Cảnh báo FBI xác thực đa yếu tố học cho ngân hàng Tháng vừa qua, Cục điều tra liên bang Mỹ công bố ghi cảnh báo công ty c nước việc tội phạm mạng sử dụng nhiều biện pháp để qua mặt kỹ thuật xác thực đa yếu tố phổ biến thị trường Cảnh báo FBI Cách đơn giản phổ biến gian lận trao đổi SIM, đó, kẻ công thuyết phục mạng di động (hoặc mua chuộc nhân viên) để chuyển số điện thoại di động mục tiêu, cho phép chúng nh ận mã bảo mật 2FA gửi qua tin nhắn SMS Tội phạm sử dụng phương pháp để trộm tiền tài khoản ngân hàng, trộm tiền mã hóa từ ví điện tử hay sàn giao dịch, cơng dịch vụ kiểu PayPal Ngay Việt Nam, thấy số trường hợp khách hàng bị “cướp SIM” để trộm tiền từ tài khoản ngân hàng Từ góc độ người dùng kiểu cơng khó chống đỡ Kiểu cơng thứ hai sử dụng kỹ thuật phishing để lừa người dùng nhập tên đăng nhập/mật mã xác thực dùng lần (OTP) vào trang web giả Tháng vừa qua, loạt tài khoản YouTube đư ợc nhiều người theo dõi b ị hack theo cách Kiểu công tinh vi cư ớp phiên làm việc (session hijack) ngư ời dùng đăng nhập vào trang web th ức thông tin đăng nh ập mã xác thực dùng lần bị đánh cắp trình truy ền từ người dùng tới website Theo FBI, số trường hợp năm 2019, lỗ hổng bảo mật trang web ngân hàng cho phép tin t ặc bỏ qua mã PIN câu h ỏi bảo mật sau lừa lấy thông tin b ản chủ tài khoản Những thông tin không ph ải nhiều người biết tới Vậy cảnh báo FBI có thực cần thiết với cơng ty? Vì dù kỹ thuật xác thực đa yếu tố OTP gửi qua SMS hoạt động tốt đáp ứng yêu cầu phần lớn người dùng (cả người dùng nội lẫn khách hàng) Hơn n ữa, dù bị qua mặt kỹ thuật xác thực đa yếu tố phổ biến tốt xác thực người dùng mật Vấn đề số người dùng quan trọng (cán quản trị hệ thống trọng yếu, khách hàng có số dư hạn mức giao dịch cao ) - mục tiêu “giá trị” tin tặc cần bảo vệ biện pháp kỹ thuật cao cấp, an tồn H ọ sử dụng kỹ thuật xác thực đa yếu tố an toàn token FIDO2 để tránh bị công phishing Về lâu dài, giải pháp tiêu chuẩn WebAuthn Sau s ẽ tìm hiểu cơng nghệ xác thực tiên tiến khả ứng dụng chúng U2F giúp bảo vệ người dùng khỏi hình thức phishing Dù sử dụng OTP gửi qua SMS hay OTP ứng dụng di động sinh ra, giao dịch ngân hàng trực tuyến bị công phishing ngư ời sử dụng trang web mà h ọ truy cập có trang web c ngân hàng hay khơng Các hư ớng dẫn phịng chống phishing thư ờng yêu cầu người sử dụng kiểm tra địa trang web th ực tế, đa số người sử dụng hay không nhớ cách kiểm tra (và tin tặc liên tục sáng tạo cách lừa đảo mới) Theo chuyên gia bảo mật, yêu cầu khách hàng tự kiểm tra địa trang web địi hỏi ý chí Việc kiểm tra địa trang web khơng có tác d ụng có nhiều mẹo mà kẻ cơng sử dụng để đánh lừa người chuyên nghiệp Ngoài việc hướng dẫn khách hàng kiểm tra địa trang web, ngân hàng sử dụng chứng EV, với loại chứng này, tên ngân hàng hiển thị địa Tuy nhiên, nhà nghiên c ứu Đại học Stanford kẻ công dễ dàng lừa người dùng cách tạo địa giả mạo (tấn cơng “hình hình”) Liên minh Xác thực FIDO đưa chu ẩn U2F token tuân theo chu ẩn giúp người dùng khỏi phải kiểm tra địa trang web mà giao dịch an tồn Trình duyệt web người dùng trực tiếp gửi địa trang web đến cho thiết bị U2F thiết bị U2F thay người dùng kiểm tra địa có hay khơng Nói cách đơn giản, với địa khác thiết bị U2F trả mã xác thực khác nhau, đó, người dùng bị lừa truy cập