[Funland] Bàn luận về vụ 500tr chị Na Hương

gocart

Xe cút kít
Biển số
OF-59286
Ngày cấp bằng
17/3/10
Số km
19,906
Động cơ
605,504 Mã lực
Nơi ở
Trên mặt đất, dưới bầu trời
E hiện đang làm IT ở Trung tâm dữ liệu của 1 ngân hàng nhà nước nên e có thể chia sẻ với cụ theo sự hiểu biết của em ntn:
1. Anh vcb đã thực hiện đền bù 1 phần (300tr). Chứng tỏ có sự nhầm lẫn, sai sót trong nội bộ vcb. (Trường hợp ko do lỗi của vcb thì còn lâu ngta mới đền bù cho khách hàng. Số tiền mà cụ nghĩ vcb chịu thiệt để giữ uy tín thương hiệu..... nhta sẽ rót vào truyền thông, tranh thủ giải thích và quảng cáo thương hiệu của mình...)
2. Việc fake web, ăn trộm pass, đổi số đt giao dịch đc thực hiện trót lọt hết thì xác suất thực hiện rất khó. Nếu làm dc thì chỉ có ng thân của nạn nhân mới thực hiện đổi sđt đc.
3. Với cán bộ IT làm ở corebank của vcb, chắn chắn sẽ có một số cá nhân có đủ quyền chọc vào thực hiện các giao dịch bốc tiền từ tk này sang tk khác mà ko cần cung cấp opt hay cái gì cả (đương nhiên là nếu cán bộ IT đó là ng xấu hoặc bị nợ nần gì đó nên làm bậy).
Sau khi thực hiện xong, sms báo số dư mới đc gửi về cho nạn nhân
4. Toàn bộ giao dịch đều đc thực hiện trong đêm, lúc nạn nhân đi ngủ để tránh bị phát hiện khi sms báo số dư gửi về.
Do vậy, e nghĩ có nh khả năng ở ý 3 nhất. Cụ thể ntn, vài bữa nữa xem anh vcb thông báo :D
Cụ phán bậy vừa thôi. Biết cái chóe gì mà bi bô kinh thế.
 

Bachsima

[Tịch thu bằng lái]
Biển số
OF-327829
Ngày cấp bằng
20/7/14
Số km
17,737
Động cơ
434,776 Mã lực
Vụ này theo em chỉ có 2 khả năng:

1. IT của VCB làm việc này.

2. Hacker phải đồng thời hack được ID và pass vào IB của chị H cộng với cài spy để forward tin nhắn OTP từ máy chị H đến máy của hacker thì mới hoàn thành được giao dịch.

Khả năng nào cũng có thể xảy ra. Tuy nhiên trường hợp 2 theo em là khó, trừ khi hacker đã từng sử dụng điện thoại của chị H, có thể là bạn bè hoặc người thân.
Có 2 thớt rồi mà cụ vẫn nghĩ thế là chưa đúng.
Chị H. này đang dùng Otp qua tin nhắn sms, bọn kia nó cài smart otp (là phần mềm tạo mã otp không cần ngân hàng gửi sms) trên máy của nó.
Chị kia vào web giả khai id/pass, bọn kia lấy cái thông tin đó đi kích hoạt phần mềm smart otp, nhân hàng gửi otp kích hoạt đến điện thoại đang đăng ký nhận sms otp, tức là máy chị H.. Ở bước này có ông long bảo vcb cho phép thêm số điện thoại nhận tin kích hoạt, cái này giờ chắc không ai confirm.
Tiếp theo, web giả phải có hiện cái ô nhập otp, chị H. mà nhập cái otp kích hoạt phần mềm thì xong phim vì từ nay máy có phần mềm kia chả cần tin nhắn vẫn chuyển khoản vô tư dựa vào xác nhận từ phần mềm smart otp đã kích hoạt.
Các suy luận ở đây toàn dựa trên báo cả, cái giao diện web đi lừa chỉ có chị kia biết, việc tin nhắn kích hoạt phần mềm, việc chị có gõ otp kích hoạt vào đâu không chỉ có chị biết, ca có thể biết.
Về phía em qua việc này tự thấy chưa đủ tuổi chơi giao dịch ảo, cứ xâu tiền xoắn cạp quần đi ra đường là xong, nhỡ mất ít ra còn được kêu giời, chứ giao dịch ảo thì giời cũng chả thạo ;))
 

