Từ tháng 1, nhiều khách hàng tại Singapore cho biết dịch vụ SMS của ngân hàng OCBC không gửi mã xác thực 1 lần (OTP) cho họ, khiến các giao dịch trái phép xảy ra liên tục. Cụ thể, gần 470 khách hàng đã mất tổng cộng khoảng 8,5 triệu USD cho những kẻ lừa đảo thông qua dịch vụ SMS ngân hàng, theo Straits Times.
Theo giải thích từ ngân hàng OCBC, công cụ xác thực kỹ thuật số hiện xảy ra lỗ hổng và có thể dễ dàng được kích hoạt từ điện thoại của những kẻ lừa đảo. Ngoài ra, các chuyên gia an ninh mạng cho biết tin tặc có thể chuyển hướng SMS OTP của OCBC Bank ra nhiều công ty viễn thông ở nước ngoài. Đây là lý do tại sao khách hàng không nhận được tin nhắn.
Nhiều khách hàng của OCBC Bank tại Singapore không nhận được mã OTP để xác thực giao dịch. Ảnh: The Straits Times. |
Ngoài ra, trong một thông báo vào ngày 17/1, ngân hàng OCBC của Singapore cảnh báo khách hàng cẩn thận với các web đăng nhập tài khoản giả mạo thông qua đường dẫn (link) trên SMS.
Thực chất, chiêu trò này không mới và đã bị cảnh báo rất nhiều lần. Khi khách hàng nhập tên người dùng, mật khẩu và mã PIN tài khoản trên webite giả mạo, kẻ lừa đảo sẽ sử dụng toàn bộ dữ liệu này và nhập chúng vào ứng dụng ngân hàng chính thức để tiến hành giao dịch. Những kẻ giả mạo sẽ có thể thực hiện các giao dịch không giới hạn, khiến người dùng “cháy tài khoản” nhanh chóng.
Sau đó, kẻ lừa đảo sẽ kích hoạt OneToken của OCBC Bank, được sử dụng để xác thực các giao dịch kỹ thuật số trên ứng dụng điện thoại. Để làm được điều này, chúng sẽ kích hoạt việc gửi SMS OTP đến số điện thoại của khách hàng và yêu cầu họ nhập mã PIN trên website giả mạo.
Với việc kích hoạt OneToken thành công, kẻ gian có thể nhanh chóng chuyển tiền từ tài khoản của nạn nhân vào nhiều người nhận khác trong nước cũng như quốc tế. Ngoài ra, chúng có thể xác minh việc chuyển tiền bằng cách phản hồi thông báo trên ứng dụng ngân hàng mà không cần SMS OTP. Do đó, nạn nhân sẽ không nhận được SMS và thông báo giao dịch trái phép.
Theo chuyên gia an ninh mạng Anthony Lim tại đại học SUSS, một số dữ liệu ngân hàng của nạn nhân có thể đã bị đánh cắp trong những lần thử trước đó. Trong khi đó, ông Kevin Reed, Giám đốc an toàn thông tin của công ty Acronis lại cho rằng phần mềm độc hại trên điện thoại của nạn nhân có thể đã tự động xóa tin nhắn SMS.
Ngoài ra, tin tặc cũng có thể trì hoãn hoặc xóa tin nhắn SMS bằng cách sử dụng trái phép mạng điện thoại di động SS7, một cơ sở hạ tầng di động để quản lý dữ liệu. Nó cho phép những kẻ gian mạo danh tên chủ thể và gửi SMS Brandname nhằm khiến khách hàng bất cẩn.
Nhiều ngân hàng tại Việt Nam cũng liên tục cảnh báo các vấn đề bảo mật cho người dùng. Ảnh: Phúc Thịnh. |
Tại Việt Nam, việc lừa đảo thông qua hình thức SMS Brandname đã diễn ra năm 2021. Nhiều ngân hàng đã cảnh báo người dùng cần giữ bí mật thông tin cá nhân, không cung cấp mã PIN hoặc OTP cho người khác. Khách hàng chỉ nên truy cập vào website chính thức của các ngân hàng, hoặc yêu cầu OTP cho cả ứng dụng di động và SMS để tránh nguy cơ bị đánh cắp tiền trong tài khoản.