[Funland] Bàn luận về vụ 500tr chị Na Hương

[Dũng Ốc]

Vâng, e sai chỗ nào cụ cứ góp ý

Sai ngay từ cái còm đầu tiên của cụ. Lịch sử ngành ngân hàng có duy nhất 1 vụ nhân viên IT ăn cắp được tiền của ngân hàng và đã được dựng thành phim. Giờ chuyện ấy không có nữa đâu cụ ạ.

 

[Bachsima]

Logic thì chị Hương chỉ nhập mã kích hoạt smartotp khi BẢN THÂN CHỊ ẤY CÓ NHU CẦU KÍCH HOẠT SMARTOTP dù là với link fake chứ lão. Chứ khi chị ấy k có nhu cầu kích hoạt cái này thì chị ấy vào khai báo trên cái web fake kia làm gì???

Trả lời báo giới chị Hương cho biết là không hề cài smart OTP trên mobile của mình, không nhận được tin nhắn SMS OTP và chỉ nhận được SMS trừ tiền.

Theo cái ảnh màn hình trên ti vi thì cái oép giả nó gạ dùng smart để lấy sh, nghĩa là chị phải kích hoạt phần mềm smart, nghĩa là chị phải nhận được tin nhắn có mã kích hoạt, nếu chị lại gõ cái mã kích hoạt này lên oép thì bọn kia nó kích hoạt của nó trước ( dùng code lệnh chả hạn), chị nhập mã vào sau có khi lại lỗi, bỏ qua, đến đêm thì dính chưởng.
Kiểm tra xem có tin nhắn kích hoạt smart của Id chị H., gửi đến những số điện thoại nào là rõ ngay.

 

[ORIJEANS]

Cái 1 có thể xảy ra vì bên vcb trên các trang màn hình cứ dùng chữ otp cho các giao dịch nội dung khác nhau, KH dễ lẫn lộn, nó cứ để cái ô có chữ otp mà có tin nhắn gần nhất có otp, thế là nhập thôi.
Cái 2 thì phải ách cơ cao thủ nắm được kỹ năng lợi dụng lỗi hệ mạng và biết số đt cuar chị H. đã đăng ký nhận sms, cái này khó.
Cái 3 thì phải mấy ông dùng vcb mới biết, mà giờ nếu có thật mà vcb đổi giao diện và thủ tục thì khó cm lắm

Vụ phising thì chỉ lấy được ID và pass thôi lão nhé, vụ OTP bên BKAV cũng cho rằng phải đợi VCB trả lời chính thức:

Nhưng có một vấn đề chính là dù hacker lấy được mật khẩu, giao dịch vẫn cần phải có OTP. Mà OTP lại được gửi vào điện thoại của khách hàng. Hacker xử lý vấn đề này thế nào để lấy được tiền?

Đây là vấn đề Vietcombank cần giải thích. Nhưng về mặt công nghệ, OTP vẫn có thể vượt qua được. Hacker vẫn lấy được OTP từ khách hàng nhưng làm được điều này khá phức tạp. Nhưng đảm bảo nhất là phải dùng chữ ký số.

 

[bntuan]

Sai ngay từ cái còm đầu tiên của cụ. Lịch sử ngành ngân hàng có duy nhất 1 vụ nhân viên IT ăn cắp được tiền của ngân hàng và đã được dựng thành phim. Giờ chuyện ấy không có nữa đâu cụ ạ.

Hehe vậy chak cụ ko biết, có nh vụ còn chưa đc lên báo, xử lý nội bộ.
E chỉ chia sẻ ở góc độ kỹ thuật là: một số vị trí IT hoàn toàn có thể làm điều đó. Đương nhiên là hành vi đó sẽ bị phát giác vào cuối ngày or cuối tháng khi hậu kiểm.