bntuan

Xe tải
Biển số
OF-28434
Ngày cấp bằng
5/2/09
Số km
280
Động cơ
485,860 Mã lực
Tuổi
45
Nơi ở
số 24 ngõ 180 Nguyễn Lương Bằng HN
Website
www.dienmaynhatbai.com
Cụ phán bậy vừa thôi. Biết cái chóe gì mà bi bô kinh thế.
Tôi chia sẻ, tất cả cũng chỉ là dự đoán theo hiểu biết hạn hẹp của tôi.
Còn cụ biết hơn đc tôi điều gì thì chia sẻ lên đây cho mọi ng cùng biết.
Còn xl, méo biết gì thì ngồi im mà đọc, mà hóng đi. Thưa thớt ít thôi
 

Bachsima

[Tịch thu bằng lái]
Biển số
OF-327829
Ngày cấp bằng
20/7/14
Số km
17,737
Động cơ
434,776 Mã lực
Đọc trên các trang cho down phần mềm smart otp thì nói mã kích hoạt phần mềm smart gửi về máy đã đăng ký sms otp, trên phây lại có ông đăng là mã kích hoạt gửi luôn về số điện thoại đăng ký dùng smart otp. Thông tin nào đúng?
 

gocart

Xe cút kít
Biển số
OF-59286
Ngày cấp bằng
17/3/10
Số km
19,906
Động cơ
605,504 Mã lực
Nơi ở
Trên mặt đất, dưới bầu trời
Tôi chia sẻ, tất cả cũng chỉ là dự đoán theo hiểu biết hạn hẹp của tôi.
Còn cụ biết hơn đc tôi điều gì thì chia sẻ lên đây cho mọi ng cùng biết.
Còn xl, méo biết gì thì ngồi im mà đọc, mà hóng đi. Thưa thớt ít thôi
Cụ hiểu biết hạn hẹp thì nên khiêm tốn.
Ở đây có nhiều người biết về T24 core Corebanking nhưng chắc chắn là rất nhiều năm trước đây đã từng ký cam kết bảo mật, đó là thanh gươm treo lơ lửng.
Không phải việc gì cũng lên đây bô bô được nhưng chắc chắn là hướng phán đoán của cụ sai toét.
 

tratida

Xe lăn
Biển số
OF-75669
Ngày cấp bằng
17/10/10
Số km
13,172
Động cơ
517,847 Mã lực
Hn07 nói:
Vấn đề ở chỗ xác minh và có bằng chứng rõ ràng lỗi tại bên nào mới đưa ra được con số phân xử !
50/50 theo ý em là thỏa thuận để giảm thiểu thiệt hại 2 bên. Chứ phân xử thì để tìm thằng lừa đảo mà xử.
 

bntuan

Xe tải
Biển số
OF-28434
Ngày cấp bằng
5/2/09
Số km
280
Động cơ
485,860 Mã lực
Tuổi
45
Nơi ở
số 24 ngõ 180 Nguyễn Lương Bằng HN
Website
www.dienmaynhatbai.com
Cụ hiểu biết hạn hẹp thì nên khiêm tốn.
Ở đây có nhiều người biết về T24 core Corebanking nhưng chắc chắn là rất nhiều năm trước đây đã từng ký cam kết bảo mật, đó là thanh gươm treo lơ lửng.
Không phải việc gì cũng lên đây bô bô được nhưng chắc chắn là hướng phán đoán của cụ sai toét.
Vâng, e cũng mới đi làm dc 8 năm ở bank, có gì chưa rõ cụ cứ chỉ bảo
 

