Hacker huyện dùng thủ đoạn nào trộm tiền ngân hàng?

Trong những ngày vừa qua, dư luận đang hết sức lo lắng về vụ việc tên Cao Xuân Dương đã thực hiện thành công 3 vụ lấy cắp thông tin, chiếm đoạt số tiền khoảng 20 triệu đồng nhờ lấy được mã OTP (One Time Password – loại mật khẩu dùng một lần được ngân hàng cung cấp cho chủ tài khoản trước mỗi lần thực hiện giao dịch).

Trước đó đã từng có hai vụ việc tài khoản ngân hàng của anh Đặng Thanh Hải (TP.HCM) và anh Vũ Minh Nhật (Hà Nội) bị "rút ruột" trái phép hàng chục triệu đồng. Cả hai vụ việc đều do kẻ gian mạo danh cướp sim đang sử dụng, rồi xâm nhập tài khoản ngân hàng lấy mã OTP và thực hiện thanh toán online. Tuy nhiên vụ việc của Cao Xuân Dương lại tinh vi và nguy hiểm hơn bởi hắn không hề giả mạo hay cướp SIM mà vẫn lấy được mã OTP và rút tiền của nạn nhân.

Giải pháp SMS OTP được nhiều khách hàng sử dụng trong các giao dịch trực tuyến.

Theo ông Nguyễn Minh Đức, Phó chủ tịch phụ trách an ninh mạng của công ty Bkav thì một trong những đối tượng mà Dương hướng tới là những người chơi game online do họ phải thường xuyên thực hiện các giao dịch thanh toán trực tuyến. Cao Xuân Dương cũng hiểu rõ dịch vụ Internet banking: Để tiến hành giao dịch trực tuyến thì chỉ cần khách hàng nhập số thẻ (dãy số in trên thẻ), tên chủ thẻ và ngày hiệu lực (hoặc ngày cấp) thẻ, sau đó nhận mật khẩu OTP qua số di động là đã có thể thực hiện giao dịch.

Hiểu rõ các quy trình này, kẻ gian sẽ tiến hành bước đầu tiên: theo dõi và kiểm soát máy tính của nạn nhân bằng cách tạo ra một trang giao dịch giả mạo trung gian làm "cầu nối" giữa khách hàng và ngân hàng. "Trường hợp của Dương thì hắn đã thuê người thành lập trang web có tên "Chat…" dưới vỏ bọc của một trang web hỗ trợ chơi game online. Hắn tạo ra các công cụ Auto (phần mềm hỗ trợ chơi game online) hoặc tải công cụ Auto được nhà sản xuất phát hành rồi cài virus ẩn lên đó. Khi người dùng kích hoạt phần mềm này thì virus sẽ xâm nhập vào máy tính. Loại virus được cài vào máy sẽ tự động theo dõi người sử dụng qua webcam, xem giao diện màn hình máy tính, thu toàn bộ thao tác trên bàn phím rồi gửi lại cho Dương" – ông Đức nhấn mạnh.

Từ đó, ông Đức cũng nêu ra hai giả thuyết để tên Dương, một thợ cơ khí chưa học hết cấp 2 có thể lấy mã OTP và qua mặt hệ thống thanh toán trực tuyến để rút tiền của nạn nhân: Tạo hai giao dịch song song cùng một thời điểm hoặc sử dụng mail giả mạo.

Ông Nguyễn Minh Đức, Phó chủ tịch phụ trách an ninh mạng Bkav

Cách đầu tiên được thực hiện rất tinh vi, đó là tạo ra hai giao dịch song song cùng một thời điểm để lấy mã OTP. Theo ông Đức, tỷ lệ thành công của phương pháp này là 50/50.

Với cách này tên tội phạm sẽ phải chờ khi con mồi thực hiện giao dịch trực tuyến với ngân hàng và tạo một giao dịch khác phát sinh đồng thời với giao dịch của nạn nhân. Lúc này hệ thống sẽ nhận diện được hai giao dịch: giao dịch của khách hàng và giao dịch của kẻ cắp và cũng sinh ra hai OTP là OTP 1 và OTP 2. Điểm mấu chốt là giao dịch muốn thực hiện thành công thì cần nhập đúng mã OTP mà ngân hàng đã gửi vào điện thoại khách hàng.