 

[ORIJEANS]

Theo cái ảnh màn hình trên ti vi thì cái oép giả nó gạ dùng smart để lấy sh, nghĩa là chị phải kích hoạt phần mềm smart, nghĩa là chị phải nhận được tin nhắn có mã kích hoạt, nếu chị lại gõ cái mã kích hoạt này lên oép thì bọn kia nó kích hoạt của nó trước ( dùng code lệnh chả hạn), chị nhập mã vào sau có khi lại lỗi, bỏ qua, đến đêm thì dính chưởng.
Kiểm tra xem có tin nhắn kích hoạt smart của Id chị H., gửi đến những số điện thoại nào là rõ ngay.

Cái link ấy đây nhưng nó tèo rồi lão ạ: http://creatingacreator.com/kob/1/index.htm

Còn hình chụp thì đây ạ.

 

[babeta11]

Thấy cụ ấy cũng rât nhiệt tình alo hướng dẫn cho em nhưng đến khoản đăng nhập vào tk VCB là em rút, ham hố gì 100k mà mất đi bao nhiêu k khác

Chả có gì miễn phí cụ nhỉ? chỉ là trả phí trước hay sau thôi.

 

[Dũng Ốc]

Hehe vậy chak cụ ko biết, có nh vụ còn chưa đc lên báo, xử lý nội bộ.
E chỉ chia sẻ ở góc độ kỹ thuật là: một số vị trí IT hoàn toàn có thể làm điều đó. Đương nhiên là hành vi đó sẽ bị phát giác vào cuối ngày or cuối tháng khi hậu kiểm.

Theo em được biết thì ngân hàng luôn luôn có phân quyền cho mọi giao dịch theo mức tối thiểu là 2 cấp bao gồm: maker và Approve cao hơn có thể có đến 3 hoặc 4 cấp (thêm các cấp checker 1 hoặc/và checker 2) tùy ngân hàng và tùy nghiệp vụ. Đã phân quyền maker thì không được phân quyền Approve và ngược lại. Bộ phận IT cũng không ngoại lệ. Vậy đồng chí IT nào có được cả hai quyền này vậy cụ? Ăn cắp mật khẩu của đồng nghiệp à?
Đấy là em còn chưa nói đến vài nghiệp vụ bảo mật khác nữa. Mới là cái sơ đẳng nhất là phân quyền thôi.

 

[ORIJEANS]

Tin từ http://www.vnsecurity.net/research/2016/08/13/Ve-su-vu-khach-hang-Vietcombank-bi-mat-tien.html các cụ nhé.
-------------------------------
Ngoài ra, sau khi chúng tôi thực hiện việc kiểm tra ứng dụng Smart OTP, cũng như quy trình kích hoạt, chúng tôi phát hiện thêm một lỗ hỗng nghiêm trọng trong quy trình đó. Nếu có thể khai thác lỗ hổng này thành công, tin tặc có thể kích hoạt bất kì Smart OTP nào mà KHÔNG CẦN PHẢI LỪA NGƯỜI DÙNG như kịch bản số 1 ở trên.

Kịch bản tấn công thứ 2 này sẽ được cập nhật sau.

 

[degiocuondi131]

E hiện đang làm IT ở Trung tâm dữ liệu của 1 ngân hàng nhà nước nên e có thể chia sẻ với cụ theo sự hiểu biết của em ntn:
1. Anh vcb đã thực hiện đền bù 1 phần (300tr). Chứng tỏ có sự nhầm lẫn, sai sót trong nội bộ vcb. (Trường hợp ko do lỗi của vcb thì còn lâu ngta mới đền bù cho khách hàng. Số tiền mà cụ nghĩ vcb chịu thiệt để giữ uy tín thương hiệu..... nhta sẽ rót vào truyền thông, tranh thủ giải thích và quảng cáo thương hiệu của mình...)
2. Việc fake web, ăn trộm pass, đổi số đt giao dịch đc thực hiện trót lọt hết thì xác suất thực hiện rất khó. Nếu làm dc thì chỉ có ng thân của nạn nhân mới thực hiện đổi sđt đc.
3. Với cán bộ IT làm ở corebank của vcb, chắn chắn sẽ có một số cá nhân có đủ quyền chọc vào thực hiện các giao dịch bốc tiền từ tk này sang tk khác mà ko cần cung cấp opt hay cái gì cả (đương nhiên là nếu cán bộ IT đó là ng xấu hoặc bị nợ nần gì đó nên làm bậy).
Sau khi thực hiện xong, sms báo số dư mới đc gửi về cho nạn nhân
4. Toàn bộ giao dịch đều đc thực hiện trong đêm, lúc nạn nhân đi ngủ để tránh bị phát hiện khi sms báo số dư gửi về.
Do vậy, e nghĩ có nh khả năng ở ý 3 nhất. Cụ thể ntn, vài bữa nữa xem anh vcb thông báo

