Mất 400 triệu đồng trong tài khoản VCB, chuyên gia bảo mật nói gì?

NGUYỄN LONG 06/10/2020 10:23

Vừa qua một khách hàng của Vietcombank bị mất 400 triệu đồng trong tài khoản. Vậy đâu có thể là nguyên nhân dẫn đến sự việc hy hữu này?

Đâu là nguyên nhân khiến hơn 400 triệu đồng trong tài khoản khách hàng bốc hơi?

Đâu là nguyên nhân khiến hơn 400 triệu đồng trong tài khoản khách hàng bốc hơi?

Vào ngày 4/10 vừa qua, một số báo chí đã đưa tin về trường hợp một khách hàng tại Ngân hàng TMCP Ngoại thương Việt Nam (Vietcombank) bị rút hơn 400 triệu đồng trong tài khoản. Đáng chú ý, chỉ trong 7 phút với 4 giao dịch được thực hiện, toàn bộ số tiền hơn 400 triệu đồng đã “bốc hơi” mà bản thân vị khách hàng khẳng định là mình không thực hiện các giao dịch trên và cũng không biết người thụ hưởng là ai. Không chỉ vậy, khách hàng này cũng không nhận được thông báo qua tin nhắn về mã xác thực OTP, biến động số dư qua SMS như thông lệ.

Phía ngân hàng cho biết đã ghi nhận 4 giao dịch chuyển khoản nói trên đều hợp lệ và đã có 8 tin nhắn được gửi đến số điện thoại của chủ tài khoản.

Một điểm đáng lưu ý khác, theo Vietcombank, tài khoản trên ứng dụng VCB Digibank của nạn nhân đã được kích hoạt trên một thiết bị khác và thực hiện lệnh chuyển tiền trong khi chủ tài khoản khẳng định không cung cấp, chia sẻ tên truy cập dịch vụ hay mật khẩu VCB Digibank cho bất cứ ai.

Ông Nguyễn Quang Trung, chuyên gia chuyển đổi số.

Ông Nguyễn Quang Trung, chuyên gia chuyển đổi số.

Trao đổi với phóng viên Tạp chí Diễn đàn Doanh nghiệp về nguyên nhân có thể dẫn đến việc “bốc hơi” 400 triệu đồng tài khoản của khách hàng, ông Nguyễn Quang Trung, Chuyên gia chuyển đổi số nhìn nhận: “Nguyên nhân lớn nhất có thể dự đoán được đó là khách hàng có nguy cơ bị cài mã độc trực tiếp trên điện thoại”.

Toàn bộ thông tin của SMS OTP cũng như thông tin tài khoản của khách hàng bị khai thác trực tiếp, kẻ tấn công dường như đã lên kịch bản rất tốt và rất nhanh chóng chuyển khoản 1 số tiền khá lớn ra khỏi tài khoản mà khách hàng dường như không hề biết gì.....

"Có thể nói cách thức tấn công ngày càng nguy hiểm và dường như việc khai thác điểm yếu của việc sử dụng thiết bị đầu cuối của khách hàng lỏng lẻo vẫn là những mục tiêu hấp dẫn của kẻ tấn công hướng đến và nguy cơ rủi ro khi dùng SMS OTP đã được khai thác tối đa” – ông Nguyễn Quang Trung cho biết.

Còn theo bên BKAV, có hai kịch bản có thể xảy ra, trong đó cài mã độc lên thiết bị người dùng cũng là một trong những kịch bản. Theo đó, kịch bản đầu tiên, kẻ xấu sẽ lừa nạn nhân nhập mã OTP vào một website giả mạo (ngân hàng, dịch vụ chuyển tiền…) để chiếm mã OTP, từ đó tạo ra giao dịch chuyển tiền giả mạo.

Kịch bản thứ hai,  kẻ xấu sẽ lừa nạn nhân cài đặt một phần mềm gián điệp trên điện thoại. Phần mềm này sẽ theo dõi tất cả thông tin, trong đó có tin nhắn SMS chứa mã OTP và các thông tin đăng nhập vào ứng dụng Mobile Banking. Một khi lấy được các thông tin này, hacker sẽ có thể tạo ra các giao dịch chuyển tiền giả mạo.

