Kịch bản kẻ gian làm nửa tỷ trong tài khoản biến mất

Theo kịch bản gọi là Man In the Midle (MItM), kẻ gian sẽ thu thập thông tin cá nhân khi người dùng kết nối vào mạng Wi-Fi công cộng không mã hoá, từ đó đánh cắp tiền.

Trong hai ngày 4-5/8, một khách hàng bị mất 500 triệu đồng trong tài khoản Vietcombank mà không hề nhận được mã số OTP qua tin nhắn điện thoại. Đến sáng 8/8, sau khi yêu cầu làm đơn tra soát, phòng giao dịch của Vietcombank ở Ngọc Khánh (Ba Đình, Hà Nội) đã chuyển lại số tiền 300 triệu đồng cho chị Hương. Số tiền còn lại bị chuyển về các tài khoản ở Malaysia và kẻ gian đã rút sạch từ máy ATM.

Trao đổi với Zing.vn, ông Đặng Nguyên Khôi, chuyên gia bảo mật ở Hà Nội cho rằng khả năng lỗi từ ngân hàng là rất thấp nhưng không loại trừ. Chuyên gia này phỏng đoán nạn nhân có thể bị mất thông tin khi truy cập vào một website giả mạo, hoặc đăng nhập vào mạng Wi-Fi công cộng dẫn đến việc kẻ gian thu thập được những thông tin quan trọng.

Kịch bản kẻ gian làm nửa tỷ trong tài khoản biến mất - hình ảnh 1
OTP là "chốt chặn" cuối cùng trước khi phát sinh giao dịch trực tuyến. Ảnh: Duy Tín.

Kịch bản trên gọi là "Man In the Midle" (MItM), trong đó kẻ gian sẽ thu thập thông tin cá nhân khi người dùng kết nối vào mạng Wi-Fi công cộng không mã hoá (thường do hacker tạo ra để bẫy nạn nhân), từ đó kết hợp với nhiều thủ thuật nâng cao để đánh cắp tiền.

Theo ông Khôi, hiện không có giải pháp bảo mật nào an toàn tuyệt đối. Khi giao dịch trực tuyến, người dùng cần cẩn trọng và tự trang bị kiến thức cơ bản về bảo mật, tránh nhấp vào những đường link lạ dẫn đến các website giả mạo.

Bên cạnh đó, khi nhận OTP qua số điện thoại, người dùng cá nhân (và cả tổ chức) nên có hai số điện thoại cho mục đích riêng. Một SIM chỉ nhận OTP và không dùng để liên lạc hay đăng ký bất kỳ dịch vụ nào khác. SIM còn lại là số cá nhân, không đăng ký nhận OTP từ ngân hàng.

"Tới thời điểm hiện tại, đó chính là phương pháp tốt nhất để bảo mật số OTP", ông Khôi chia sẻ.

Ngoài ra, ông Khôi cho biết hiện trên thế giới tồn tại một lỗi giao thức mang tên "SS7". Lỗi này nằm ở nhà mạng, không phải của ngân hàng, và cho phép kẻ gian nhận được OTP của bất kỳ giao dịch nào và của bất kỳ ai thông qua tin nhắn SMS.

Nói với Zing.vn, chuyên gia này cũng cho rằng lỗ hổng "SS7" đã được cộng đồng bảo mật quốc tế cảnh báo từ nửa năm trước nhưng các tổ chức trên thế giới vẫn chưa có phương án khắc phục. Số lượng người nắm được "yếu huyệt" này chỉ là nhóm nhỏ.

Trong một hội nghị bảo mật diễn ra cuối năm 2015, các chuyên gia bảo mật của Research Labs (Đức) đã trình diễn kỹ thuật khai thác lỗ hổng SS7 để chuyển hướng tin nhắn của một nghị sỹ Mỹ đến chiếc điện thoại bất kỳ. Đây cũng chính là phương pháp có thể khiến các tin nhắn gửi mã OTP từ ngân hàng bị chuyển hướng và lợi dụng vào mục đích xấu.