trentungcayso

Xe điện
Biển số
OF-6587
Ngày cấp bằng
1/7/07
Số km
2,138
Động cơ
557,530 Mã lực
Nơi ở
trên từng cây số
Em cũng ạ cụ, cách đây mấy ngày là lúc nào, trước hay sau vụ mất tiền, chẳng qua là dính vụ này, mất rồi mới cảnh báo thôi.
Em nhận được SMS cảnh báo của VCB không cung cấp tên, mật khẩu, mã OTP, số thẻ qua điện thoại, mạng XH, link web lạ...vào ngày 10/8/2016.
 

ORIJEANS

Xe lăn
Biển số
OF-192014
Ngày cấp bằng
1/5/13
Số km
10,693
Động cơ
387,564 Mã lực
Có 2 thớt rồi mà cụ vẫn nghĩ thế là chưa đúng.
Chị H. này đang dùng Otp qua tin nhắn sms, bọn kia nó cài smart otp (là phần mềm tạo mã otp không cần ngân hàng gửi sms) trên máy của nó.
Chị kia vào web giả khai id/pass, bọn kia lấy cái thông tin đó đi kích hoạt phần mềm smart otp, nhân hàng gửi otp kích hoạt đến điện thoại đang đăng ký nhận sms otp, tức là máy chị H.. Ở bước này có ông long bảo vcb cho phép thêm số điện thoại nhận tin kích hoạt, cái này giờ chắc không ai confirm.
Tiếp theo, web giả phải có hiện cái ô nhập otp, chị H. mà nhập cái otp kích hoạt phần mềm thì xong phim vì từ nay máy có phần mềm kia chả cần tin nhắn vẫn chuyển khoản vô tư dựa vào xác nhận từ phần mềm smart otp đã kích hoạt.
Các suy luận ở đây toàn dựa trên báo cả, cái giao diện web đi lừa chỉ có chị kia biết, việc tin nhắn kích hoạt phần mềm, việc chị có gõ otp kích hoạt vào đâu không chỉ có chị biết, ca có thể biết.
Về phía em qua việc này tự thấy chưa đủ tuổi chơi giao dịch ảo, cứ xâu tiền xoắn cạp quần đi ra đường là xong, nhỡ mất ít ra còn được kêu giời, chứ giao dịch ảo thì giời cũng chả thạo ;))
Cái đoạn bôi đậm ý lão. E đọc các nguồn tin thì là hacker tự kích hoạt smart OTP chứ có phải chị H kích hoạt đâu??? Nên hacker cần forward cái tin nhắn kích hoạt smart otp hoặc bằng cách nào đó lấy được mã kích hoạt smart otp mà k cần nhận otp qua sms thì mới finish được các lần rút tiền.
 

Venetta

Xe điện
Biển số
OF-393540
Ngày cấp bằng
23/11/15
Số km
4,501
Động cơ
363,412 Mã lực
Cái đoạn bôi đậm ý lão. E đọc các nguồn tin thì là hacker tự kích hoạt smart OTP chứ có phải chị H kích hoạt đâu??? Nên hacker cần forward cái tin nhắn kích hoạt smart otp hoặc bằng cách nào đó lấy được mã kích hoạt smart otp mà k cần nhận otp qua sms thì mới finish được các lần rút tiền.
Dạ, theo chỗ em đọc và đoán thì bọn kia lừa chị Hương nhập cái mã đó vào trang web giả, nên nó có mã kích hoạt SmartOTP trên điện thoại của hacker
 

bomon

Xe tăng
Biển số
OF-202335
Ngày cấp bằng
16/7/13
Số km
1,300
Động cơ
339,109 Mã lực
Vụ này gọi là phishing chứ ko phải hacking, kẻ lừa đảo thả mồi qua email, tin nhắn... dụ các nạn nhân vào 1 website fake, ai gà nhưng có nhiều tiền trong tài khoản thì dính chưởng thôi.