địa http://phishing.com, trang web lấy cấp mã xác thực https://banking.com đ ịa https://banking.com khác v ới http://phishing.com Đây m ột ưu điểm bật U2F so với kiểu xác thực OTP truyền thống Hơn thế, U2F cắm vào máy tính nhiễm mã độc mà mã đăng nhập đảm bảo an toàn (tuy nhiên, mã độc gây nhiều vấn đề khác ngồi q trình xác th ực) Do U2F sử dụng kết nối qua cổng USB, sóng NFC ho ặc Bluetooth nên nhà cung cấp dịch vụ trực tuyến tin tưởng người dùng thực gần địa điểm đăng nhập không trường hợp tin tặc lừa người dùng để lấy OTP đăng nhập địa điểm khác Khả chống phishing U2F chứng minh Google Sau triển khai thiết bị token bảo mật theo tiêu chuẩn U2F cho 85 nghìn nhân viên, Google khơng ghi nh ận trường hợp bị chiếm tài khoản gần năm Kết nghiên cứu cho thấy thời gian đăng nhập giảm 2/3 người dùng cần nhấn vào nút bấm token thay cho việc nhập đoạn mã, số lỗi đăng nhập giảm xuống 0, thời gian hỗ trợ vướng mắc người dùng trình đăng nh ập giảm hàng ngàn giờ, giúp Google tiết kiệm đáng kể chi phí Tuy giá token U2F khơng r ẻ token dùng chung cho nhiều dịch vụ khác nhà cung c ấp dịch vụ mạng tốn tiền cho khách hàng có token U2F Dù có th ể dùng token U2F để xác thực cho nhiều dịch vụ khác việc đánh token U2F không làm l ộ tài khoản Chủ tài khoản cần xóa khỏi danh sách thiết bị xác thực đăng ký với dịch vụ trực tuyến Người nhặt token U2F khơng thể biết liên kết với tài khoản chí dùng token để bảo vệ tài khoản Hơn thế, U2F chuẩn mở nên công ty s ản xuất token U2F ngày nhiều thêm giá giảm thêm Ngay Việt Nam, có đơn vị sản xuất token U2F Tháng 8/2018, Liên minh Xác th ực FIDO (FIDO Alliance) có tr ụ sở bang California, Hoa K ỳ, cấp chứng nhận cho sản phẩm KeyPass U2F Token c Công ty Cổ phần Tập đoàn MK (MK Group) đạt tiêu chuẩn U2F WebAuthn xác thực không dùng mật Ngày 20/11/2018, Microsoft thông báo r ằng 800 triệu chủ tài khoản Microsoft đăng nhập vào dịch vụ Outlook, Office, Skype Xbox Live mà không c ần mật Thơng báo phần q trình tăng tốc để tiến tới giới mạng không dùng mật khẩu, năm mà Mozilla Firefox, Google Chrome Microsoft Edge đ ều triển khai hỗ trợ công nghệ xác thực chủ chốt WebAuthn Một lý khiến mật tồn thời gian dài dễ hiểu Trong đó, xác thực khơng mật hoạt động theo cách khác, khơng dễ để hình dung kèm v ới loạt thuật ngữ tiêu chuẩn FIDO2, WebAuthn CTAP Hơn th ế, dễ bị hiểu nhầm, với người quen với việc sử dụng mật Họ nghĩ sử dụng vân tay để đăng nhập vào trang web nghĩa chia sẻ liệu vân tay với trang web (trong ều hồn tồn khơng xảy ra) Vì thế, họ nghĩ rằng, mật dễ bị lộ, thay đổi (trong khơng thể thay đổi vân tay) Để giải mã câu chuyện hoang đường này, xem xét v ấn đề cách cụ thể Khi bạn đăng ký với website, bạn phải báo cho biết bạn dùng tên đăng nhập chọn mật Và bạn chia sẻ mật với website, bạn buộc phải tin lưu trữ mật theo cách an tồn Ngư ời dùng khơng có cách ki ểm sốt cách quản lý mật nhà cung cấp dịch vụ Và thực tế họ thực điều chịu khó theo dõi tin tức biết rằng, vụ để lộ mật người dùng liên tiếp xảy ra, kể với công ty lớn có danh tiếng Trong đó, v ới xác thực không dùng mật khẩu, người dùng chia sẻ mật hay thơng tin bí m ật với website Vì kỹ thuật sử dụng mã hóa khóa cơng khai v ới cặp khóa khóa bí m ật người dùng giữ website cung cấp dịch vụ nhận khóa cơng khai Vì khóa