Vụ hack ví MoMo: Thiếu cơ chế xác thực thanh toán

 - Việc mất mã OTP là do lỗi người dùng, tuy nhiên việc MoMo không có xác thực thanh toán dẫn đến nhiều nguy cơ về độ an toàn của tài khoản điện tử.

Thời gian gần đây, liên tục có thông tin phản ánh tình trạng người dùng bị mất tiền oan trong các ví điện tử. Mới đây nhất, anh Hữu Tiến, một người dùng MoMo đã tá hỏa khi biết khoản tiền 2,5 triệu trong tài khoản của mình đã không cánh mà bay.

Theo đó, kẻ xấu gọi điện từ một số di động đến số máy của nạn nhân và tự dưng là nhân viên tổng đài cung cấp dịch vụ của MoMo. Đối tượng này yêu cầu người anh Tiến đọc mã OTP được gửi đến. Sau khi chiếm được mã OTP, kẻ xấu đã chiếm được quyền kiểm soát ví, tự nạp tiền từ thẻ VISA/Master Card của anh Tiến vào ví. Sau đó, sử dụng ví để mua 5 mã thẻ điện thoại mệnh giá 500 ngàn đồng.

Vụ hack ví MoMo: Thiếu cơ chế xác thực thanh toán
Tính năng khôi phục lại mật khẩu có thể bị kẻ xấu lợi dụng để chiếm quyền sử dụng tài khoản ví MoMo, nếu người dùng cả tin cung cấp mã xác thực OTP cho kẻ lừa đảo. Ảnh: Trọng Đạt.

MOMO khẳng định không có lỗ hổng bảo mật

Trước câu hỏi của phóng viên VietNamNet xoay quanh vấn đề này, MoMo khẳng định hệ thống của mình không có lỗ hổng bảo mật. Hệ thống MoMo đang hoạt động ổn định và người dùng hoàn toàn an toàn.

Đơn vị này cũng thông tin thêm rằng, trưa 7/12, đại diện MoMo đã gặp làm việc với khách hàng Nguyễn Hữu Tiến để xác minh thông tin, tìm hiểu rõ hơn về tình huống mà khách hàng gặp phải.

Theo đó, anh Tiến cho biết đã cung cấp cho đối tượng lừa đảo các thông tin cá nhân và OTP được gửi tới điện thoại của anh. Sau khi được giải thích và làm rõ sự việc, anh Tiến đã hiểu được việc cung cấp mã OTP cho đối tượng lừa đảo (số điện thoại 090.654.8409) là nguyên nhân trực tiếp dẫn đến các giao dịch mua mã thẻ với  tổn thất là 2,5 triệu đồng.

Cũng trong buổi gặp, hai bên thống nhất, MoMo sẽ là đơn vị chuyển thông tin đến cơ quan chức năng để giải quyết và bảo đảm quyền lợi cho anh.

Trong thời gian chờ đợi quyết định cuối cùng của cơ quan chức năng, MoMo đã tạm ứng cho anh Tiến số tiền thiệt hại 2,5 triệu đồng.

Số tiền này sẽ được anh Tiến hoàn lại cho MoMo sau khi các tổn thất của anh Tiến đã được giải quyết theo quyết định của cơ quan chức năng. 

Với trường hợp của khách hàng Song Chân (TP.HCM), người vô tình bị lộ thông tin thẻ tín dụng và bị kẻ gian lợi dụng nhập thông tin thẻ vào một ví MoMo khác và tiêu tiền từ ví này. MoMo cho biết khách hàng đã sơ suất để lộ thông tin thẻ tín dụng nên đối tượng lừa đảo lợi dụng thẻ này để thanh toán cho nhiều giao dịch ở các nền tảng online khác nhau ngoài Ví MoMo.

Đơn vị này cũng đưa ra khuyến cáo tới người dùng ví điện tử, tuyệt đối không cung cấp OTP, mật khẩu, thông tin cá nhân... Đồng thời, đề cao cảnh giác đối với các cuộc gọi yêu cầu cung cấp các thông tin trên.

Ví điện tử không dùng OTP xác thực thanh toán, chuyên gia lên tiếng

Thông tin về cơ chế bảo mật đang áp dụng  trong dịch vụ ví điện tử, đại diện MoMo cho biết đơn vị này áp dụng chứng chỉ bảo mật quốc tế PCI DSS, bảo mật đường truyền Internet theo tiêu chuẩn SSL/TLS. Bên cạnh đó, đơn vị này sử dụng các phương pháp xác thực bằng mật khẩu, vân tay và xác thực hai lớp (2-FA) hay mã OTP khi đăng ký tài khoản mới, đổi thiết bị hoặc đăng xuất rồi đăng nhập lại.

