Là một kênh giao dịch điện tử được các ngân hàng Việt Nam đưa vào sử dụng từ những năm 2004. Đến nay Internet Banking (Dịch vụ Ngân hàng qua Internet) đã có 42 trong tổng số 43 ngân hàng triển khai để phục vụ nhu cầu của khách hàng như: truy vấn thông tin, chuyển khoản trong ngân hàng, gửi tiết kiệm trực tuyến, vay trực tuyến… mọi lúc, mọi nơi, vào bất cứ thời điểm nào mà khách hàng chỉ cần một đường truyền kết nối mạng và thiết bị truy cập (máy tính cá nhân, máy tính xách tay hoặc điện thoại).
Tuy nhiên, rủi ro có thể xảy ra bất cứ lúc nào, khách hàng nên cẩn trọng và có những biện pháp phòng ngừa để tránh những trường hợp bị mất tiền mà không biết lý do. Đặc biệt là mất tiền do bị mất mã xác thực One Time Password (OTP)…
Thực chất, OTP là một dạng mật khẩu sử dụng một lần với một chuỗi số hoặc một chuỗi kết hợp cả số với ký tự. Mã này có thể tồn tại trong một khoảng thời gian rất ngắn trước khi vô tác dụng và được thay thế bằng một mã mới.
Do đó, OTP được sử dụng như là lớp bảo vệ thứ hai cho các tài khoản ngân hàng điện tử, thanh toán trực tuyến, email hay mạng xã hội. Khi muốn chuyển tiền hay thực hiện một giao dịch trực tuyến, ngoài tên tài khoản và mật khẩu đăng nhập, người dùng còn phải thực hiện thao tác nhập đúng mã xác thực OTP để hoàn tất.
Đây thực sự là điều cần thiết trong thời đại an toàn thông tin luôn được đặt lên hàng đầu. Ngay cả khi tin tặc ăn cắp được thông tin tài khoản và mật khẩu, đặc biệt trong lĩnh vực tài chính, thì các hoạt động giao dịch chuyển tiền gian lận đều không thể thực hiện nếu như không có mã OTP.
 |
| Internet Banking đầy những rủi ro... (Ảnh minh họa) |
Dùng “cục gạch” nhận OTP ?
Hiện nay, có một số phương thức khác nhau được sử dụng để cung cấp các mã OTP, tùy thuộc vào các dịch vụ mà người dùng sử dụng.
Phổ biến và đơn giản nhất là gửi mã OTP qua tin nhắn SMS (SMS OTP). Với cách này, dịch vụ sẽ gửi một tin nhắn SMS đến số điện thoại mà chủ sở hữu tài khoản đăng ký. SMS OTP chủ yếu được sử dụng bởi các ngân hàng hay các công ty lớn như Apple, Microsoft, Facebook hay Google.
Tuy nhiên, người dùng sẽ không thể nhận được mã trong trường hợp điện thoại mất sóng, hay di chuyển ra nước ngoài mà không cài đặt dịch vụ chuyển vùng quốc tế. Nhưng quan trọng hơn, mã OTP nhận được có thể bị tin tặc đánh chặn và ăn cắp thông tin bằng cách khai thác lỗi của các hệ thống viễn thông.
Do đó, để đảm bảo an toàn, người dùng nên nhận SMS OTP trên các máy điện thoại cục gạch (feature phone), chỉ gắn SIM để nhận OTP, hạn chế dùng chung với SIM chính, để tới khi mất 1 vẫn còn 1. Lưu ý, luôn phải thay đổi số PIN định kì nhằm tăng tính bảo mật, đừng tiếc tiền mà đăng ký các gói SMS Banking để nhận thông báo qua mail và SMS.
Theo anh Nguyễn Hồng Phúc - một chuyên gia bảo mật hoạt động độc lập thì hiện nay ngân hàng còn cung cấp một thiết bị gọi là Token Key, có khả năng tạo ra mã OTP ngẫu nhiên một cách tự động với thời gian sử dụng khoảng 1 phút mà không cần kết nối tài khoản. Mỗi khách hàng phải đăng ký sử dụng một Token riêng mà không thể dùng chung, và ngân hàng sẽ yêu cầu khách hàng thay thế Token Key sau một khoảng thời gian định kỳ.