cơng khai khơng c ần giữ bí mật nên người dùng khơng phải lo ngại việc website có giữ an tồn khơng, không lo b ị lộ cố an tồn thơng tin th ậm chí thoải mái mang theo b ất đâu Người dùng xác thực thân cách dùng khóa bí mật để mã hóa số ngẫu nhiên có giá trị lớn website gửi tới Website giải mã kết nhận khóa cơng khai kết trình giải mã trùng với giá trị gửi tới người dùng nhà cung cấp dịch vụ tin người dùng đăng nhập chủ sở hữu khóa bí mật Tất nhiên, lý thuyết Cịn thực tế, cần tới Authenticator để tạo lưu trữ khóa, với tập quy tắc cho phép máy tính, trình ệt website trao đổi thơng tin thực q trình xác thực WebAuthn tập quy tắc đó, giao diện lập trình ứng dụng mà website trình ệt sử dụng để xác thực với mã hóa khóa cơng khai thay cho m ật Tất trình duyệt thị trường biết cách làm việc với WebAuthn, việc lại người chủ website thay đổi mã lệnh họ Thay đưa bi ểu mẫu đăng nhập với tên người dùng mật khẩu, website có th ể xác thực người dùng mã lệnh JavaScript nhúng trang web Đo ạn mã dùng WebAuthn API đ ể yêu cầu trình duyệt tạo thông tin đăng nh ập người dùng muốn đăng ký dịch vụ hay nhận thông tin đăng nh ập người dùng cần truy cập dịch vụ Tuy mã lệnh JavaScript tải xuống với trang web chạy trình duyệt người dùng coi phần website nên khơng đư ợc tin cậy (cho phép truy xuất khóa bí mật hay thơng tin bí mật khác người dùng) Thay vào đó, mã lệnh JavaScript đóng vai trị đứng giữa, u cầu trình duyệt thực thao tác bí m ật sau đó, chuyển thơng tin qua l ại trình duyệt máy chủ web Bản thân trình duyệt nhận yêu cầu không thực xử lý thao tác Authenticator m ới nơi thực thao tác bí mật Theo thiết kế, website mà bạn đăng nhập/đăng ký sử dụng dịch vụ không cần biết không quan tâm việc người dùng lưu giữ khóa bí mật họ Người dùng sử dụng thứ phù hợp với mình, cơng cụ dựng sẵn hệ điều hành, chẳng hạn tính nhận diện khuôn mặt Microsoft Windows Hello, hay m ột authenticator từ xa điện thoại di động hay thiết bị bảo mật Để hỗ trợ nhiều loại hình authenticator từ xa khác nhau, nhà cung cấp cần thống tập luật cách trình duyệt authenticator nói chuyện với Tập luật giúp trình duyệt khơng phải biết hay quan tâm đ ến kiểu authenticator khác nhau, nhà sản xuất hay phiên b ản khác nhau, đó, cho phép cơng ty cung cấp giải pháp xác thực tham gia vào thị trường Tập luật có tên CTAP (Client to Aut henticator Protocol), định nghĩa cách clien trình ệt nói chuyện với authenticator từ xa qua cổng USB, Bluetooth hay NFC (Near -field Communication) Authenticator cung cấp dịch vụ mật mã học cho toàn giao dịch, sinh lưu trữ khóa người sử dụng, mã hóa liệu kiểm tra mà website gửi tới cho trình duyệt Và điều tối quan trọng authenticator ph ải xin phép người dùng trước thực thao tác Chẳng hạn người dùng đăng nhập vào website dấu vân tay Khi bạn truy cập website, trình ệt yêu cầu trang đăng nhập Mã lệnh trang đăng nhập sử dụng API WebAuthn API để yêu cầu trình duyệt ký thơng tin kiểm tra khóa bí mật người dùng Trình duyệt chuyển thơng tin tới authenticator s ẽ đề nghị người dùng cấp quyền ký, người dùng chấp thuận việc đặt ngón tay vào thi ết bị đọc vân tay Authenticator kiểm tra thấy vân tay c bạn ký thông tin kiểm tra gửi lại liệu mã hóa cho trình duyệt để chuyển tiếp cho mã lệnh JavaScript, từ đó, liệu mã hóa lại gửi