Vào giữa tháng 7  vừa qua, giám đốc  tài chính  của Công ty  xây dựng  Ferma (tại bang California, Mỹ) đăng nhập vào tài khoản ngân hàng  công ty  để thanh toán các hóa đơn. Ông dùng mật khẩu  OTP nhằm đảm bảo giao dịch  an toàn hơn.

Tuy nhiên, máy tính  của vị giám đốc  này đã bị cài “điệp viên ngầm”. Các phân tích  sau này cho thấy ông ta từng ghé một website  có mã độc và mã độc này đã len vào máy tính  cá nhân. Trong khi ông giám đốc  đưa ra lệnh thanh toán hợp thức thì chương trình  độc đó tạo ra 27 giao dịch  đến các tài khoản ngân hàng  khác nhau, lấy mất 447.000 USD  (8 tỉ đồng) chỉ trong vòng vài phút. “Chúng không chỉ thâm nhập hệ thống  của chúng tôi  mà còn chắc chắn rút được bao nhiêu và rút đến khi không còn rút được hơn”, Roy Ferrari, chủ tịch  Ferma, cho biết.

Vụ trộm diễn ra bất chấp người dùng  nhập mật khẩu  OTP gồm sáu con số do một thiết bị hay chương trình  điện tử  tạo nên trong 30 - 60 giây/lần. Hacker  đã phát triển một loại Trojan  thời gian  thực có thể tạo giao dịch  tới một ngân hàng  trong khi chủ tài khoản đang online, biến OTP thành một kết nối yếu ớt trong chuỗi mắt xích an ninh tài chính. “Tôi nghĩ đó là mô hình đã bị phá vỡ”, Ferrari nói.

Các chuyên gia bảo mật  cho hay các ngân hàng  và người dùng  cần cảnh giác về điều này và có những biện pháp an toàn hơn. Bedford, công ty  bảo mật  sản xuất thiết bị OTP có tên SecurID, lập luận cả ngân hàng  và khách hàng  không nên phụ thuộc vào một thứ để đảm bảo an toàn  cho giao dịch. Sam Curry, phó chủ tịch  của hãng, cho hay công nghệ  OTP và các biện pháp bảo mật  khác có thể thêm các rào chắn đối với hacker  nhưng không thể ngăn chúng mãi mãi.

Một biện pháp đưa ra là người giao dịch  có thể dùng hệ điều hành  “hiếm” như Linux  để đỡ bị tấn công, hoặc có một máy tính  chuyên dùng để thực hiện giao dịch - nghĩa là máy đó không truy cập  bất kỳ site nào, trừ site của ngân hàng  và có đường mạng riêng. Một số công ty  bảo mật  còn phát triển phần mềm cho phép người dùng  chạy một vùng an toàn trên máy tính, loại bỏ các hoạt động  chen ngang. Giải pháp khác là luôn dùng điện thoại  hay SMS để khẳng định giao dịch  hợp pháp rồi mới thanh toán.

Trong khi đó, “khổ chủ” Ferrari quyết định  trở về giải pháp low-tech: “Chúng tôi đã quay trở lại các giao dịch  bằng giấy tờ với ngân hàng”.

Bạn có ý kiến gì về bài viết Mật khẩu mã số riêng vẫn bị hacker lấy cắp này? Hãy gởi suy nghĩ, bình luận, đánh giá, lời khuyên ... của bạn về bài viết Mật khẩu mã số riêng vẫn bị hacker lấy cắp bạn tại đây.