Năm 2016 rồi, tại sao vẫn dùng phương thức bảo mật lỗi thời như OTP?

Hơn 25 năm nay, ngành dịch vụ tài chính vẫn phụ thuộc vào mật khẩu cấp 1 lần (OTP) cho bảo mật ngân hàng song với sự chuyển dịch về điện toán, sự tân tiến của Internet, di động và sự bùng nổ trong tội phạm mạng đã khiến OTP trở nên lạc hậu và nguy hiểm.

Các cuộc tấn công nhằm vào ngân hàng ngày càng tinh vi hơn và trở thành “chuyện cơm bữa”. Các lỗ hổng bảo mật tại những tổ chức uy tín xuất hiện hàng ngày trên các bản tin còn dữ liệu người dùng bị đánh cắp dường như là thứ tiền tệ mới của thế giới ngầm. Tổn thất về cả tài chính và uy tín là có thật nhưng các công ty, trong đó có dịch vụ tài chính khắp thế giới, vẫn tiếp tục mua và triển khai hệ thống xác minh giao dịch và người dùng lỗi thời, dễ bị xâm phạm.

Chẳng hạn, OTP (one-time password), loại mật khẩu cấp một lần để xác thực đăng nhập hoặc giao dịch rồi bị vô hiệu hóa. Ý tưởng về OTP được hình thành nhằm giải quyết những thiếu sót của mật khẩu tĩnh và bảo mật dựa trên OTP được xem là đỉnh cao của những năm 1980, tương tự như máy quay phim và Sony Walkman.

1/4 thế kỷ trôi qua, trong khi máy quay phim và Walkman trở nên xa lạ với đám trẻ hiện tại, vì sao OTP vẫn đóng vai trò quan trọng trong các kế hoạch tăng cường bảo mật của ngân hàng? Công nghệ đơn giản không còn phù hợp với phần lớn các kịch bản lừa đảo trực tuyến thông dụng ngày nay. Tội phạm mạng vô cùng thông minh, được trang bị đến tận răng và có động lực hấp dẫn. Chúng lợi dụng các công nghệ yếu kém như OTP. Đây là thời điểm ngành tài chính nên thoát khỏi công nghệ lỗi thời này.

Một thập kỷ thất bại

Các cuộc tấn công thành công nhằm vào hệ thống nền OTP được ghi nhận từ năm 2005. Một trong những vụ sớm nhất xảy ra vào tháng 10 năm đó khi ngân hàng Nordea của Thụy Sỹ là nạn nhân của lừa đảo khiến hệ thống bảo mật OTP bị xâm phạm. Trong cuộc tấn công, nhiều khách hàng trực tuyến của Nordea được dẫn đến website giả mạo, hỏi thông tin tài khoản cũng như OTP của họ. Sau đó, họ lại nhìn thấy một bảng tương tự bảng họ đang dùng có chứa các mã OTP. Tuy nhiên, dù nhập bao nhiêu mã để truy cập tài khoản, trang web giả cũng từ chối khiến họ liên tiếp nhập mã OTP mới. Bằng cách này, hacker thu thập được vô số mã OTP cho mục đích riêng.

Một năm sau, CitiBusiness Online của Citibank cũng bị xâm phạm. Để truy cập tài khoản online, khách hàng CitiBusiness phải nhập mã OTP được tạo ra bởi một thiết bị token ngoài tên người dùng và mật khẩu. Tháng 7/2006, nhiều người nhận được email thông báo ai đó đang cố đăng nhập tài khoản của họ và yêu cầu họ phải xác nhận thông tin tài khoản trên mạng. Khi bấm vào đường link trong email, họ đến một website trông giống hệt của CitiBusiness và nhập tên, mật khẩu, OTP mà không hề hay biết đang cung cấp mọi chìa khóa cho kẻ lừa đảo.

Một vụ việc chấn động khác xảy ra năm 2012 khi tội phạm mạng truy cập được tài khoản cá nhân và doanh nghiệp tại gần 30 ngân hàng khắp châu Âu, trong đó có Ý, Đức, Hà Lan và Tây Ban Nha. Có tới 30.000 khách hàng online bị mất xấp xỉ 36 triệu Euro và mỗi người bị mất từ 500 Euro đến 250.000 Euro. Thủ phạm lừa nạn nhân tải Eurograbber, một phiên bản khác của trojan Zeus, vào máy tính và thiết bị di động. Như vậy, hacker có thể xem trộm các thông tin bằng phương thức tấn công man-in-the-middle (MITM). Để phá vỡ xác minh hai bước của ngân hàng, hacker can thiệp vào các tin nhắn văn bản chứa mã OTP.