đến máy chủ website Máy chủ giải mã khóa cơng khai mà ngư ời dùng cung c ấp đăng ký dịch vụ xác nhận người dùng hợp lệ Tuy công việc hậu trường trình phức tạp nhiều so với việc gửi mật tới cho website ngư ời dùng khơng c ần làm Họ khơng phải gõ hay nhớ thứ Họ chứng minh tư cách sử dụng dịch vụ mà khơng phải lộ thơng tin bí mật thoải mái chuyển sang sử dụng loại authenticator m ới, an tồn chí khơng dùng đến vân tay Xác thực người dùng dịch vụ ngân hàng điện tử Việt Nam Ngay từ ngày 31/3/2017, Ngân hàng Nhà nước ban hành quy ết định số 630/QĐ-NHNN kế hoạch áp dụng giải pháp an tồn bảo mật tốn trực tuyến tốn th ẻ ngân hàng Theo đó, giao d ịch phân loại phải áp dụng giải pháp xác thực tối thiểu theo phân loại; OTP gửi qua SMS dùng cho giao dịch loại B giao dịch cao cấp (loại C loại D) phải xác thực Soft OTP/Token OTP ho ặc thiết bị U2F/UAF, Để tuân thủ quy định Ngân hàng Nhà nư ớc, ngày 01/7 vừa qua, nhiều ngân hàng BIDV, Vietcombank, VPBank chuy ển đổi bắt buộc phương thức xác thực chuyển khoản trực tuyến khách hàng cá nhân có hạn mức lớn với khách hàng doanh nghi ệp Soft OTP (hay Smart OTP - theo cách đặt tên số ngân hàng) giúp ngân hàng đảm bảo an toàn giao dịch mà khơng phải phụ thuộc vào khả kiểm sốt SIM nhà mạng mức độ an toàn có lẽ cịn dấu hỏi Thuật tốn sinh số ngẫu nhiên họ có tốt không, ứng dụng di động họ chống dịch ngược chưa, kiểm tra tính tồn v ẹn hệ điều hành di động chưa (chống root/jail break), h ọ lưu thông tin quan tr ọng phục vụ việc sinh OTP đâu, Nếu không làm tốt khâu để mã xác thực bị tin tặc đọc cách tự động/tìm cách sinh OTP, So ft OTP hồn tồn bị biến thành “No OTP” ến cho độ an toàn giao dịch ngân hàng trực tuyến giảm Để tránh việc phải tự đảm bảo/kiểm tra mức độ an tồn Soft OTP, ngân hàng tìm hiểu áp dụng kỹ thuật xác thực U2F hay WebAuthn từ nhà cung cấp tin cậy Trước đây, chủ website phải đắn đo chi phí mua token U2F cho khách hàng lo ng ại việc nhà cung ứng dịch vụ khác sử dụng token miễn phí Nhưng đ ến nay, với việc điện thoại Android chạy phiên 7.0 trở lên dùng token U2F độc lập khả ứng dụng U2F tăng lên nhiều, với chi phí gần khơng (vì hầu hết khách hàng sử dụng dịch vụ internet banking sử dụng điện thoại thông minh đời mới) Khách hàng s dụng Windows 10 dùng Windows Hello để xác thực tính nh ận diện khn mặt, mống mắt vân tay cách an toàn, tiện lợi việc cung cấp tính xác thực cao cấp cho khách hàng VIP giúp họ giao dịch cách tự tin đồng thời nâng cao hình ảnh ngân hàng m khách hàng “giá tr ị cao” Tài liệu tham khảo: - https://www.yubico.com - https://krebsonsecurity.com - https://fidoalliance.org - https://vnhacker.blogspot.com - https://vnexpress.net - https://medium.com  ... th ẻ ngân hàng Theo đó, giao d ịch phân loại phải áp dụng giải pháp xác thực tối thiểu theo phân loại; OTP gửi qua SMS dùng cho giao dịch loại B giao dịch cao cấp (loại C loại D) phải xác thực. .. OTP đâu, Nếu không làm tốt khâu để mã xác thực bị tin tặc đọc cách tự động/tìm cách sinh OTP, So ft OTP hồn tồn bị biến thành “No OTP” ến cho độ an toàn giao dịch ngân hàng trực tuyến giảm Để... cách an toàn, tiện lợi việc cung cấp tính xác thực cao cấp cho khách hàng VIP giúp họ giao dịch cách tự tin đồng thời nâng cao hình ảnh ngân hàng m khách hàng “giá tr ị cao” Tài liệu tham khảo: