VTC News đã nhận được phản ánh của chị Hoàng Thị Na Hương (trú tại phường Trung Hoà, quận Cầu Giấy, TP Hà Nội) về sự cố thể Vietcombank. Chị cho biết chị bị ai đó rút mất 500 triệu đồng trong thẻ ATM Ngân hàng Vietcombank trong khi chị không hề giao dịch và thẻ vẫn còn nguyên trong túi xách.

Thông tin này khiến nhiều người lo lắng vì Vietcombank có sử dụng OTP (mật khẩu dùng 1 lần) cho các giao dịch qua Internet Banking. Vì vậy, nhiều người lo lắng và không phải tại sao ngay cả khi có OTP, tài khoản của họ vẫn có thể bị hack.

9_qpye.png
 

Vietcombank đã khẳng định nguyên nhân sự cố không phải lỗi bảo mật của ngân hàng. Đó là do chủ thẻ truy cập vào một trang web giả mạo (có địa chỉ http://creatingacreator.com/kob/1/index.htm) và đăng nhập, từ đó mất mật khẩu.

Phóng viên báo điện tử VTC News đã phỏng vấn ông Ngô Tuấn Anh, Phó chủ tịch An ninh mạng BKAV về vấn đề này.

Chủ thẻ Vietcombank mất 500 triệu dù không thực hiện bất cứ giao dịch nào. Hacker đã tấn công tài khoản chủ thẻ như thế nào, thưa ông?

Chúng tôi cũng đang tìm hiểu vụ việc. Phía Vietcombank cũng đang điều tra vì vậy bây giờ thông tin khá chung chung, chưa có gì mới. Nhưng trước mắt có thể thấy, đây là hình thức tấn công fishing. Không khó để tìm ra nguyên nhân vì hệ thống đã ghi lại hết các giao dịch.

Về nguyên tắc, tôi chỉ nói đến nguyên tắc tấn công fishing, chứ không nói trường hợp cụ thể nào, hacker sẽ gửi email có chứa đường link giả mạo. Nội dung email sẽ có nội dung kiểu như bắt khách hàng phải cập nhật thông tin, nếu không cập nhật, tài khoản sẽ bị khóa.

Đường link mà hacker gửi giống hệt một trang bị giả mạo nhưng địa chỉ đường link thì không giống. Mà khách hàng có thể không để ý chi tiết này. Khi khách hàng nhập thông tin, mã pin, thông tin cá nhân sẽ được chuyển cho hacker. Từ đó hacker tạo lệnh chuyển tiền. Vì mã pin đúng nên giao dịch được thực hiện thành công.

Về phía ngân hàng, người thực hiện giao dịch là kẻ gian nhưng lại cung cấp đúng thông tin xác thực nên họ vẫn cho phép giao dịch diễn ra bình thường.

Ngoài ra còn một cách tấn công khác. Hacker sử dụng các thiết bị để ghi lại thông tin thẻ ATM, các thiết bị này có tên gọi là skimmer. Thiết bị này được tội phạm gắn vào khe đọc thẻ của máy ATM, khi người sử dụng đưa thẻ vào để giao dịch thì thông tin thẻ sẽ được “ghi lại” trên thiết bị này.

Tội phạm sẽ dùng thông tin ghi lại này để tạo thành 1 thẻ ATM có thông số giống hệt người sử dụng thông qua các máy in thẻ. Sau đó, kết hợp với camera được đặt trong buồng ATM ghi lại mã PIN khi người sử dụng thực hiện giao dịch, tội phạm có thể rút tiền từ tài khoản của nạn nhân.

- Thiệt hại mà tấn công fishing gây ra thế nào thưa ông?

Cách thức tấn công này đã có lâu. Trước đây, thỉnh thoảng đã có một vài sự vụ như vậy. Sau vụ Vietnam Airlines và nhiều sân bay bị hacker tấn công, những thông tin liên quan an ninh mạng được chú ý hơn. Với trường hợp cụ thể này, chi tiết cần phải hỏi thêm bên Vietcombank. Tôi thấy thông tin về mặt kỹ thuật đang mâu thuẫn một chút.

Việt Nam chưa ghi nhận nhiều vụ tấn công fishing và số liệu chính xác chưa bao giờ được công bố. Còn trên thế giới, tôi cần kiểm tra lại thông tin mức độ thiệt hại.

Cách thức tấn công này có giống cách thức hacker lấy thông tin hơn 400.000 thông tin khách hàng trong vụ Vietnam Airlines không?

Về vụ việc này, Vietnam Airlines đã công bố chính thức Vietnam Airlines không lưu thông tin thẻ tín dụng của khách hàng trên website.

Theo tôi được biết hệ thống đặt mua vé máy bay được đặt trên trang của một đối tác Mỹ. Về mặt kỹ thuật, hệ thống thanh toán mua vé máy bay không nằm trong phạm vi bị tấn công.

Vậy làm cách nào để khách hàng tránh được những đợt tấn công fishing như vậy?

Điều này chủ yếu do khách hàng thực hiện chứ không phải ngân hàng. Khi nhận email báo về từ ngân hàng, khách nên kiểm tra lại xem đó có đúng là địa chỉ của ngân hàng mà mình sử dụng dịch vụ không. Hacker chỉ có thể giả mạo được giao diện, chứ không giả mạo được địa chỉ.

Bên cạnh đó, khi nhận được email, khách hàng nên gõ lại địa chỉ đường link thay vì bấm thẳng vào link. Nếu bấm vào, chủ thẻ có thể bấm vào link có mã độc do hacker dựng nên.

Và khi thấy thông tin số dư có dấu hiệu bất thường, chủ thẻ nên báo ngay cho ngân hàng và khóa tài khoản để tránh trường hợp rủi ro tăng lên.

Nhưng có một vấn đề chính là dù hacker lấy được mật khẩu, giao dịch vẫn cần phải có OTP. Mà OTP lại được gửi vào điện thoại của khách hàng. Hacker xử lý vấn đề này thế nào để lấy được tiền?

Đây là vấn đề Vietcombank cần giải thích. Nhưng về mặt công nghệ, OTP vẫn có thể vượt qua được. Hacker vẫn lấy được OTP từ khách hàng nhưng làm được điều này khá phức tạp. Nhưng đảm bảo nhất là phải dùng chữ ký số.

Xin cảm ơn ông./.

Giải thích rõ hơn với phóng viên báo điện tử VTC News, một chuyên gia bảo mật khẳng định không cần hack vào điện thoại của chủ thẻ, hacker vẫn có thể có được OTP.

OTP dựa trên 2 yếu tố: dựa trên SMS (cách phổ biến) và dựa trên phần mềm smart OTP.

Phần mềm smart OTP được cài trên điện thoại di động và tự sinh ra OTP đồng bộ với OTP sinh ra từ sever của ngân hàng, có thể thay thế OTP gửi qua SMS. Vì vậy, chỉ bằng các thao tác online, hacker vẫn có thể vượt qua được OTP.