Chuyên gia cảnh báo nhiều rủi ro khi nhận mã OTP qua tin nhắn SMS

Theo CNBC, một trong những cách đăng nhập vào ứng dụng thuận tiện nhất với người dùng điện thoại hiện nay và cũng là cách nhiều người đang sử dụng là mã OTP (mật khẩu dùng một lần). OTP thường gửi qua tin nhắn văn bản (SMS). Tuy nhiên, ngày càng có nhiều chuyên gia an ninh mạng đồng tình rằng OTP, giống như mật khẩu truyền thống, nên được loại bỏ.

Người dùng cần hiểu rõ các loại OTP khác nhau và đánh giá rủi ro bảo mật so với lợi ích mà mỗi loại mang lại. Theo Ant Allan, Phó Chủ tịch phân tích tại Gartner Research của Mỹ, kinh nghiệm cho thấy luôn tồn tại cách để vượt qua các biện pháp xác thực, nhưng một số phương thức vẫn được xem là an toàn hơn. Allan nhấn mạnh: "Không có phương pháp xác thực nào là tuyệt đối an toàn."

Theo Tracy C. Kitten, Giám đốc phụ trách an ninh tại Javelin Strategy & Research, OTP qua SMS đặc biệt dễ bị tấn công qua nhiều hình thức như lừa đảo qua email, đánh cắp SIM và chặn tin nhắn, ngay cả khi điện thoại vẫn trong tay người dùng.

Một vấn đề nghiêm trọng là người dùng có thể không nhận ra tài khoản của mình bị xâm nhập ngay lập tức. Kitten lấy ví dụ: "Bạn có thể yêu cầu ngân hàng gửi lại mã OTP mà không biết rằng kẻ gian đang nhận được mã đó. Bạn có thể mất 45 phút để nhận ra sự cố, và lúc đó thì đã quá muộn."

Để bảo vệ mã OTP người tiêu dùng không chia sẻ mã OTP cho bất kỳ ai kể cả người thân và bạn bè. Ảnh minh họa

Theo các chuyên gia bảo mật, ứng dụng xác thực (authenticator app) là phương án an toàn hơn (dù không hoàn toàn tuyệt đối). Các ứng dụng như Google Authenticator hay Microsoft Authenticator có thể tránh được nhiều rủi ro của SMS.

Ant Allan cho biết dù các app này vẫn có thể bị tấn công kiểu "kẻ trung gian" (adversary in the middle), nhưng chúng an toàn hơn nhiều so với OTP qua SMS.

Với app xác thực, mỗi lần đăng nhập, người dùng sẽ nhận được mã duy nhất, mã này tự động hết hạn sau khoảng 30-60 giây. Không có thông tin nào được gửi qua số điện thoại, mà mã nằm ngay trong thiết bị của bạn. Nếu điện thoại được bảo vệ bằng mật khẩu và nhận diện khuôn mặt, nguy cơ bị tấn công sẽ giảm mạnh, theo Kitten.

Tuy nhiên, Cedric Thevenet, Phó Chủ tịch và Trưởng bộ phận an ninh mạng tại Capgemini Americas, cảnh báo vẫn tồn tại những rủi ro. Ví dụ, nếu người dùng nhận được email giả mạo (nhưng trông rất thật nhờ AI hỗ trợ), họ có thể nhấp vào liên kết độc hại, nhập tên đăng nhập, mật khẩu và cả mã xác thực, vô tình trao toàn bộ quyền truy cập cho hacker.

Một lựa chọn bảo mật cao hơn là dùng thông báo xác thực qua ứng dụng (mobile app push). Khi người dùng đăng nhập vào ngân hàng hoặc dịch vụ khác, hệ thống sẽ gửi thông báo về ứng dụng trên điện thoại để xác nhận danh tính.

Ant Allan cho biết, phương thức này không phụ thuộc vào thiết bị đăng nhập và an toàn hơn OTP qua SMS hoặc app xác thực. Tuy nhiên, nó cũng có thể bị tấn công. Hacker có thể thử đăng nhập nhiều lần với mật khẩu đánh cắp, khiến người dùng nhận hàng loạt thông báo. Nếu người dùng bấm "xác nhận" mà không để ý, hacker sẽ có quyền truy cập vào tài khoản.

Tóm lại, dù OTP qua SMS là cách phổ biến và dễ dùng, người dùng nên cân nhắc các phương thức bảo mật mạnh hơn như ứng dụng xác thực, thông báo qua app, khóa phần cứng và passkeys để bảo vệ tài khoản tốt hơn trước các mối đe dọa ngày càng tinh vi.

Để bảo vệ mã OTP người tiêu dùng không chia sẻ mã OTP cho bất kỳ ai kể cả người thân và bạn bè. Đồng thời cũng nên kiểm tra địa chỉ website, ứng dụng cài đặt trên điện thoại trước khi nhập mã OTP. Điều này tưởng chừng rất đơn giản nhưng lại góp phần ngăn chặn mọi nguy cơ rò rỉ thông tin cá nhân ra bên ngoài.

Nên nhớ các cơ quan chức năng, ngân hàng… không bao giờ yêu cầu người dùng gửi mã OTP thông qua cuộc gọi, tin nhắn hay email. Nếu nhận được cuộc gọi hay tin nhắn lạ yêu cầu đăng nhập vào tài khoản và nhập mã OTP để xác thực thông tin, rất có thể đây là một chiêu trò lừa đảo. Người dùng tuyệt đối không nên làm theo hướng dẫn của các đối tượng xấu để tránh rủi ro đáng tiếc có thể xảy ra.

Ngoài mã OTP, người dùng cũng nên cân nhắc sử dụng phương thức xác thực 2 lớp (2-factor authentication). Đối với phương thức này, sau khi nhập mật khẩu, người dùng phải nhập thêm mã OTP và xác thực sinh trắc học (khuôn mặt, giọng nói, vân tay,…) để có thể truy cập vào tài khoản. Bằng cách sử dụng xác thực 2 lớp, tài khoản của bạn sẽ được bảo mật nghiêm ngặt hơn, từ đó, kẻ gian cũng khó có thể lợi dụng kẽ hở bảo mật để tấn công vào tài khoản và đánh cắp thông tin.

Cài đặt mật khẩu có độ bảo mật mạnh cho điện thoại là một cách giúp bạn ngăn chặn người khác truy cập vào tin nhắn chứa mã OTP. Theo đó, nên kết hợp chữ cái in hoa, in thường, chữ số, ký tự đặc biệt khi đặt mật khẩu, đồng thời tránh sử dụng những thông tin dễ đoán như ngày tháng năm sinh, số điện thoại,…

Đối với mỗi loại tài khoản, người dùng nên tạo một mật khẩu khác nhau, tuyệt đối không chia sẻ mật khẩu cho người khác. Để tăng cường bảo mật, bạn có thể thay đổi mật khẩu theo định kỳ (từ 3 đến 6 tháng một lần). 

Báo cho nhân viên ngân hàng nếu phát hiện các hoạt động đáng ngờ. Nếu nhận thấy tài khoản phát sinh giao dịch bất thường, người dùng cần ngay lập tức khóa tài khoản trên ứng dụng Mobile Banking/Internet Banking và liên hệ đến nhân viên ngân hàng để được xử lý kịp thời.

Hãy cung cấp đầy đủ thông tin cá nhân, số tài khoản, số tiền giao dịch, thời gian giao dịch…Ngân hàng sẽ tiến hành rà soát, kiểm tra và đưa ra hướng dẫn, phương án giải quyết phù hợp.

An Dương (T/h)