Nếu phần mềm SmartOTP mà có bug, thì sáng hôm đó phải có cả trăm người mất tiền chứ ko phải mình chị này.
Cụ ạ, OTP có bug thì vẫn cần phải có username/password của internet banking (thông qua phishing hay hình thức nào khác). Nhưng trên phương diện an toàn thông tin hệ thống OTP được thiết kế như yếu tố thứ 2 trong xác thực 2 yếu tố, ngoài username/password. Để đảm bảo trường hợp khi lộ username/passwd thì cũng không mất tiền. Để tình trạng phishing xảy ra người dùng chỉ lộ username/password mà vẫn bị mất tiền thì đó là lỗi của người thiết kế quy trình OTP, phỏng ạ. Ai là người thiết kế ra cái đó ? VCB chứ ai. Vậy mà họ phủi tay đổ lỗi cho khách hàng. Trừ trường hợp thẳng thừng đứng ra tuyên bố, mức độ an toàn của tôi thế thôi, ai dùng thì dùng. Ai không dùng quay lại dùng SMS OTP truyền thống có khi đỡ mất tiền. Trước giờ có vụ mất tiền vì SMS OTP nhưng là lỗi của nhà mạng chứ không phải lỗi ngân hàng ạ.
 

Bachsima

[Tịch thu bằng lái]
Biển số
OF-327829
Ngày cấp bằng
20/7/14
Số km
17,737
Động cơ
434,776 Mã lực
Cái đoạn bôi đậm ý lão. E đọc các nguồn tin thì là hacker tự kích hoạt smart OTP chứ có phải chị H kích hoạt đâu??? Nên hacker cần forward cái tin nhắn kích hoạt smart otp hoặc bằng cách nào đó lấy được mã kích hoạt smart otp mà k cần nhận otp qua sms thì mới finish được các lần rút tiền.
Đó là then chốt mà, bây giờ vào các trang cho đao phần mềm smart otp đều nói mã kích hoạt gửi về điện thoại đã đăng ký nhận sms otp.
Vậy thì để kích hoạt bọn kia chỉ có thể:
1.lừa chị kia nhập nốt cái mã kích hoạt vào web giả
2. Chẹn đọc được tin nhắn có mã kích hoạt do lỗi của hệ tin nhắn
3. Tự thêm được số đt nhận mã kích hoạt do có id/pass chị H. Cung cấp ( đây là khả năng anh Long phây đưa ra cần con firm)
 

ORIJEANS

Xe lăn
Biển số
OF-192014
Ngày cấp bằng
1/5/13
Số km
10,693
Động cơ
387,564 Mã lực
Dạ, theo chỗ em đọc và đoán thì bọn kia lừa chị Hương nhập cái mã đó vào trang web giả, nên nó có mã kích hoạt SmartOTP trên điện thoại của hacker
Logic thì chị Hương chỉ nhập mã kích hoạt smartotp khi BẢN THÂN CHỊ ẤY CÓ NHU CẦU KÍCH HOẠT SMARTOTP dù là với link fake chứ lão. Chứ khi chị ấy k có nhu cầu kích hoạt cái này thì chị ấy vào khai báo trên cái web fake kia làm gì???

Trả lời báo giới chị Hương cho biết là không hề cài smart OTP trên mobile của mình, không nhận được tin nhắn SMS OTP và chỉ nhận được SMS trừ tiền.
 

ORIJEANS

Xe lăn
Biển số
OF-192014
Ngày cấp bằng
1/5/13
Số km
10,693
Động cơ
387,564 Mã lực
Đó là then chốt mà, bây giờ vào các trang cho đao phần mềm smart otp đều nói mã kích hoạt gửi về điện thoại đã đăng ký nhận sms otp.
Vậy thì để kích hoạt bọn kia chỉ có thể:
1.lừa chị kia nhập nốt cái mã kích hoạt vào web giả
2. Chẹn đọc được tin nhắn có mã kích hoạt do lỗi của hệ tin nhắn
3. Tự thêm được số đt nhận mã kích hoạt do có id/pass chị H. Cung cấp ( đây là khả năng anh Long phây đưa ra cần con firm)
Cái 1 em cho k có khả năng.

