Vụ “bị đoạt sim, mất tiền trong ngân hàng”: Những lỗ hổng chết người!

(Dân trí) - Hai vụ việc bị “cướp” sim ngay trong khi đang dùng và sau đó là mất hàng chục triệu đồng trong tài khoản ngân hàng đã hé lộ nhiều lỗ hổng nghiêm trọng trong quy trình quản lý số thuê bao của nhà mạng, cũng như bảo mật lỏng lẻo trong giao dịch online.

“Đụng” đâu, hở đó

Anh Vũ Minh Nhật (ở Hà Nội) là trường hợp thứ 2 khiếu nại về việc số điện thoại 090xxxx050 của anh đang dùng bỗng bị nhà mạng cắt và cấp lại cho một đối tượng giả mạo chưa xác định. Trước đó, một chủ thuê bao khác là anh Đặng Thanh Hải (TP.HCM) cũng rơi vào cảnh tương tự, khi nhận được tin nhắn từ tổng đài của Viettel, cho biết số thuê bao anh đang sử dụng sẽ được đổi sang sim mới, trước khi khóa luôn sim anh Hải đang sử dụng.

Cả hai trường hợp đều dẫn đến một hậu quả chung: ngay sau khi đoạt được số điện thoại mà các khổ chủ đang dùng, kẻ giấu mặt đã dùng số điện thoại này để nhận mật khẩu sử dụng một lần (OTP) và thông qua dịch vụ thanh toán trực tuyến Smartlink để “tiêu” tiền trong tài khoản của các khổ chủ, với số tiền lần lượt là 75 triệu và 30 triệu đồng.

Với trường hợp của anh Nhật, nhà mạng MobiFone thừa nhận nhân viên đại lý MobiFone tại Thanh Hóa đã làm sai quy trình, khi chỉ căn cứ trên giấy CMND bản photocopy với nhiều thông tin không trùng khớp với thông tin chủ thuê bao đã đăng ký. Đồng thời, nhân viên nàh mạng cũng không yêu cầu người đề nghị cấp lại sim khai báo lịch sử cuộc gọi.

Còn anh Hải cũng không khỏi ngỡ ngàng khi nhận được tin nhắn của tổng đài về việc đổi sim vào lúc... 20h ngày 10/7, tức ngoài giờ hành chính. Mặc dù anh đã báo ngay với nhà mạng, nhưng trong khi chờ được đấu nối lại, chỉ trong vòng 1 tiếng đồng hồ tài khoản của anh tại ngân hàng đã “bốc hơi” 30 triệu đồng. Mặc dù sau đó Viettel đã lên tiếng khẳng định kẻ gian sử dụng CMND giả mạo để yêu cầu cấp lại số, nhưng chỉ riêng thời điểm cấp lại ngoài giờ hành chính đã đủ khiến các thuê bao không khỏi ngỡ ngàng vì cách làm việc của nhà mạng.

“Với việc tự ý thay đổi trái nguyên tắc và cũng tự ý đấu nối SIM trở lại của MobiFone vào số SIM cũ của tôi là do MobiFone tự ý tiến hành thì giả sử như những khách hàng đi vắng hoặc vì lý do nào đó không phát hiện ra kịp thời sẽ tạo ra tiền lệ cực kỳ nguy hiểm cho tội phạm tấn công khai thác, thay đổi thông tin SIM thẻ để nhận được mật khẩu OTP tiến hành hợp thức các giao dịch gian lận rồi biến mất trong khi nạn nhân hoàn toàn không hay biết gì”, anh Vũ Minh Nhật nói.

Qua hai sự việc cùng một “kịch bản”, có thể thấy quy trình cấp lại số của hai nhà mạng liên quan lỏng lẻo đến mức khó tin. Cũng như anh Nhật hay anh Hải, nhiều người không khỏi giật mình bởi họ hoàn toàn có thể bị “cướp” số bằng thủ đoạn tưởng chừng như rất cũ kỹ này.

“Ngoài việc mất tiền nhãn tiền như tôi, việc này có thể gây rất nhiều nguy cơ như việc mạo danh ai đó trong phút chốc để thực hiển khẩu lệnh với đối tác, cấp dưới... Nếu bạn bị cướp số vào ban đêm, kẻ gian có thể thực hiện rất nhiều trò phạm pháp và sau đó trả lại số vào sáng mai mà bạn không hề hay biết”, nạn nhân đặt giả thiết.

Lời khuyên hay lời đổ lỗi?

Theo các chuyên gia về lĩnh vực thanh toán, hiện có 2 hình thức thanh toán qua internet sử dụng tài khoản ngân hàng: một là sử dụng dịch vụ internet banking của các ngân hàng, trong đó khách hàng được cấp user và password để truy cập và thực hiện các giao dịch; hai là sử dụng các cổng thanh toán như Paypal, Smartlink, Banknetvn... và thực hiện giao dịch thông qua số thẻ thanh toán, chứng thực bằng OTP về số điện thoại đã đăng ký gắn với tài khoản tại ngân hàng.

