13/08/2016

Thấy gì qua vụ tài khoản bốc hơi 500 triệu trong đêm

Đọc bài việt trên báo Tuổi Trẻ tại đây:"Tài khoản bốc hơi 500 triệu đồng do vào đường link lạ?". Tôi không biết là nhà báo "ÁNH HỒNG-L.THANH" đã ghi lại đầy đủ chính xác những gì mà bên nhà băng giải thích chưa. Nếu như đã đầy đủ và chính xác thì lời giải thích này chưa đúng. Khi đăng ký sử dụng SmartOTP trên iBanking thì chỉ mới cho phép sử dụng SmartOTP thay cho SMS OTP thôi.
Để sử dụng SmartOTP người dùng còn cần cài một phần mềm VCB OTP nữa. Khi cài phần mềm này thì VCB OTP sẽ sử dụng số điện thoại đã đăng ký trên iBanking để xác thực. Sau khi xác thực xong thì mới được sử dụng. Đọc đến đây các bạn chắc cũng nảy sinh ra giả thiết là số điện thoại này cũng được thay đổi vì hacker đã có tài khoản iBanking của nạn nhân (Vì theo trả lời ở đây thì số điện thoại có thể thay đổi được). Giả thiết này không khả thi vì đổi số điện thoại iBanking thì còn khó hơn nữa do luôn luôn phải xác thực thông qua SMS.
Như vậy thì làm sao hacker có thể có mã OTP nhập vào để giao dịch?
Giả thuyết duy nhất là giải thuật sinh mã OTP của nhà băng đã bị lộ và hacker không cần cài đặt phần mềm VCB OTP nữa mà tự viết phần mềm sinh mã OTP cho riêng mình.
Không biết trong bài viết này có chỗ nào chưa hợp lý không? Xin mớ gạch đá xây nhà.