Trong nhiều năm, OTP gửi qua SMS được xem là lớp bảo mật bổ sung cho tài khoản ngân hàng, mạng xã hội hay dịch vụ trực tuyến. Nhưng thực tế, các chuyên gia an ninh mạng trên thế giới, từ Google đến NIST (Viện Tiêu chuẩn và Công nghệ Hoa Kỳ), đều khuyến nghị chuyển sang những phương thức mạnh hơn như ứng dụng tạo mã, khóa bảo mật FIDO2 hay xác thực bằng push notification.
Người dùng cần hiểu rõ rằng OTP không phải chỉ có một loại, và mức độ an toàn của mỗi phương thức có sự khác biệt lớn. Ant Allan, Phó Chủ tịch phân tích tại Gartner Research, nhấn mạnh: “Kinh nghiệm cho thấy luôn có cách để vượt qua các biện pháp xác thực, nhưng một số phương thức vẫn an toàn hơn. Không có phương pháp nào tuyệt đối an toàn”. Trong số đó, OTP qua SMS được đánh giá là dễ bị khai thác nhất bởi những lý do sau:
1. Mã OTP bị hack khi SIM bị chiếm đoạt
Tấn công chiếm đoạt SIM hiện là một trong những hình thức lừa đảo xảy ra tại nhiều nước. Chỉ cần kẻ gian thuyết phục được nhà mạng cấp lại SIM bằng thông tin giả, toàn bộ tin nhắn bao gồm OTP sẽ chảy vào thiết bị của chúng.
Theo FBI (Báo cáo Internet Crime 2023), thiệt hại từ chiếm đoạt SIM ở Mỹ đã lên tới gần 100 triệu USD chỉ trong một năm. Các ngân hàng châu Âu cũng ghi nhận hàng nghìn trường hợp khách hàng bị rút sạch tiền sau vài giờ vì OTP bị chuyển hướng khi SIM bị chiếm đoạt.
Đáng chú ý, người dùng không hề biết mình đã mất quyền kiểm soát SIM. Điện thoại mất sóng, tưởng lỗi mạng, nhưng thực tế OTP đang được chuyển sang tay kẻ gian.
2. Tin nhắn SMS không được mã hóa
Tin tặc có thể dùng thiết bị giả trạm BTS để thu tín hiệu và đọc SMS. Một số phần mềm gián điệp có thể chặn tin nhắn ngay trên thiết bị mà người dùng không biết. Báo cáo của Positive Technologies (2017) từng cảnh báo rằng “mọi mạng di động lớn trên thế giới đều tồn tại lỗ hổng cho phép chặn SMS”.
3. Mã OTP bị chiếm đoạt vì thủ đoạn lừa đảo Phishing
OTP qua SMS là “một dãy số trơn”, không gắn với thiết bị, phần cứng hay hành vi người dùng. Do đó, khi kẻ lừa đảo gửi đường link giả mạo (ngân hàng, mạng xã hội…), chỉ cần người dùng nhập mã SMS vừa nhận được, chúng sẽ có toàn quyền truy cập.
Đây là dạng lừa đảo phổ biến nhất, các vụ phishing ngân hàng thường dựa vào việc nạn nhân tự gửi OTP cho kẻ gian mà không hề hay biết.
4. Ứng dụng độc hại có thể đọc trộm SMS
Đặc biệt với người dùng Android, rất nhiều ứng dụng có quyền đọc SMS (ví dụ ứng dụng giả mạo tiện ích, trò chơi, app chỉnh sửa ảnh lạ…). Khi thiết bị nhiễm mã độc, mọi OTP gửi về đều nằm trong tay kẻ tấn công.
Nhiều chiến dịch tấn công tại Đông Nam Á – như malware FluBot, Anatsa, Xenomorph – đều nhắm vào tính năng đọc SMS để chiếm tài khoản ngân hàng và ví điện tử.
5. SMS có thể đến chậm, thất lạc hoặc bị chặn
Bên cạnh vấn đề an ninh, SMS còn thiếu ổn định: Chậm khi nghẽn mạng; không đến được khi ở nước ngoài hoặc chuyển vùng.
6. SMS không chống được tấn công trung gian
Ngay cả khi bạn truy cập trang web chính thống, nếu thiết bị đã bị xâm nhập, hacker có thể chặn quy trình đăng nhập và lấy OTP từ SMS. Vì nhận OTP thông qua SMS không ràng buộc với thiết bị hay giao dịch, kẻ gian có thể dùng mã đó cho một giao dịch khác mà bạn không hề hay biết.
Vậy đâu là lựa chọn an toàn hơn?
1. Ứng dụng tạo mã OTP – Google Authenticator, Microsoft Authenticator…
Mã tạo trực tiếp trên thiết bị, không truyền qua nhà mạng. Kẻ gian không thể chặn giữa đường. Đây là giải pháp phổ biến nhất hiện nay.
2. Xác thực bằng ứng dụng ngân hàng (soft-token/push notification)
Nhiều ngân hàng đã chuyển sang “xác thực giao dịch trên app”: mã được sinh nội bộ hoặc yêu cầu người dùng bấm xác nhận bằng vân tay/FaceID.
3. Passkey / FIDO2 – tiêu chuẩn bảo mật mạnh nhất
Google, Apple, Microsoft đang thúc đẩy xác thực không mật khẩu. Passkey gắn chặt với thiết bị, chống phishing tuyệt đối.
Tóm lại, nhận mã OTP qua SMS không còn phù hợp trong bối cảnh tội phạm mạng ngày càng tinh vi. Nó có thể bị chặn, bị đọc, bị chuyển hướng hoặc bị đánh cắp qua lừa đảo. Các tổ chức bảo mật hàng đầu thế giới đều thống nhất quan điểm: nhận mã OTP qua SMS chỉ nên là phương án dự phòng, không phải lớp bảo vệ chính.