Khi tiến hành xác minh trên thực tế, đơn vị này có sử dụng các biện pháp nói trên. Tuy nhiên, việc xác thực OTP chỉ được thực hiện khi đăng ký tài khoản mới và đổi thiết bị. Ứng dụng của MoMo không yêu cầu mã OTP khi đăng xuất rồi tiến hành đăng nhập lại như những thông tin được chia sẻ.

Trong trường hợp của anh Nguyễn Hữu Tiến ở Thừa Thiên Huế, việc để lộ mã OTP hoàn toàn do lỗi của người dùng. Tuy nhiên, anh Tiến không nhận được bất kỳ một thông báo xác thực nào liên quan đến quá trình nạp tiền từ thẻ VISA/Master Card vào ví điện tử, cũng như quá trình thực hiện giao dịch mua thẻ điện thoại từ ví MoMo. Chủ ví hay chủ thẻ chỉ biết tới giao dịch khi việc thanh toán đã xong và tiền đã trừ ở thẻ.

Đây là điểm đáng chú ý bởi với các ứng dụng mobile banking của những ngân hàng phổ biến tại Việt Nam như Techcombank và Vietcombank, giao dịch chỉ được thực hiện sau khi đã tiến hành việc xác thực 2 bước.

Cụ thể hơn, mỗi khi tiến hành giao dịch, bên cạnh việc nhập mật khẩu, hệ thống sẽ gửi mã OTP về số điện thoại người dùng đăng ký và yêu cầu người dùng phải nhập lại mã này. Quá trình xác thực trên được giới hạn trong khoảng 1 phút để loại trừ các nguy cơ về bảo mật.

Vụ hack ví MoMo: Thiếu cơ chế xác thực thanh toán
MoMo cần tăng cường thêm các biện pháp xác thực để bảo vệ người dùng sản phẩm của mình.
 

Khi được tham khảo ý kiến, đại diện CMC InfoSec, một trong những đơn vị hàng đầu tại Việt Nam về an toàn thông tin cho rằng, việc sử dụng duy nhất một mật khẩu để thực hiện xác nhận thanh toán sẽ không đảm bảo an toàn cho người sử dụng.

“Doanh nghiệp cung cấp dịch vụ thanh toán điện tử,dù đã được cấp chứng chỉ PCI DSS hay chưa, không những nên thiết lập 2 Factor Authentication (2-FA) trong phần xác nhận thanh toán mà còn nên yêu cầu khách hàng đặt các mật khẩu đăng nhập thanh toán truy cập đủ mạnh.”, đại diện CMC InfoSec chia sẻ.

Đối với doanh nghiệp cung cấp dịch vụ thanh toán trực tuyến, phương pháp để đảm bảo an toàn trong giao dịch điện tử có thể kể đến là việc tuân thủ theo một số tiêu chuẩn cơ bản và phổ biến như: tiêu chuẩn PCI DSS ( dành cho bảo mật dữ liệu thẻ cho hệ thống), PA DSS ( tiêu chuẩn bảo mật cho ứng dụng thanh toán), tiêu chuẩn P2PE (dành cho mã hóa đường truyền).

Ngoài ra doanh nghiệp thanh toán điện tử nên thực hiện việc rà soát, kiểm tra mức độ an toàn thông tin của hệ thống theo định kỳ để đảm bảo hệ thống không bị kiểm soát cũng như bị nhiễm các mã độc nguy hiểm.

Đơn vị này cũng đưa ra khuyến cáo, để  đảm bảo thêm an toàn cho phía người dùng của mình, doanh nghiệp cần thiết lập các phương pháp xác thực tối thiểu là xác thực 2 bước.

Những điều cần lưu ý khi giao dịch điện tử

Cảnh giác với các cuộc gọi, đoạn chat hay email tự nhận đến từ các đơn vị phát hành thẻ, ngân hàng dịch vụ khi bên kia yêu cầu cung cấp thông tin cá nhân, password hay thông tin thẻ. Đây có thể là thủ đoạn của những kẻ lừa đảo.

Thông thường các ngân hàng sẽ yêu cầu bạn ra tận quầy giao dịch để thực hiện các thay đổi liên quan đến internet banking và mobile banking. Việc bảo vệ thông tin dữ liệu cá nhân phải xuất phát từ cả phía người dùng chứ không chỉ là trách nhiệm của doanh nghiệp cung cấp dịch vụ.

