Một hệ thống skimmer được haker cài đặt trên máy ATM để đánh cắp thông tin của khách hàng
Thẻ trong túi xách, tiền vẫn không cánh mà bay
Vừa qua, dư luận trong nước xôn xao bởi vụ việc hi hữu khi chị Hoàng Thị Na Hương – khách hàng của ngân hàng thương mại cổ phần Ngoại thương Việt Nam (Vietcombank ) bị rút mất 500 triệu đồng trong thẻ ATM chỉ sau một đêm dù không hề giao dịch.
Cụ thể, sự việc diễn ra vào lúc 23 giờ 18 phút, ngày 3/8, tài khoản chị Hương bị đối tượng khác chuyển 100 triệu đồng từ số thẻ của chị Hương sang số thẻ khác. Vào lúc 0 giờ 56 phút, ngày 4/8, chuyển tiếp 2 giao dịch qua thẻ với số tiền 100 triệu đồng. Vào lúc 5 giờ 17 phút, ngày 4/8, chuyển 3 giao dịch qua Internet Banking, mỗi giao dịch có số tiền 100 triệu đồng. Tổng 7 giao dịch là 500 triệu đồng.
Chị Hương sau đó đã nhận được tin nhắn cùng email báo số dư tài khoản từ ngân hàng, nhưng không hề nhận được tin nhắn mã OTP, nhận thấy sự việc bất thường, chị Hương đã liên hệ với ngân hàng Vietcombank để thông báo và khóa tài khoản vào lúc 7h50, ngày 4/8/2016.
Dựa trên thông tin mà chị Hương cung cấp, ngân hàng Vietcombank xác định chị Hương đã truy cập vào một website giả mạo (có địa chỉ http://ift.tt/2bktTaz) và bị đánh cắp thông tin, mật khẩu từ đó tài khoản khách hàng đã bị lợi dụng vào đêm ngày 3 rạng sáng ngày 04/8/2016.
Theo Vietcombank, các đối tượng lừa đảo đã chuyển tiền từ tài khoản khách hàng tới nhiều tài khoản trung gian tại 3 ngân hàng khác nhau tại Việt Nam. Sau đó, đối tượng lừa đảo đã rút 200 triệu đồng qua ATM ở Malaysia.
Vietcombank đã xử lý các biện pháp khẩn cấp, kịp thời khoanh giữ lại được 300 triệu đồng. Đây là các giao dịch chuyển khoản sang ngân hàng khác, chưa kịp chuyển ra khỏi hệ thống Vietcombank.
Cảnh báo lừa đảo thông tin qua website giả mạo
PV đã có trao đổi với ông Ngô Tuấn Anh (Phó chủ tịch phụ trách bộ phận An ninh mạng của Bkav) để làm rõ hơn về vấn đề này.
Theo ông, bằng cách nào mà chủ thẻ đã bị lấy cắp 500 triệu đồng dù không hề thực hiện bất cứ giao dịch nào?
Hiện tại thông tin cũng khá chung chung nên chúng tôi chưa có kết luận gì, tuy nhiên có thể thấy đây là hình thức tấn công phising.
Hình thức lừa đảo (phising) áp dụng cho người sử dụng dịch vụ ngân hàng trực tuyến – internet banking. Những kẻ tấn công thông thường sẽ gửi 1 email mạo danh ngân hàng, trong đó chứa 1 đường link để lừa người sử dụng bấm vào.
Nếu nhìn trên đường link thì đúng là của ngân hàng nhưng thực tế lại trỏ tới một website khác. Website này được làm với giao diện giống hệt giao diện của ngân hàng.
Nếu không chú ý người sử dụng sẽ bị lừa để nhập thông tin tài khoản của mình vào trang giả mạo này – bao gồm cả mã OTP, dẫn tới kẻ tấn công có thể tạo ra giao dịch giả mạo với danh nghĩa của người sử dụng.
Ngoài ra còn một cách thức tấn công khác mà các đối tượng lừa đảo hay sử dụng có tên gọi là skimmer. Thiết bị này được tội phạm gắn vào khe đọc thẻ của máy ATM, khi người sử dụng đưa thẻ vào để giao dịch thì thông tin thẻ sẽ được “ghi lại” trên thiết bị này. Tội phạm sẽ dùng thông tin ghi lại này để tạo thành 1 thẻ ATM có thông số giống hệt người sử dụng thông qua các máy in thẻ. Sau đó, kết hợp với camera được đặt trong buồng ATM ghi lại mã PIN khi người sử dụng thực hiện giao dịch, tội phạm có thể rút tiền từ tài khoản của nạn nhân.
Về vấn đề cần mã xác thực OTP mới có thể thực hiện được giao dịch, theo ông tin tặc đã xử lý như thế nào?
Đây là vấn đề Vietcombank cần giải thích. Nhưng về mặt công nghệ, OTP vẫn có thể vượt qua được. Hacker vẫn lấy được OTP từ khách hàng nhưng làm được điều này khá phức tạp. Nhưng đảm bảo nhất là phải dùng chữ ký số.
Theo ông, khách hàng cần lưu ý những gì khi thực hiện giao dịch và mua sắm qua mạng internet để tránh bị mất tiền trong tài khoản?
Khi thực hiện rút tiền từ máy ATM: cần quan sát, che bàn phím, hiện hầu hết các ngân hàng đều có khuyến cáo và trang bị thiết bị chống quay trộm mã PIN.
Cần trọng khi bấm vào các đường link nhận được, nên gõ lại đường dẫn vào trang web internet banking thay vì bấm vào link trong các email.
Báo ngay cho ngân hàng khi thấy thay đổi bất thường để được xử lý.
Chuyển sang sử dụng biện pháp xác thực mạnh hơn bằng Chữ ký số.
Xin cám ơn ông!
Không có nhận xét nào:
Đăng nhận xét