Token Key là thiết bị rời có một thiết kế nhỏ gọn giống như USB nên rất dễ bị kẻ gian ăn cắp hoặc thất lạc. Một số Token Key có thiết kế đơn giản nên rất dễ bị xem trộm mã OTP, trong khi một số có thiết kế hiện đại hơn thì có thể khiến người dùng cảm thấy rườm rà khi mang bên mình.
Cũng theo anh Hồng Phúc, nếu sử dụng Smart OTP thì người dùng tuyệt đối phải sử dụng trên một chiếc smartphone "an toàn", nghĩa là không nên bẻ khóa máy hoặc tự ý cài thêm các phần mềm lạ vào máy vì như thế sẽ giúp cho tin tặc có thể kiểm soát được Smart OTP, và lấy trộm mã bảo vệ của người dùng từ đó thực hiện các lệnh chuyển tiền trái phép.
Được biết, năm ngoái, một nhóm nghiên cứu của công ty bảo mật PT (Mỹ) đã khai thác thành công lỗ hổng trong giao thức báo hiệu số 7 - SS7 (Signaling System #) nhằm đánh chặn mã OTP. SS7 là lỗ hổng đã được đưa ra cảnh báo nhiều lần nhưng nhiều công ty hoạt động trong ngành viễn thông vẫn tỏ ra làm ngơ.
Các tin Spam có thể là “bẫy” lừa đảo
Vì vậy, để truy cập vào tài khoản Internet Banking, tốt nhất khách hàng nên sử dụng máy tính cá nhân tại nhà và hạn chế tối đa máy tính, mạng không dây công cộng. Bởi các mạng này thường có những rủi ro không lường trước.
Nên đổi mật khẩu sớm nhất có thể khi vừa nhận được thông tin kích hoạt dịch vụ để đảm bảo an toàn trong quá trình sử dụng Internet Banking. Tuyệt đối không tiết lộ cho người khác biết. Khi sử dụng, Khách hàng không nên cài chế độ lưu mật khẩu khi trình duyệt đề nghị.
Ngoài ra, để đảm bảo tính an toàn, bảo mật, bạn chỉ nên tiến hành giao dịch trên các trang web đã được cấp phép và có uy tín. Muốn vậy, trước khi quyết định mua sản phẩm từ một website nào đó, nên tìm hiểu kỹ thông tin về website đó. Hãy tìm xem các thông tin về địa chỉ, thông tin liên lạc… hoặc tham khảo những tin tức liên quan của trang web đó từ Internet.
Các spam mail thường gửi đến bạn những lời mời chào hấp dẫn, những sản phẩm khuyến mãi với giá cả giảm nhiều lần so với giá gốc, kèm theo đó là đường link để người dùng có thể khai báo thông tin tài khoản và đặt mua hàng... Do đó, khi gặp những đường link này, bạn tuyết đối không được nhấn vào, bởi nhiều khi đó là những chương trình virus, nó sẽ đánh cắp thông tin tài khoản của bạn.
Trong trường hợp có những nghi ngờ liên quan đến thư mạo danh, hoặc cho rằng thông tin cá nhân của mình đã bị lộ, bạn cần liên hệ ngay với ngân hàng để được bộ phận hỗ trợ xử lý kịp thời.
Khách hàng cũng nên đăng ký sử dụng dịch vụ bảo mật OTP, vì nếu kẻ gian có biết được tên tài khoản và mật khẩu của bạn thì cũng không thể đăng nhập được vào hệ thống tài khoản ID.
Bởi để đăng nhập được vào hệ thống tài khoản ID, bạn phải có được mã xác thực OTP. Mã xác thực này sẽ được gửi tới đúng số điện thoại mà bạn đã đăng ký bảo mật với ngân hàng. Mỗi mã xác thực chỉ có giá trị sử dụng một lần duy nhất.
Khi bị mất điện thoại, tài khoản của khách hàng vẫn được đảm bảo an toàn vì để thực hiện được giao dịch, cần đăng nhập bằng mật khẩu. Tuy nhiên, để đảm bảo an toàn, khách hàng nên liên hệ ngay với ngân hàng để được tạm khóa thuê bao đăng ký.
