暫停出入境、不准予過境事宜。多家航空公司已停運、取消各航班。落實外交部的指導,越南各代表機關雖竭盡全力輔助在國外國際機場過境時受困的越南公民早日回國,但仍無法把一切問題全部解決。有鑒於此,外交部勸喻越南公民現階段暫不要回國。有必要時請聯繫越南駐外機構,瞭解商業包機問題。

黨中央書記處工作團視察安江省

〔本報消息〕由黨中央政治局委員、黨中央書記、中央民運部長張氏梅率領的黨中央書記處工作團,昨(23)日與安江省省委常務處舉行會議,以討論有關黨中央政治局對各級黨部大會,邁向黨“十三大”的2019年5月30日第35號《指示》落實結果。

確保防控疫情應急藥物供應

〔本報消息〕衛生部藥物管理局最近向各藥物進口、生產單位發出有關確保向1萬例新冠肺炎確診病例治療藥物供應事宜公文。此前,在診治病管理局的新冠肺炎疫情防控需求計劃中,制定了為1萬例確診病例的治療必需藥物目錄。

簡訊

2021年01月18日國內時政簡訊

*政府副總理鄭廷勇昨(17)日在廣平省同亥市舉辦主題為“潛能、安全及區別”的2021年初促進會議上致詞時,對廣平省在黨“十三大”召開之前舉行投資促進會議的努力及決心給予高度評價,旨在向投資商推介地方潛力及優勢,並加強招商引資。

殘疾人士可考取汽車駕照

〔本報消息〕市交通運輸廳駕照考核與簽發管理科長武仲仁表示,交通運輸部第12號《通知》(自6月1日開始生效)有關培訓和駕照簽發方面有許多新亮點。

2021年01月17日國內時政簡訊

*政府辦公廳已向交通運輸部下達,同奈省國會代表團相關為邊和-頭頓高速公路投資建設項目提供中央財政預算輔助經費建議內容的公文。據交通運輸部,巴地-頭頓省人委會開展訂立可行性報告期間,已提及若責成該省為國家權力機關以開展項目所遇到困難。因此,2020年10月23日,交通運輸部已致函建議計劃與投資部重新調整交通運輸部預計2021-2025年階段中期公共投資計劃。其中,補充預計邊和-頭頓高速公路項目所需的國家財政預算,約6萬7700億元。

2021年01月16日國內時政簡訊

*值通倫‧西蘇里同志出任第十一屆老撾人民革命黨中央執委會總書記一職,黨中央總書記、國家主席阮富仲昨(15)日致電並贈送花籃祝賀。