"Lúc này nạn nhân sẽ nhận được hai tin nhắn OTP từ ngân hàng. Tuy nhiên họ đơn giản chỉ nghĩ là đã thực hiện một thao tác trùng lặp hoặc lỗi của hệ thống nên mới nhận được hai OTP. Ngay sau đó khi nạn nhân nhập một trong hai OTP kể trên vào máy tính thì bằng các phần mềm gián điệp (keylogger, spyware) mà từ xa tên tội phạm cũng có được OTP này và cũng thực hiện giao dịch của mình" - Phó chủ tịch phụ trách an ninh mạng Bkav nhận định.

Ông Đức cũng cho biết về hai khả năng có thể xảy ra sau đó: Nếu khách hàng nhập OTP 1 thì hệ thống sẽ "khớp lệnh" và thực hiện giao dịch của khách hàng; trong trường hợp khách hàng nhập OTP 2 thì hệ thống sẽ báo lỗi, từ xa kẻ gian sẽ có được mật khẩu này và nhập OTP 2 vào hệ thống để thực hiện giao dịch rút tiền.

Ở cách thứ hai, tên Dương sẽ gửi email cho người bị hại với nội dung chúc mừng họ đã trúng thưởng một phần quà có giá trị. Khi click vào email thì một trang giao dịch giả mạo sẽ xuất hiện, và yêu cầu khai báo các thông tin thủ tục để tiến hành nhận phần thưởng. Các khai báo này giống hệt với các khai báo giao dịch chuyển khoản, trong đó bao gồm cả OTP.

Dương (áo bò xanh) thực hiện lại hành vi lấy cắp thông tin cá nhân để chiếm đoạt tài sản

Trường hợp tên Dương có thể thực hiện thành công các phi vụ trộm tiền của mình là nhờ tận dụng các kẽ hở bảo mật trên máy tính của người sử dụng. Đây cũng là lời cảnh báo cho người dùng cần đề cao cảnh giác, nâng ý thức bảo mật các thông tin cá nhân khi tham gia giao dịch điện tử và thanh toán trực tuyến.

Các chuyên gia bảo mật của Bkav cho rằng khách hàng cần sử dụng các phần mềm diệt virus có bản quyền để phát hiện, ngăn chặn việc máy tính bị xâm phạm trái phép. Không truy cập vào các đường link, cảnh báo, các phần mềm như trúng thưởng, diệt virus xuất hiện trên các trang web.

Mặt khác, vụ việc này cũng cho thấy việc gửi OTP thông qua SMS không còn là biện pháp bảo mật an toàn nhất trong các giao dịch trực tuyến. Đối với các giao dịch có giá trị cao, khách hàng nên áp dụng giải pháp chứng thực chữ ký số - Token, đây là giải pháp đang được nhiều ngân hàng và công ty chứng khoán trong nước sử dụng; và cao cấp hơn hướng tới việc sử dụng Token với mã PIN (Token PIN) để sinh mã OTP. Token là một chiếc USB luôn đi cùng với khách hàng giúp họ chủ động phòng chống mà không phụ thuộc vào nhà mạng, đồng thời đối tượng tấn công nếu chiếm được Token thì cũng khó thực hiện được giao dịch do không có mã PIN.

Ngoài ra, để thực hiện trót lọt các vụ chiếm đoạt tiền qua giao dịch thương mại điện tử mà không bị bắt là điều không thể xảy ra, bởi tất cả các đơn vị cung cấp dịch vụ này đều có các quy trình xử lý rủi ro được kiểm soát rất chặt chẽ, mọi giao dịch thanh toán điện tử đều được lưu vết trên hệ thống. Nhờ đó bằng các biện pháp nghiệp vụ thì cơ quan chức năng có thể truy bắt tội phạm và thu hồi tài sản, trả lại tiền cho khách hàng.

Theo Lương Đàm
VnReview.vn