OTP驗證可有漏洞?

銀行賬戶的存款“不翼而飛”,而客戶肯定沒有登入任何陌生的鏈結網頁,也沒有向其他人提供賬戶資訊,但銀行卻通知交易符合規定的情況令多人焦慮不安。

  銀行賬戶持有人在手機上下載應用程式、 軟件時要謹慎。

  銀行賬戶持有人在手機上下載應用程式、 軟件時要謹慎。

間諜軟件盜取資訊

家住守德郡,透過Digibank應用程式被盜取在越南外貿商業股份銀行(Vietcombank)銀行賬戶中4億零600萬元的陳越論告知,在媒體報導這一事件後,銀行對他沒有登入賬戶及沒有轉賬這筆款項的事宜未有任何回覆。他說:“在向客戶答覆信中,Vietcombank 銀行只通知服務單位以短信給我發送一次性密碼(OTP),而沒有提供可證明的資訊,而我已說過我沒有收到任何關於OTP碼的短信。真的太累!我將報警及已委託律師代為處理。”

OTP是一次性密碼,僅在一定的短時間存在,通常在60秒後將不再有效,獲視為最有效的賬戶安全保護措施。因此,OTP碼也可能被盜取一事令用戶焦慮不安。越南Whitehat(白帽)駭客論壇分析說,漏洞在於以手機短信發送OTP 碼(SMS OTP)的方式中技術缺陷。歹  徒已利用該漏洞以實施網路釣魚(Phishing)攻擊,而受害者一無所知。Whitehat指出兩種情況。第一,歹徒誘騙受害者在某冒充銀行、匯款服務等網站輸入OTP碼,以佔用該密碼,從而建立假冒轉賬交易。第二,歹徒誘騙受害者在手機上安裝間諜軟件,以掌握所有資訊,包括含有OTP 碼的短信和用於登入Mobile Banking應用程式的資訊。

關於OTP驗證方式的保密弱點,Bkav 技術集團最近發出有關VN84App間諜軟件的警報。該軟件竊取越南用戶的數據,尤其是集中竊取SMS OTP碼。按統計數據,僅在短時間內,越南約有300多名受害者。VN84App間諜軟件通過假冒各職能機關網站散發。當用戶登入這些網站,將把在.apk檔案形式下的VN84App應用軟件下載到手機。當時,VN84App將暗中收集短信、電話號碼、IMEI資料等,並將這些資訊發送到駭客的控制主機。經分析VN84App後,專家發現控制主機內有從手機收集到的短信是有關價值為數十億元的銀行交易。
許多惡意代碼

保密專家阮明德分析說,為了盜取銀行賬戶中的存款,騙子須盜取關於銀行賬戶的全部資訊,然後盜取OTP碼。對於上述客戶的場合,騙子在另一台設備上啟動銀行賬戶。當時,騙子需有OTP碼,才能安裝。OTP碼被盜的可能很多。例如,當OTP碼發送到,並在用戶的手機熒幕上顯示時,會有人窺視並立即輸入以啟動賬戶。或類似上述場合的通過引到Vietcombank 假冒網站的鏈接,導致用戶以為自己正在銀行的正式網站上交易,便輸入OTP碼,因此被駭客竊取,同時在其他設備上進行賬戶設置。或用戶的設備已被安裝惡意代碼,因此所有資訊、交易都被偷竊。