Phân tích về các khả năng có thể xảy ra trong vụ mất 500 triệu từ Vietcombank, chuyên gia bảo mật Nguyễn Hồng Phúc cho rằng có thể có đến 5 kịch bản tấn công. Ngoài "Man In the Midle", kẻ gian cũng có thể chuyển tiền trong chính hệ thống của Vietcombank (khả năng này thấp và cần điều tra kỹ để kết luận), hoặc bằng cách nào đó có được tin nhắn từ VCB gửi đến nạn nhân để kích hoạt ứng dụng Smart OTP trên một thiết bị khác và tiến hành giao dịch.

Theo chuyên gia này, cũng không loại trừ các phương thức tấn công khác như nhái SIM của nạn nhân, tấn công thẳng vào giao thức GSM để bóc tách thông tin từ SMS, hoặc "cướp SIM" trong thời gian ngắn thông qua kỹ thuật xã hội (Social Engineering): dùng chứng minh thư giả mạo và chủ động tạo 5 cuộc gọi, tin nhắn đến SIM nạn nhân. Từ đó có được SIM của nạn nhân để nhận được tin nhắn OTP, sau đó tiến hành các giao dịch bất chính.

Hiện tại, theo phản ánh của một số người dùng, ứng dụng Smart OTP của Vietcombank đã tạm ngưng phục vụ. Ngân hàng này khẳng định hệ thống vẫn an toàn và bảo mật. Đại diện của VCB cho rằng việc mất tiền trong tài khoản xảy ra bởi khách hàng bị đánh cắp thông tin tài khoản trước đó.

Video đang hot
Vân Khánh, Ngọc Liên kể lại kỷ niệm tình yêu lãng mạn của chính mình

Nathan Lee ăn khoai dưới sân khấu, đầu xúc động khi hát “Mùa thu cho em”, Vân Khánh, Ngọc Liên kể lại kỷ...

Tình yêu có thực sự phát sinh giữa hai cô gái? Xem ngay bộ phim học đường này để tìm câu trả lời

Trên đời này ai cũng tin rằng chỉ có tình yêu nam - nữ, nhưng rồi ngày càng nhiều những cặp nam - nam chứng...

Chỉ cần người yêu tôi Gin Nguyễn

Seungyeon (CLC) chính thức lên tiếng về nghi vấn bị bạo hành sau hậu trường lễ trao giải

Sau khi nhận được đông đảo sự quan tâm của dư luận, Seungyeon đã chính thức lên tiếng về nghi vấn bị bạo...

BLACKPINK trở thành nhóm nhạc nữ KPOP đầu tiên đạt được chứng nhận chỉ từng trao cho PSY và BTS

BLACKPINK vừa chứng minh danh xưng nhóm nhạc nữ hàng đầu với giải thưởng danh giá này.

Giàu như Singapore, tặng mỗi người dân một chiếc fibit để chăm sóc sức khỏe

Việc tăng phí thuê bao hàng tháng, thậm chí còn cao hơn cả giá của một chiếc vòng tay thông minh cho thấy,...

“Anh Thầy Ngôi Sao” và những thông điệp đắt giá đến từ điều không ngờ nhất

“Anh Thầy Ngôi Sao” đã định nghĩa rất khác về hai chữ “ước mơ” và “tỏa sáng”, ẩn sau câu chuyện, số phận...

Nghi vấn: "Main dancer" của CLC bị bạo hành ngay sau hậu trường lễ trao giải

Fan Kpop đang xôn xao về đoạn video ghi lại cảnh nhân viên có hành động như đánh đập nữ thần tượng nhóm...

Seungyeon CLC

Bị CĐM ném đá vì đòi bạn trai dẫn đi du lịch Châu Âu, cô gái hiện đang stress, không nói chuyện với ai

Trong những ngày qua, vụ việc cô nàng T.D “đòi” bạn trai tài trợ cho chuyến đi du lịch châu Âu trong gameshow...