Cái 2 e cho rằng chỉ xảy ra khi hacker tiếp cận được với mobile của chị H.

Cái 3 thì lại quay về vấn đề bảo mật của IT bên VCB.
 

Bachsima

[Tịch thu bằng lái]
Biển số
OF-327829
Ngày cấp bằng
20/7/14
Số km
17,737
Động cơ
434,776 Mã lực
Cái 1 em cho k có khả năng.

Cái 2 e cho rằng chỉ xảy ra khi hacker tiếp cận được với mobile của chị H.

Cái 3 thì lại quay về vấn đề bảo mật của IT bên VCB.
Cái 1 có thể xảy ra vì bên vcb trên các trang màn hình cứ dùng chữ otp cho các giao dịch nội dung khác nhau, KH dễ lẫn lộn, nó cứ để cái ô có chữ otp mà có tin nhắn gần nhất có otp, thế là nhập thôi.
Cái 2 thì phải ách cơ cao thủ nắm được kỹ năng lợi dụng lỗi hệ mạng và biết số đt cuar chị H. đã đăng ký nhận sms, cái này khó.
Cái 3 thì phải mấy ông dùng vcb mới biết, mà giờ nếu có thật mà vcb đổi giao diện và thủ tục thì khó cm lắm
 

ORIJEANS

Xe lăn
Biển số
OF-192014
Ngày cấp bằng
1/5/13
Số km
10,693
Động cơ
387,564 Mã lực
Cụ ạ, OTP có bug thì vẫn cần phải có username/password của internet banking (thông qua phishing hay hình thức nào khác). Nhưng trên phương diện an toàn thông tin hệ thống OTP được thiết kế như yếu tố thứ 2 trong xác thực 2 yếu tố, ngoài username/password. Để đảm bảo trường hợp khi lộ username/passwd thì cũng không mất tiền. Để tình trạng phishing xảy ra người dùng chỉ lộ username/password mà vẫn bị mất tiền thì đó là lỗi của người thiết kế quy trình OTP, phỏng ạ. Ai là người thiết kế ra cái đó ? VCB chứ ai. Vậy mà họ phủi tay đổ lỗi cho khách hàng. Trừ trường hợp thẳng thừng đứng ra tuyên bố, mức độ an toàn của tôi thế thôi, ai dùng thì dùng. Ai không dùng quay lại dùng SMS OTP truyền thống có khi đỡ mất tiền. Trước giờ có vụ mất tiền vì SMS OTP nhưng là lỗi của nhà mạng chứ không phải lỗi ngân hàng ạ.
Em đồng ý là việc lộ ID và pass với mấy bà trình độ low IT thì rất là dễ hiểu, mấy cái popup bật ra nhiều lúc chả thèm đọc vẫn cứ ok như thường thì dính chưởng chẳng có gì lạ.

Nhưng vụ smart OTP có vẻ k đơn giản. Và em cũng đồng ý là vụ này trách nhiệm nhiều khả năng thuộc về VCB, trừ khi hacker tiếp cận được với mobile của chị H.
 

Nina Nguyen

Xe điện
Biển số
OF-355035
Ngày cấp bằng
22/2/15
Số km
2,007
Động cơ
275,991 Mã lực
Nhà cháu cũng nhận được tin nhắn của VCB:
VCB khuyen cao KH TUYET DOI KHONG cung cap Ten/Mat khau truy cap Ngan hang dien tu, ma OTP, so the qua d.thoai, email, mang xa hoi, web, link la. LH 1900545413
Em cũng nhận được tin nhắn này ngày 10/8/16. Được cái tính em đa nghi, mấy link lạ lạ là không bao giờ lick vào :D
 
Thông tin thớt
Đang tải
Top