Tội phạm mạng đặc biệt ưa thích Zeus vì khi các chuyên gia bảo mật dập tắt một phiên bản của nó, chúng đã có trong tay phiên bản khác. Theo Darrell Burkey, Giám đốc IPS tại Check Point thời điểm đó, cuộc tấn công nhằm vào xác thực hai bước phụ thuộc vào OTP qua SMS chứng minh hacker có hiểu biết sâu sắc về hoạt động của hệ thống ngân hàng trực tuyến.

Năm 2014, một nguy cơ mới có tên Operation Emmental tập trung vào ngân hàng dùng SMS OTP. Nạn nhân nhận được email lừa đảo dẫn tới trang web có thông tin về bảo mật trên di động. Nó lừa người dùng tải ứng dụng cam kết bảo vệ họ khỏi các nguy cơ lừa đảo ngân hàng online. Thực tế, một khi được cài đặt, ứng dụng can thiệp vào mọi tin nhắn chứa OTP và gửi ngay đến kẻ tấn công, sau đó dùng chúng để xác thực các giao dịch lừa đảo trên tài khoản nạn nhân.

Một thiết bị token

Tất cả hệ thống OTP đều có một khiếm khuyết chung

Có rất nhiều hệ thống xác thực nền OTP, chủ yếu khác nhau về cách phân phối OTP đến khách hàng. Nó yêu cầu người dùng luôn phải mang theo thiết bị bên mình. Được sản xuất bởi các công ty như RSA, VASCO và SafeNet, các token này giống như một móc chìa khóa hay máy tính nhỏ với màn hình LCD hiển thị các con số.

Một số ngân hàng tạo và gửi OTP qua SMS đến khách hàng, có thể được gọi là mTAN (mobile Transaction Authorization Numbers). Tại một số nước, ngân hàng vẫn dùng bản cứng để cung cấp OTP.

Dù đa dạng như vậy, tất cả hệ thống OTP đều có chung nhược điểm. Đầu tiên, tất cả đều đối xứng vì ngân hàng cũng xem được một bí mật với khách hàng (và cả nhà mạng). Thứ hai, hệ thống OTP đều dựa trên trình duyệt để giao tiếp trở lại ngân hàng. Điều đó có nghĩa nếu một website lừa đảo bắt chước website thật của ngân hàng hay trình duyệt làm thế nào đó bị xâm phạm, thông tin đăng nhập và OTP có thể bị thu thập bởi những kẻ lừa đảo và ngay lập tức bị dùng để chiếm quyền truy cập, thực hiện các giao dịch lừa đảo.

Hàng ngày, tội phạm mạng khoe khoang về khả năng phá vỡ phương thức xác minh hai bước phụ thuộc vào trình duyệt. Theo Avivah Litan, Phó Chủ tịch và chuyên gia phân tích của Gartner, bất cứ thứ gì đi qua trình duyệt đều có thể bị một trojan xâm phạm. Các cuộc tấn công man-in-the-middle hoặc man-in-the-browser được kích hoạt bằng trojan có khả năng vượt mặt những lớp bảo mật tinh vi nhất từ OTP đến thẻ chip hay công nghệ sinh học vì đều dựa vào trình duyệt.

Trong đó, hacker can thiệp vào liên lạc giữa ngân hàng và khách hàng mà họ không hề nhận thức sự có mặt của chúng, cho phép kẻ lừa đảo hoạt động như một ủy nhiệm. Vài trường hợp, mã độc sao chép ID, mật khẩu và OTP rồi ngay lập tức dùng chúng.

Bảo mật OTP còn có thể bị xâm phạm thông qua keylogging, khi mọi thao tác của người dùng trên bàn phím đều bị bị mật ghi lại. Kẻ tấn công có quyền điều khiển từ xa sẽ chờ đợi nạn nhân nhập thông tin đăng nhập trước khi thực hiện các giao dịch không được phê duyệt.

Máy chủ xác thực tạo OTP để chuyển đến thiết bị token cũng có thể bị tấn công như cơ sở dữ liệu của RSA năm 2011.

SMS là một kênh đặc biệt nguy hiểm

Một trong những hệ thống phân phối OTP dễ bị tấn công nhất lại cũng phổ biến nhất. Trong hơn một thập kỷ, ngân hàng toàn cầu đang dùng SMS để gửi OTP cho khách hàng, chủ yếu vì ai cũng mang theo điện thoại bên mình, loại bỏ sự phiền hà khi phải mang theo một thiết bị token chuyên dụng.

Năm 2008, chuyên gia bảo mật người Úc Stephen Wilson lưu ý “SMS không được thiết kế để hoạt động như một yếu tố xác thực thứ hai”. Ông cảnh báo sử dụng SMS trong xác thực có thể khiến khách hàng trở thành nạn nhân của lừa đảo vì sự ngây thơ của họ. Chính xác đó là điều đã xảy ra. Trong vụ khách hàng Úc bị lừa đảo, ngay cả nhà mạng - đối tượng được hưởng lợi từ SMS OTP - cũng thừa nhận công nghệ không an toàn khi giao dịch trực tuyến.

