Các ngân hàng Singapore loại bỏ dần OTP cho đăng nhập trực tuyến
Ngày 9/7 vừa qua, Cơ quan tiền tệ Singapore (MAS) và Hiệp hội Ngân hàng Singapore (ABS) đã công bố một yêu cầu mới tác động đến tất cả các ngân hàng trong nước nhằm loại bỏ dần việc sử dụng mật khẩu một lần (OTP) trong vòng ba tháng tới.
Trong đó, các tổ chức ngân hàng ở Singapore có ba tháng để loại bỏ dần việc sử dụng mật khẩu một lần (OTP) cho mục đích xác thực khi đăng nhập vào tài khoản trực tuyến nhằm giảm thiểu nguy cơ bị tấn công lừa đảo.
MAS cho biết: “Những khách hàng đã kích hoạt mã thông báo kỹ thuật số trên thiết bị di động sẽ phải sử dụng mã thông báo kỹ thuật số để đăng nhập tài khoản ngân hàng thông qua trình duyệt hoặc ứng dụng ngân hàng di động”. “Mã thông báo kỹ thuật số sẽ xác thực thông tin đăng nhập của khách hàng mà không cần OTP - công cụ mà những kẻ lừa đảo có thể đánh cắp hoặc lừa khách hàng”.
MAS cũng kêu gọi khách hàng kích hoạt token kỹ thuật số để bảo vệ khỏi các cuộc tấn công được thiết kế nhằm đánh cắp thông tin xác thực và chiếm đoạt tài khoản của họ để tiến hành gian lận tài chính. Theo ABS, token kỹ thuật số đã được kích hoạt cho 60% đến 90% khách hàng của ba ngân hàng lớn trong nước: DBS, OCBC và UOB.
Bà Ong-Ang Ai Boon, Giám đốc ABS, cho biết trong một tuyên bố: “Biện pháp này cung cấp cho khách hàng sự bảo vệ tốt hơn trước việc truy cập trái phép vào tài khoản ngân hàng của họ. Mặc dù chúng có thể gây ra một số bất tiện nhưng những biện pháp như vậy là cần thiết để giúp ngăn chặn lừa đảo và bảo vệ khách hàng”.
Mặc dù OTP ban đầu được giới thiệu là một hình thức xác thực hai yếu tố (2FA) để tăng cường bảo mật tài khoản, nhưng tội phạm mạng đã tìm ra trojan ngân hàng, bot OTP và bộ công cụ lừa đảo có khả năng thu thập các mã đó bằng cách sử dụng các trang web tương tự.
Các bot OTP, có thể truy cập qua Telegram và được quảng cáo với giá từ 100 đến 420 USD, đưa kỹ thuật lên một tầm cao mới bằng cách gọi điện cho người dùng và thuyết phục họ nhập mã 2FA trên điện thoại của họ để giúp vượt qua các biện pháp bảo vệ tài khoản.
Điều quan trọng cần đề cập là các bot như vậy chủ yếu được thiết kế để đánh cắp mã OTP của nạn nhân, yêu cầu những kẻ lừa đảo phải có được thông tin xác thực hợp lệ thông qua các phương tiện khác như vi phạm dữ liệu, bộ dữ liệu có sẵn để bán trên web đen và các trang web thu thập thông tin xác thực.
Ngoài các trang web lừa đảo, OTP còn là mục tiêu của phần mềm độc hại Android trong nhiều năm, giúp các kẻ tấn công vượt qua các biện pháp bảo vệ xác thực hai yếu tố trên tài khoản mục tiêu. Ngoài ra, OTP có thể bị chặn bởi các cuộc tấn công trung gian và nếu chúng dựa trên SMS, chúng có thể bị chặn bởi các tác nhân đe dọa thực hiện các cuộc tấn công hoán đổi SIM.
Sự gia tăng của phần mềm độc hại trên thiết bị di động trong những năm qua cũng đã thúc đẩy Google công bố một chương trình thí điểm mới ở Singapore nhằm ngăn chặn người dùng tải một số ứng dụng lạm dụng quyền của ứng dụng Android để đọc OTP và thu thập dữ liệu nhạy cảm.
Theo Tạp chí An toàn thông tin