Bạn này làm IT o NHNN mà nói 300tr là vcb đền bù thì mình thấy bạn có vấn đề về nghiep vu cua NHNN. 300tr này là chuyển liên ngân hàng qua cổng ngân hàng nhà nc. Cổng NHNN thì chỉ mở tu 8am-5pm. Ngoài h này NHNN đóng cổng. Do đó chị này khi p/anh voi VCB (trc 8am) thì tiền chưa ra khỏi hthong, vcb giữ lại đc, ko lien quan đến đền bù gì ở đây

 

[Khongdanhvong]

Không biết các cụ ntn. suy nghĩ e về vụ chị Na Hương bị hack mất 500 triệu đồng trong tài khoản thẻ VCB:

- Sau khi đọc báo và xem qua các comment của nạn nhân trên facebook thì khả năng cao nhất có thể xảy ra là: Nạn nhân đã bị hacker lừa đăng nhập vào một trang web giả mạo giao diện của VCB và bị lộ cả username lẫn password. Sau đó hacker dùng thông tin này đăng nhập trên trang web thật của VCB, đồng thời cài ứng dụng Vietcombank Smart OTP. Khi khởi động ứng dụng này hacker đã nhập số điện thoại của nạn nhân để đăng ký lần đầu, sau đó một mã xác thực được gửi tới số điện thoại của nạn nhân. Nếu hacker lấy được mã xác thực này thì coi như xong phim

Như vậy vấn đề chính ở đây là nếu nạn nhân sơ ý cung cấp mã xác thực này (cũng thông qua trang web giả mạo hay một hình thức lừa đảo khác) thì hacker sẽ cài đặt thành công ứng dụng trên và thực hiện chuyển khoản bằng mã OTP do ứng dụng cung cấp. Còn về hạn mức chuyển tiền thì hacker có thể nâng hạn mức ngay trên trang web của VCB. Nếu ngân hàng có bằng chứng về việc này thì nạn nhân rất khó lấy lại tiền trừ khi VCB chịu thiệt để giữ uy tín thương hiệu

- Dĩ nhiên còn nhiều khả năng khác nhưng khả năng trên là đáng lưu ý nhất. Cũng theo thông tin thì cách đây mấy ngày, VCB đã đồng loạt nhắn tin cảnh báo cho khách hàng khi thực hiện các giao dịch thông qua hệ thống ngân hàng điện tử. Như vậy chứng tỏ VCB đã nhìn thấy trước về hạn chế của phương thức chuyển tiền sử dụng mã OTP nhất là Smart OTP. Chỉ tiếc là nạn nhân đã không nhận được tin nhắn cảnh báo này hoặc là nhận được nhưng không để ý đến.

- Qua vụ này một lần nữa chúng ta lại thấy công tác xử lý truyền thông của các công ty trong nước là quá kém. Cũng giống như vụ con ruồi trong chai nước ngọt, họ luôn tìm cách đổ lỗi cho khách hàng và từ chối trách nhiệm của mình. Sau vụ này chắc chắn uy tín của VCB sẽ bị giảm sút, theo thói quen của người tiêu dùng VN, nhiều khách hàng sẽ chuyển sang ngân hàng khác mà thực ra họ cũng không biết có an toàn hơn VCB hay không

- An ninh mạng ở VN đang gặp vấn đề, có nhiều lỗ hổng về bảo mật hệ thống. Nếu một lúc nào đó những hacker từ TQ đồng loạt tấn công vào các hệ thống quan trọng và thực hiện các hành vi phá hoại, VN sẽ gặp nguy to. Việc các công ty cung cấp dịch vụ trên internet cho khách hàng nhưng không chỉ dẫn rõ ràng cho khách hàng đề phòng những nguy cơ rủi ro cũng là nguyên nhân dẫn đến tình trạng khách hàng bị hacker lừa đảo, như trường hợp của nạn nhân vừa kể ở trên.