SMS OTP không được xem là an toàn vì nhiều lý do. Trước hết, bảo mật của SMS phụ thuộc vào bảo mật của mạng di động và với các cuộc tấn công nhằm vào GSM và 3G, sự tin cậy của SMS không được bảo đảm. Hơn nữa, nhiều điện thoại là đối tượng của các trojan như Zeus, Zitmo, Citadel và Perkele, có thể “mở toang” cửa đến SMS trên đi dộng để đánh cắp OTP. Theo Kaspersky Labs, năm 2013 chứng kiến số trojan ngân hàng tăng gần 20 lần, phần lớn tập trung vào SMS OTP.

Ngoài ra, còn phải kể đến việc tráo SIM, làm giả SIM, chuyển số, giả mạo người gọi, chuyển tiếp cuộc gọi có sự tiếp tay của những nhân viên bất nhân của nhà mạng.

Công nghệ OTP không hề rẻ

Ngoài việc không an toàn, các chi phí liên quan đến OTP cũng khá lớn: chi phí token, phần mềm, máy chủ, giấy phép máy chủ, hỗ trợ dịch vụ, nhân sự triển khai và quản lý hệ thống. Bản thân thiết bị token rất đắt, thường có giá từ 15 USD đến 25 USD, thậm chí lên đến 45 USD, theo Ant Allan, Phó Chủ tịch nghiên cứu Identity & Access Management của Gartner. Khi hết pin, thiết bị phải được thay mới vì không có pin thay thế hay sạc, thời gian từ 3 đến 5 năm. Chưa hết, còn xảy ra tình trạng để quên hay làm mất. Các chi phí gắn với SMS cũng cao không kém dù khác nhau tùy theo vị trí địa lý và khối lượng tin nhắn.

Trải nghiệm người dùng

Hệ thống OTP đặc biệt “mong manh” trước nhiều thể loại tấn công cũng như rất tốn kém. Mặt khác, khách hàng cũng có những phiền toái riêng. Họ luôn phải mang theo thiết bị token bên mình. Nếu quên hoặc bị hỏng hay mất, họ không thể hoàn thành giao dịch. Nếu sở hữu nhiều tài khoản ngân hàng, khách hàng phải mang theo nhiều thiết bị khác nhau.

Việc phải nhìn vào và nhập các mã OTP làm chậm quá trình thanh toán và có thể xảy ra sai sót. Người dùng sẽ cảm thấy khó chịu khi luôn phải nhập một đoạn mã dài trên thiết bị di động.

Nếu OTP là quá khứ, cái gì mới là tương lai?

Hơn lúc nào hết, ngành tài chính phải cân bằng giữa bảo mật, tiết kiệm chi phí và sự thuận tiện cho người dùng. Ngân hàng tăng cường phụ thuộc vào thiết bị di động để đáp ứng yêu cầu của khách hàng về sự tiện lợi. Các khách hàng doanh nghiệp và bán lẻ đang kêu gọi để được giao dịch trên một thiết bị họ luôn mang theo.

Đây là cơ hội cho ngành tài chính triển khai chứng chỉ khóa công khai X.509 tiêu chuẩn cho điện thoại di động và tablet để biến chúng thành lớp bảo mật thứ hai duy nhất. Các thiết bị có thể được dùng để xác minh danh tính của người dùng khi đăng nhập vào tài khoản ngân hàng trên mạng hay ứng dụng di động.

Bên cạnh đó, với kết nối ngày càng được cải thiện dù là Wi-Fi, 3G hay 4G, tin nhắn đều có thể mã hóa và gửi đến thông qua công nghệ push data. Sử dụng kênh bảo mật hoàn toàn này, khách hàng sẽ nhận được mã xác minh và phê duyệt mọi giao dịch nhạy cảm chỉ bằng một lần chạm. Các biện pháp bổ sung có thể là mã PIN người dùng, sinh trắc học (vân tay, mống mắt).

Mật khẩu OTP là quá khứ, không phải tương lai của xác thực hai bước. Công nghệ ngày càng chứng minh sự lạc hậu, dễ bị tấn công và trải nghiệm của người dùng cũng không còn phù hợp với thời đại số ngày nay. Với các tổ chức tài chính đang tìm kiếm giải pháp an toàn và thuận tiện để giao dịch trực tuyến, có nhiều lựa chọn để loại bỏ mọi loại tấn công MITM. Ngược lại, nếu còn gắn bó với OTP, ngân hàng nên sẵn sàng với số lượng các cuộc tấn công lừa đảo ngày một tăng.

Du Lam - infonet.vn