Ông Ngô Tuấn Anh, Phó chủ tịch phụ trách an ninh mạng của Bkav, ông Tuấn Anh chia sẻ: “Việc quy trách nhiệm ngân hàng đúng hay khách hàng đúng, sẽ không thể xử lý được triệt để bởi OTP là công nghệ không có tính ‘chống chối bỏ’, nghĩa là không có khả năng xác định chính xác và quy trách nhiệm ai thực hiện giao dịch. Giải pháp duy nhất hiện nay đáp ứng về mặt công nghệ và pháp lý của chống chối bỏ là chữ ký số”.

Liên quan đến điểm yếu bảo mật của phương thức xác thực OTP, mới đây vào tháng 6/2020, Bkav đã đưa ra cảnh báo về một phần mềm gián điệp có tên VN84App. Phần mềm này đánh cắp dữ liệu người dùng Việt Nam, đặc biệt tập trung đánh cắp các mã SMS OTP.

Sơ đồ mô phỏng cách thức VN84App đánh cắp dữ liệu người dùng

Sơ đồ mô phỏng cách thức VN84App đánh cắp dữ liệu người dùng

Tuy nhiên, theo quy định hiện hành của Ngân hàng nhà nước Việt Nam, hạn mức giao dịch trực tuyến ở mức rất cao mới yêu cầu sử dụng chữ ký số, do đó không khuyến khích được các ngân hàng hay khách hàng sử dụng giải pháp đảm bảo này. “Chúng tôi cho rằng Ngân hàng nhà nước nên điều chỉnh hạn mức này thấp hơn để chữ ký số được sử dụng nhiều hơn, các giao dịch được đảm bảo an toàn”, ông Tuấn Anh cho biết thêm.

Còn theo ông Nguyễn Quang Trung, hiện nay trên thế giới đã có các công nghệ xác thực mới, ứng dụng Public Key đã được xây dựng với nhiều kịch bản, nhiều layer, nhắm gây khó khăn hơn cho việc tấn công khai thác sự chủ quan của người dùng, một trong những công nghệ đó là xác thực FIDO, FIDO sử dụng Public Key để cung cấp việc xác thực tập trung trên một nền tảng.

Sơ đồ hoạt động của FIDO

Sơ đồ hoạt động của mã Public Key.

Theo đó, Public Key được gửi đến dịch vụ trực tuyến và được liên kết với tài khoản của người dùng. Private Key và bất kỳ thông tin nào về phương pháp xác thực cục bộ (chẳng hạn như mẫu sinh trắc học) không bao giờ rời khỏi thiết bị cục bộ(mobile), và đều được mã hóa và xử lý offline.

Và thiết bị sử dụng mã định danh tài khoản của người dùng do dịch vụ cung cấp để chọn Key chính xác và ký xác nhận dịch vụ.

“Nói nôm na là việc xác thực Pair Key là hoàn toàn trên thiết bị di động cá nhân do đó nguy cơ rủi ro sẽ giảm xuống, trừ khi mất thiết bị di động, thiết bị di động lại không đặt mật khẩu, và ứng dụng FIDO cũng không có Authentication thì coi như nghỉ chơi...” – ông Nguyễn Quang Trung cho hay.

Như vậy, theo các chuyên gia, để tránh các trường hợp tương tự như trên, bản thân khách hàng phải là người “tỉnh táo” nhất. Cần cảnh giác với các chiêu thức lừa đảo mới ngày càng tinh vi, bên cạnh đó nên cài các phần mềm phòng chống mã độc, các ứng dụng xác thực điện tử mới trên thiết bị di động nhằm tránh việc “mất bò mới lo làm chuồng”.

Có thể bạn quan tâm

  • Hacker tung dữ liệu hai triệu người dùng ngân hàng lên mạng

    Hacker tung dữ liệu hai triệu người dùng ngân hàng lên mạng

    13:01, 22/11/2019

  • Mã nguồn mã độc Dharma được rao bán trên các diễn đàn hacker

    Mã nguồn mã độc Dharma được rao bán trên các diễn đàn hacker

    07:20, 30/03/2020

  • Việt Nam đang trở thành bàn đạp cho hacker

    Việt Nam đang trở thành bàn đạp cho hacker

    13:36, 29/05/2019

NGUYỄN LONG