Nếu không có smartOTP thì khả năng chị ý bị mất tiền là khó hơn nhiều chứ ah. Vì các ngân hàng khác chỉ gửi mã OTP lúc chuyển tiền, mã chỉ có hiệu lực vài phút và khi điền mã chuyển tiền thì ngay lập tức có sms báo bao nhiêu tiền đã được chuyển. Với những tin nhắn vu vơ nhiều người mụ mị không để ý có thể bỏ qua, nhưng với tin nhắn "100tr đã được chuyển..." có mà tỉnh cả người ấy cụ, lúc đó chị ấy có thể gọi cho ngân hàng yêu cầu tạm ngưng lệnh chuyển (thì làm sao bọn trộm lấy được). Có smartOTP, thì OTP còn có chức năng khác là kích hoạt cái stupidOTP chết tiệt đó, mà nạn nhân chả thể tỉnh được vì có dùng stupidOTP bao giờ đâu, sau đó bọn trộm chả cần làm gì chờ đến đêm lên lệnh chuyển tiền, lúc này vẫn có sms báo tiền được chuyển nhưng ngủ say rồi thì cảnh báo gì nữa.

 

[ORIJEANS]

Bạn này làm IT o NHNN mà nói 300tr là vcb đền bù thì mình thấy bạn có vấn đề về nghiep vu cua NHNN. 300tr này là chuyển liên ngân hàng qua cổng ngân hàng nhà nc. Cổng NHNN thì chỉ mở tu 8am-5pm. Ngoài h này NHNN đóng cổng. Do đó chị này khi p/anh voi VCB (trc 8am) thì tiền chưa ra khỏi hthong, vcb giữ lại đc, ko lien quan đến đền bù gì ở đây

Có 7 giao dịch, chuyển vào ban đêm hết cụ ạ, thế sao 300 lại ở lại còn 200 thì bị rút vậy cụ???

 

[Dũng Ốc]

Cụ nói rất đúng, đó phần quyền cho bộ phận giao dịch và lãnh đạo phê duyệt.
Còn nếu chọc vào core, chọc vào database thì tk cụ muốn bao nhiêu số 0 ngta cũng làm dc.
Cụ lưu ý: IT ở Chi nhánh và IT ở Trung tâm dữ liệu là phạm vi khác nhau nh lắm

Em nói luôn IT ở HO ấy, chứ IT chi nhánh thì có quyền gì đâu ngoài sửa chữa với cài đặt. Theo em được biết thì kể cả bộ phận core có chọc vào thì cũng vẫn phân quyền và phải được duyệt mới có hiệu lực.

 

[Lên]

Nếu không có smartOTP thì khả năng chị ý bị mất tiền là khó hơn nhiều chứ ah. Vì các ngân hàng khác chỉ gửi mã OTP lúc chuyển tiền, mã chỉ có hiệu lực vài phút và khi điền mã chuyển tiền thì ngay lập tức có sms báo bao nhiêu tiền đã được chuyển. Với những tin nhắn vu vơ nhiều người mụ mị không để ý có thể bỏ qua, nhưng với tin nhắn "100tr đã được chuyển..." có mà tỉnh cả người ấy cụ, lúc đó chị ấy có thể gọi cho ngân hàng yêu cầu tạm ngưng lệnh chuyển (thì làm sao bọn trộm lấy được). Có smartOTP, thì OTP còn có chức năng khác là kích hoạt cái stupidOTP chết tiệt đó, mà nạn nhân chả thể tỉnh được vì có dùng stupidOTP bao giờ đâu, sau đó bọn trộm chả cần làm gì chờ đến đêm lên lệnh chuyển tiền, lúc này vẫn có sms báo tiền được chuyển nhưng ngủ say rồi thì cảnh báo gì nữa.