Vụ hack ví MoMo: Thiếu cơ chế xác thực thanh toán
Giao dịch điện tử luôn tiềm ẩn các nguy cơ cao về bảo mật. Người dùng nên có ý thức bảo vệ thông tin cá nhân để tránh trở thành nạn nhân của hacker.

Luôn luôn sử dụng mật khẩu mạnh (8 ký tự trở lên trong đó có bao gồm các thành phần ký tự đặc biệt và số) cho tất cả các tài khoản cũng như dùng xác thực đa lớp. Người dùng cũng nên cân nhắc mức độ rủi ro khi sử dụng đối với các ứng dụng thanh toán cài trên thiết bị cầm tay không yêu cầu xác thực 2 bước.

Đối với các hoạt động mua sắm trên các trang web bán hàng online hay các ứng dụng thanh toán điện tử, người dùng nên lựa chọn các trang chính thống và có uy tín.

Hầu hết các hệ thống mua sắm trực tuyến lớn đều phải tuân thủ theo một số các tiêu chuẩn bảo mật dữ liệu nhất định. Trong đó, phổ biến có chứng chỉ PCI DSS. Dấu tích của PCI sẽ được hiển thị trong phần thanh toán tại các trang mua sắm này.

Những trang web mua sắm được bảo mật sẽ có địa chỉ trang web bắt đầu bằng “https”. Chữ “s” là viết tắt của “secured”, có nghĩa là “đã được tăng cường bảo mật”.

Trọng Đạt

Cả tin giao mã OTP, người dùng Momo bị "hack" ví tiền điện tử

Cả tin giao mã OTP, người dùng Momo bị "hack" ví tiền điện tử

Trao mã OTP chỉ sau một cuộc điện thoại, nhiều người dùng nhận trái đắng khi tiền trong tài khoản đội nón ra đi.

Bkav đã "bẻ khóa" thành công Face ID của iPhone X hay chưa?

Bkav đã "bẻ khóa" thành công Face ID của iPhone X hay chưa?

Theo đánh giá của một chuyên gia công nghệ, Bkav đã thành công trong việc mở khóa iPhone X bằng mặt nạ. Tuy vậy, không hẳn họ đã thực sự bẻ khóa được công nghệ nhận dạng của Face ID.

Lỗi nghiêm trọng khiến HĐH macOS High Sierra cực dễ bị hack

Lỗi nghiêm trọng khiến HĐH macOS High Sierra cực dễ bị hack

Hệ điều hành macOS High Sierra của Apple hiện có một lỗ hổng nghiêm trọng, khiến bất kỳ ai thao tác với máy tính Mac cũng có thể giành quyền kiểm soát hệ thống mà không cần nhập mật khẩu.

Thủ phạm vụ hack Yahoo “kinh thiên động địa” bị dẫn độ tới Mỹ

Thủ phạm vụ hack Yahoo “kinh thiên động địa” bị dẫn độ tới Mỹ

Tin tặc trẻ 22 tuổi Karim Baratov người Canada sẽ bị dẫn độ tới Mỹ vào tuần tới để xét xử vì liên quan tới vụ hack Yahoo năm 2014 làm lộ thông tin của ít nhất 500 triệu tài khoản khách hàng.

Đồng hồ thông minh định vị cho trẻ em rất dễ bị hack

Đồng hồ thông minh định vị cho trẻ em rất dễ bị hack

Các chuyên gia cảnh báo, đồng hồ thông minh (smartwatch) tích hợp định vị, khả năng gọi điện,... dành cho trẻ em có các lỗ hổng bảo mật khiến chúng rất dễ bị hacker tấn công.

Cảnh báo nguy cơ robot tình dục sát hại chủ nhân vì bị hack

Cảnh báo nguy cơ robot tình dục sát hại chủ nhân vì bị hack

Một chuyên gia an ninh mạng lừng danh vừa lên tiếng cảnh báo về nguy cơ các robot tình dục trong tương lai có thể bị hacker chiếm quyền điều khiển và tái lập trình để ra tay sát hại người dùng.

 
 

Không thể bỏ lỡ

.
 
Sau Thế giới di động, hacker lại tung cơ sở dữ liệu của FPT Shop
Sau Thế giới di động, hacker lại tung cơ sở dữ liệu của FPT Shop
Bảo mậticon  13/11/2018 

Cũng giống như với vụ việc của Thế giới di động, hiện vẫn đang có nhiều nghi vấn đằng sau các dữ liệu được cho là của khách hàng FPT Shop vừa được hacker công bố.