網絡安全培訓中心經理武杜勝對上述觀點表示贊同,並認為,該單位已見證許多客戶被盜取電子信箱、Zalo帳戶等的個人資訊,甚至在移動設備上的銀行賬戶也遭間諜軟件的攻擊。間諜軟件多種多樣,有的應用程式只集中盜取與財政交易有關的資訊,例如:銀行賬戶、手機銀行;也有的應用程式只專注記錄電話交換資訊等。一旦手機上被安裝間諜軟件,則所有透過手機進行的活動、交易的資訊,包括在轉賬交易中含有OTP碼的短信都被盜取。武杜勝經理說:“一旦設備不安全,則無論是採取銀行的任何交易安全措施,例如: SMS OTP、透過應用程式的OTP碼等,都可能被盜取,金錢損失的風險很高。”◆
保密專家阮明德認為,若SMS OTP方式存在“漏洞”,則已成為嚴重的問題,因為任何人都可能失去存款,但   此事故很罕見。但SMS OTP的不足之處  是不能使用於跨境服務。或存在從電信網絡被窺視的風險,但實際上並不容   易發生。現在,許多單位已轉向透過如Google Authenticator的應用程式進行 OTP驗證,因為此方式比較便利。

清 春

相關閱讀

最多點擊

火警現場濃煙滾滾。(圖:春忠)

西寧省某鞋廠發生火警

〔本報消息〕西寧省和城市人委會主席張文環今(25)日上午告知,職能力量已撲滅當地魁盛鞋廠的火警。

焦點新聞

營造最有利條件讓本市迅速可持續發展

[本報消息]黨中央總書記阮富仲昨今(23)日率領工作團前往探望本市委常務處、市骨幹幹部並舉行有關在市黨部第十一次大會、黨“十三大”過後,今年前8個月的市社經發展結果、國防安全、黨建設工作等情況;未來期間的方向與任務會議。

第五郡約100名青年參加捐血

[本報消息]值越南胡志明共青團成立91週年紀念日(1931.3.26—2022.3.26),為良好解決本市面臨急救與治療用血短缺的情況,第五郡於昨(12)日上午舉辦志願捐血活動。

海外同胞暫時不要回國

〔本報消息〕旨在防控新冠肺炎疫情,不少國家及地區已採取各種強硬措施,以能監控疫情,其中有暫停出入境、不准予過境事宜。多家航空公司已停運、取消各航班。落實外交部的指導,越南各代表機關雖竭盡全力輔助在國外國際機場過境時受困的越南公民早日回國,但仍無法把一切問題全部解決。有鑒於此,外交部勸喻越南公民現階段暫不要回國。有必要時請聯繫越南駐外機構,瞭解商業包機問題。

簡訊

2022年11月29日簡訊

*政府總理范明政昨(28)日下午在政府辦事處接見了適值在我國履行新任務之際,前來禮節性拜訪的丹麥王國駐越南特命全權大使尼古拉‧普力志。政府總理范明政在接見會上肯定,我國向來重視與丹麥的合作與友好關係,並高度評價兩國在過去期間的所有領域深廣合作事宜,尤其是當兩國於2013年建立了全面合作夥伴關係之後。

2022年11月28日簡訊

*慶祝2022-2027年第九次越南佛教教會全國代表大會,昨(27)日上午,越南佛教教會為“越南佛教-昇華烙印”展覽舉行開幕儀式。同日上午,越南佛教教會神職人士、骨幹領導與出席大會代表虔誠敬獻花圈晉謁胡志明主席陵。下午,大會舉行籌備會議。會上,出席代表大會的代表聽取2022-2027年第八次越南佛教教會全國代表大會佛教工作總結報告及2022-2027年第九任期越南佛教教會活動方向及人事工作提案報告等。

2022年11月27日簡訊

*由黨中央委員、越南祖國陣線中央委員會副主席兼秘書長黎進珠和越南祖國陣線中央委員會副主席阮友勇為團長的出席2017-2022年階段鄉級越南祖國陣線委員會和全國陣線工作首長模範表彰會議的代表團昨(26)日上午已前往晉謁胡志明主席陵並舉行報功儀式。全國63個省、市祖國陣線委員會領導代表以及鄉級越南祖國陣線委員會主席和全國陣線工作首長模範等299名代表出席活動。

2022年11月26日簡訊

* 西寧省和城市人委會主席張文環昨(25)日上午告知,職能力量已撲滅當地魁盛鞋廠的火警。