Mật khẩu có mã số riêng vẫn bị hacker lấy cắp

OTP (one-time password) là loại mật khẩu giúp người dùng mỗi lần đăng nhập có một mã số riêng, không trùng lặp, nhưng hacker đã tìm ra cách qua mặt công nghệ này.

Otpdevice: Một thiết bị sinh mã OTP - Nguồn: Yubikey.

Vào giữa tháng 7 vừa qua, giám đốc tài chính của Công ty xây dựng Ferma (tại bang California, Mỹ) đăng nhập vào tài khoản ngân hàng công ty để thanh toán các hóa đơn. Ông dùng mật khẩu OTP nhằm đảm bảo giao dịch an toàn hơn.

Tuy nhiên, máy tính của vị giám đốc này đã bị cài “điệp viên ngầm”. Các phân tích sau này cho thấy ông ta từng ghé một website có mã độc và mã độc này đã len vào máy tính cá nhân.

Trong khi ông giám đốc đưa ra lệnh thanh toán hợp thức thì chương trình độc đó tạo ra 27 giao dịch đến các tài khoản ngân hàng khác nhau, lấy mất 447.000 USD (8 tỉ đồng) chỉ trong vòng vài phút.

“Chúng không chỉ thâm nhập hệ thống của chúng tôi mà còn chắc chắn rút được bao nhiêu và rút đến khi không còn rút được hơn”, Roy Ferrari, chủ tịch Ferma, cho biết.

Vụ trộm diễn ra bất chấp người dùng nhập mật khẩu OTP gồm sáu con số do một thiết bị hay chương trình điện tử tạo nên trong 30 - 60 giây/lần.

Hacker đã phát triển một loại Trojan thời gian thực có thể tạo giao dịch tới một ngân hàng trong khi chủ tài khoản đang online, biến OTP thành một kết nối yếu ớt trong chuỗi mắt xích an ninh tài chính. “Tôi nghĩ đó là mô hình đã bị phá vỡ”, Ferrari nói.

Các chuyên gia bảo mật cho hay các ngân hàng và người dùng cần cảnh giác về điều này và có những biện pháp an toàn hơn. Bedford, công ty bảo mật sản xuất thiết bị OTP có tên SecurID, lập luận cả ngân hàng và khách hàng không nên phụ thuộc vào một thứ để đảm bảo an toàn cho giao dịch.

Sam Curry, phó chủ tịch của hãng, cho hay công nghệ OTP và các biện pháp bảo mật khác có thể thêm các rào chắn đối với hacker nhưng không thể ngăn chúng mãi mãi.

Một biện pháp đưa ra là người giao dịch có thể dùng hệ điều hành “hiếm” như Linux để đỡ bị tấn công, hoặc có một máy tính chuyên dùng để thực hiện giao dịch - nghĩa là máy đó không truy cập bất kỳ site nào, trừ site của ngân hàng và có đường mạng riêng.

Một số công ty bảo mật còn phát triển phần mềm cho phép người dùng chạy một vùng an toàn trên máy tính, loại bỏ các hoạt động chen ngang. Giải pháp khác là luôn dùng điện thoại hay SMS để khẳng định giao dịch hợp pháp rồi mới thanh toán.

Trong khi đó, “khổ chủ” Ferrari quyết định trở về giải pháp low-tech: “Chúng tôi đã quay trở lại các giao dịch bằng giấy tờ với ngân hàng”.

Theo Phan Anh
Tuổi Trẻ/Technology Review

Video đang được xem nhiều

Cùng chuyên mục

Xem thêm Công nghệ

Mới - Nóng

Khám phá