 
Hơn 50 quốc gia cam kết phòng, chống tội phạm mạng
Hơn 50 quốc gia cam kết phòng, chống tội phạm mạng
Bảo mậticon  13/11/2018 

Ngày 12/11, các đại diện đến từ 51 quốc gia và hơn 150 công ty công nghệ cam kết nỗ lực hơn nữa nhằm ngăn chặn hoạt động tội phạm trên mạng, trong đó có sự can thiệp vào các cuộc bầu cử và những phát ngôn gây thù địch.

 
Sau TGDĐ, đến phiên Con Cưng bị hack dữ liệu?
Sau TGDĐ, đến phiên Con Cưng bị hack dữ liệu?
Bảo mậticon  10/11/2018 

Một phần cơ sở dữ liệu được cho là của chuỗi cửa hàng Con Cưng đã bị một thành viên tung lên diễn đàn Raidforums. 

 
Thông tin người dùng bị phát tán không phải do hack vào Thế giới di động
Thông tin người dùng bị phát tán không phải do hack vào Thế giới di động
Bảo mậticon  09/11/2018 

Liên quan đến nghi vấn khách hàng của Thế giới di động bị lộ thông tin cá nhân, Cục An toàn Thông tin (Bộ TT&TT) cho biết chưa nhận thấy dấu hiệu tấn công vào hệ thống liên quan tới thông tin cá nhân bị phát tán.

 
Đào tiền ảo từ hơn 6.000 máy tính, 5 tin tặc bị Hàn Quốc bắt giữ
Đào tiền ảo từ hơn 6.000 máy tính, 5 tin tặc bị Hàn Quốc bắt giữ
Bảo mậticon  09/11/2018 

Hãng tin CNN cho biết 5 tin tặc đã bị Cục cảnh sát an ninh mạng Hàn Quốc bắt giữ sau khi đột nhập vào hơn 6.000 máy tính cá nhân và sử dụng hệ thống này đào tiền ảo.

 
Ý thức an toàn thông tin tại Việt Nam vẫn còn rất hạn chế
Ý thức an toàn thông tin tại Việt Nam vẫn còn rất hạn chế
Bảo mậticon  09/11/2018 

Nghi vấn lộ dữ liệu khách hàng Thế giới di động hiện đang được điều tra, xác minh. Trên thực tế, không ít những vụ tấn công mạng đã xảy ra liên tiếp tại Việt Nam thời gian gần đây và để lại hậu quả không hề nhỏ.

Cục ATTT điều tra nghi vấn lộ dữ liệu khách hàng Thế giới di động
Cục ATTT điều tra nghi vấn lộ dữ liệu khách hàng Thế giới di động
Bảo mậticon  09/11/2018 

Trước đó, nhiều địa chỉ email, tài khoản thẻ ngân hàng nghi là của khách hàng Thế giới di động đã bị kẻ xấu tung lên mạng Internet.

Hacker tuyên bố có tài khoản thẻ của khách hàng Thế giới di động
Hacker tuyên bố có tài khoản thẻ của khách hàng Thế giới di động
Bảo mậticon  08/11/2018 

Đáp lại phản ứng phủ nhận hoàn toàn việc bị tấn công của Thế giới di động, hacker bí ẩn đã cung cấp thêm một loạt số tài khoản được cho là của khách hàng tại hệ thống bán lẻ này.

Thế giới di động phủ nhận bị hacker phát tán dữ liệu khách hàng
Thế giới di động phủ nhận bị hacker phát tán dữ liệu khách hàng
Bảo mậticon  07/11/2018 

Hàng loạt địa chỉ email và nhiều thông tin khác của khách hàng Thế giới di động bị hacker đưa lên mạng Internet. Thế giới di động vừa có thông tin chính thức về vụ việc này.

Tấn công mạng trước cuộc bầu cử giữa nhiệm kỳ ở Mỹ tăng đột biến
Tấn công mạng trước cuộc bầu cử giữa nhiệm kỳ ở Mỹ tăng đột biến
Bảo mậticon  06/11/2018 

Ngày 5/11, theo một cáo về mối đe dọa bầu cử liên bang, các tin tặc đã nỗ lực tấn công hơn 160 lần vào hệ thống bầu cử của Mỹ kể từ tháng 8 tới nay.