Như e thấy việc chuyển tiền trên internet banking rất thuận tiện. Việc xảy ra lỗi này người dùng có thể do rất nhiều yếu tố tác động ngoại cảnh chứ không phải do phần mêm ngân hàng.

 

[ORIJEANS]

Như e thấy việc chuyển tiền trên internet banking rất thuận tiện. Việc xảy ra lỗi này người dùng có thể do rất nhiều yếu tố tác động ngoại cảnh chứ không phải do phần mêm ngân hàng.

Cụ đọc cái này chưa? https://www.facebook.com/nguyenngoclong1983/posts/688017584683667

 

[Khongdanhvong]

Như e thấy việc chuyển tiền trên internet banking rất thuận tiện. Việc xảy ra lỗi này người dùng có thể do rất nhiều yếu tố tác động ngoại cảnh chứ không phải do phần mêm ngân hàng.

Thì em dùng chuyển tiền các ngân hàng khác cũng tiện mà cụ, mất thêm bước xác nhận sms thôi, nhanh mà. Em không hiểu các cụ tiết kiệm được mấy giây khi dùng smartOTP thay cho smsOTP.

 

[Khongdanhvong]

Cụ đọc cái này chưa? https://www.facebook.com/nguyenngoclong1983/posts/688017584683667

Còn thêm được số đt nhận sms online nữa cơ ah? Ngân hàng gì mà sơ hở vậy.

 

[ORIJEANS]

Còn thêm được số đt nhận sms online nữa cơ ah? Ngân hàng gì mà sơ hở vậy.

Em cũng đợi làm rõ vụ này xem thế nào cụ ạ. Phát ngôn cá nhân nên cũng phải đợi check.

 

[difiho]

Sai ngay từ cái còm đầu tiên của cụ. Lịch sử ngành ngân hàng có duy nhất 1 vụ nhân viên IT ăn cắp được tiền của ngân hàng và đã được dựng thành phim. Giờ chuyện ấy không có nữa đâu cụ ạ.

Cụ hơi bị nhầm nhé. Có rất nhiều vụ nhé và vấn đề ngân hàng có công bố hay không thôi nhé

 

[Dũng Ốc]

Cụ hơi bị nhầm nhé. Có rất nhiều vụ nhé và vấn đề ngân hàng có công bố hay không thôi nhé

Nói chung chung thế thì chả ai kiểm chứng được. Mời cụ vào tranh luận dựa trên kỹ thuật cho nó rõ ràng phân định.

 

[QAZ]

Cho đến bây giờ thì có vẻ kẽ hở nằm ở SmartOTP

Nghe rất là buồn cười: Để đảm bảo an toàn, thì ngoài Username, password, người ta phải sinh ra thêm cái OTP, là mật_khẩu_dùng_1_lần. Cái này gửi qua SMS.
Để cho đơn giản (?!?!), lại đẻ ra cái SmartOTP, không cần dùng SMS kia nữa !
Nhưng để kích hoạt SmartOTP, lại cần một cái mã OTP mới gửi bằng SMS đến điện thoại.

Để kích hoạt SmartOTP trên 1 thiết bị mới, thì cần có OTP gửi về số điện thoại ban đầu đăng ký (ví dụ là số 1).

Nhưng vì 1 lý do nào đó (lỗi app), cái mã OTP lại gửi về luôn số đang cần chứng thực (số 2), thế là tèo.

Nôm na thế này: Chủ nhà có 1 cái chìa khóa gốc, đáng lẽ mỗi ai định đánh chìa mới thì thợ khóa phải hỏi chủ nhà, chủ nhà đồng ý mới được.

Đằng này thợ khóa nó lại đi hỏi mẹ thằng ăn trộm, có phải mài muốn đánh chìa không à cơ !