Ở trường hợp đầu tiên, password là bí mật của riêng khách hàng, nên việc sử dụng được bảo mật tốt hơn, giống như password email hay các tài khoản internet khác.

Thực tế, cả hai trường hợp mất tiền vì mất số trên đây đều rơi vào trường hợp thứ hai, giao dịch qua cổng thanh toán chung của Smartlink và chứng thực bằng OTP.

Vụ “bị đoạt sim, mất tiền trong ngân hàng”: Những lỗ hổng chết người!

Chỉ cần nhập một số thẻ ngẫu nhiên, và tên chủ thẻ bất kỳ thì hệ thống đều chấp nhận và chuyển sang khâu nhập OTP được nhắn về số điện thoại gắn với tài khoản có mã số thẻ này
Như vậy, chỉ cần đoạt được số điện thoại, đồng thời bằng cách nào đó biết được số thẻ (in trên bề mặt các loại thẻ thanh toán) của khổ chủ là kẻ gian có thể thoải mái xâm nhập tài khoản ngân hàng của nạn nhân và tiêu tiền qua các cổng thanh toán như Smartlink.

Trao đổi với PV Dân trí, cả nhà mạng và nhà băng liên quan đều nhận trách nhiệm của mình và cam kết sẽ sớm cùng các bên liên quan giải quyết quyền lợi của khách hàng. Các đơn vị này cũng đã mời Cục CSĐT TP công nghệ cao (C50) Bộ Công an vào điều tra vụ việc khá nghiêm trọng này.

“Chúng tôi đã rà soát hệ thống bảo mật của ngân hàng, nhưng không phát hiện lỗi. Thực tế ở đây kẻ gian cũng không xâm nhập được vào tài khoản ngân hàng, mà sử dụng dịch vụ thanh toán chung để giao dịch qua hình thức chứng thực OTP”, lãnh đạo ngân hàng nơi có hai khách hàng bị mất tiền cho biết.

Thực tế, Smartlink áp dụng hình thức giao dịch chứng thực bằng OTP chung cho tất cả các ngân hàng tham gia hệ thống, có nghĩa là khách hàng của ngân hàng nào cũng có thể mất tiền nếu bị mất số điện thoại, và bị lộ thông tin số thẻ thanh toán.

“Chúng tôi không để lộ số thẻ, nhưng việc sử dụng thẻ để thanh toán qua mạng, hay thanh toán ở nhà hàng, khách sạn, trung tâm mua sắm... hoàn toàn có thể dẫn đến số thẻ bị lưu ở đâu đó. Nếu chỉ vì lộ số thẻ mà có thể mất tiền thì rõ ràng dịch vụ này cần được xem xét lại về hàng rào bảo mật”, anh Hoàng Bảo Chung - một người sử dụng thẻ thanh toán lo ngại.

Qua hai sự việc, rõ ràng ngoài trách nhiệm không thể chối cãi của các nhà mạng, việc kẻ lạ sử dụng tài khoản của khổ chủ để tiêu tiền thực hiện trên hệ thống Smartlink và vấn đề cần đặt ra là nên chăng cần tăng cường hàng rào bảo vệ trên hệ thống này thay vì chỉ cần chứng thực OTP.

Tuy nhiên, thay cho câu trả lời các câu hỏi của PV Dân trí như việc rà soát lại hệ thống, tăng cường tính bảo mật, trách nhiệm đối với người sử dụng dịch vụ bị thiệt hại... đại diện Smartlink lại chỉ đưa ra hàng loạt... lời khuyên.

Đương nhiên các lời khuyên như bảo mật thông tin thẻ, thông tin cá nhân, lập password trên điện thoại hay báo cho ngân hàng khóa tài khoản khi mất điện thoại là không thừa, nhưng vấn đề nằm ở chỗ: việc lộ thông tin cá nhân hoàn toàn có thể xảy ra từ nhiều nguồn (người dùng, ngân hàng, nhà mạng, hoặc chính hệ thống thanh toán...) thì đơn vị cung cấp dịch vụ thanh toán cần làm gì để không gây thiệt hại cho người dùng. Đặc biệt trong trường hợp này, thủ đoạn của kẻ gian không hề cao xa, mà chỉ là lợi dụng các kẽ hở của nhà mạng, cũng như dịch vụ thanh toán.

Tăng cường hàng rào bảo mật để bảo vệ người dùng dịch vụ và niềm tin của người dùng vào dịch vụ, có lẽ là việc nên làm hơn là chỉ ra những nguyên nhân mà ai cũng biết như “Kẻ gian lợi dụng khách hàng người dùng thiếu cảnh giác, không bảo mật các thông tin cá nhân quan trọng như số thẻ tín dụng, số thẻ ATM, số Chứng minh thư nhân dân….” (trích thông tin phản hồi từ Smartlink về sự việc).

Hồng Kỹ

Thông tin doanh nghiệp - sản phẩm