Tencent quản lý người chơi game gây tranh cãi về quyền riêng tư
Tencent quản lý người chơi game gây tranh cãi về quyền riêng tư
Bảo mậticon  08/11/2018 

“Gã khổng lồ công nghệ” của Trung Quốc đang bị phản ứng đối với vấn đề quyền riêng tư khi áp dụng tính năng xác minh người chơi.

4,7 triệu địa chỉ IP của Việt Nam thường xuyên nằm trong các mạng mã độc lớn
4,7 triệu địa chỉ IP của Việt Nam thường xuyên nằm trong các mạng mã độc lớn
Bảo mậticon  06/11/2018 

Cục An toàn thông tin (Bộ Thông tin và Truyền thông) vừa phát đi văn bản về việc tăng cường nâng cao năng lực phòng, chống phần mềm độc hại theo Chỉ thị số 14/CT-TTg của Thủ tướng Chính phủ.

FIFA lại bị hack
FIFA lại bị hack
Bảo mậticon  05/11/2018 

Lần thứ hai trong năm, hệ thống máy chủ của Liên đoàn bóng đá thế giới FIFA bị tin tặc viếng thăm.

Hacker mũ trắng sẽ là những "chiến binh" bảo vệ hòa bình thế giới
Hacker mũ trắng sẽ là những "chiến binh" bảo vệ hòa bình thế giới
Bảo mậticon  01/11/2018 

WhiteHat Grand Prix 2018 là cuộc thi an ninh mạng được Cục An toàn thông tin (Bộ TT&TT) phối hợp cùng Diễn đàn WhiteHat.vn tổ chức. Cuộc thi là nơi quy tụ những hacker mũ trắng hàng đầu thế giới.

Ứng dụng văn phòng Microsoft Word dính lỗi bảo mật mới
Ứng dụng văn phòng Microsoft Word dính lỗi bảo mật mới
Bảo mậticon  02/11/2018 

Các nhà nghiên cứu bảo mật đã tiết lộ một lỗ hổng chưa được “vá” trong Microsoft Office 2016 và các phiên bản cũ hơn.

Hàng chục hacker hàng đầu thế giới tranh tài tại Hà Nội
Hàng chục hacker hàng đầu thế giới tranh tài tại Hà Nội
Bảo mậticon  01/11/2018 

Sáng 1/11, vòng Chung kết cuộc thi an ninh mạng toàn cầu WhiteHat Grand Prix 2018 với chủ đề Truyền thuyết Việt Nam – Legends of Vietnam vừa diễn ra tại Trung tâm Hội nghị Quốc gia (Hà Nội).

Lỗ hổng Windows 10 làm lộ tất cả tập tin người dùng
Lỗ hổng Windows 10 làm lộ tất cả tập tin người dùng
Bảo mậticon  01/11/2018 

Một lỗ hổng bảo mật trên Windows 10 cho phép các ứng dụng trên Microsoft Store có quyền truy cập vào tất cả các tập tin trên máy tính của người dùng mà không cần sự đồng ý của họ.

Apple, Amazon trả đũa Bloomberg vì không gỡ vụ chip gián điệp TQ
Apple, Amazon trả đũa Bloomberg vì không gỡ vụ chip gián điệp TQ
Bảo mậticon  29/10/2018 

Phản ứng lại trước những cáo buộc từ Bloomberg, Apple đã không mời phóng viên Bloomberg dự sự kiện ra mắt iPad mới. Amazon cũng không kém cạnh khi cắt hết quảng cáo trên tờ báo này.

Hàng loạt khách hàng Vietinbank bị đánh cắp mật khẩu thẻ ATM rút trộm tiền
Hàng loạt khách hàng Vietinbank bị đánh cắp mật khẩu thẻ ATM rút trộm tiền
Bảo mậticon  27/10/2018 

Cơ quan công an đã bắt được đối tượng liên quan đến vụ hàng loạt khách hàng sử dụng ATM của ngân hàng này bị rút trộm tiền.

Mỹ "tố" Trung, Nga nghe lén điện thoại của Tổng thống Trump
Mỹ "tố" Trung, Nga nghe lén điện thoại của Tổng thống Trump
Bảo mậticon  25/10/2018 

Các cơ quan tình báo Mỹ cho biết Nga và Trung Quốc đang tìm cách nghe lén các cuộc gọi điện thoại của Tổng thống Donald Trump để thu thập thông tin mà họ có thể sử dụng để gây ảnh hưởng đến chính sách của Mỹ.

 
 
 
Hoàn thiện thông tin gửi bình luận

HOẶC ĐĂNG NHẬP NHANH BẰNG TÀI KHOẢN