[Funland] Bàn luận về vụ 500tr chị Na Hương

[bntuan]

Em nói luôn IT ở HO ấy, chứ IT chi nhánh thì có quyền gì đâu ngoài sửa chữa với cài đặt. Theo em được biết thì kể cả bộ phận core có chọc vào thì cũng vẫn phân quyền và phải được duyệt mới có hiệu lực.

Thế cụ ko biết cái ng phân quyền cho phòng core đấy ah ?

 

[Dũng Ốc]

Thế cụ ko biết cái ng phân quyền cho phòng core đấy ah ?

Thôi cụ ạ, cụ nói thế thì em tin là cụ 8 năm làm IT bank rồi. Em thua
Em nhường cụ gocart vào tiếp chuyện cụ

 

[ung_dung_tu_tai]

Bạn này làm IT o NHNN mà nói 300tr là vcb đền bù thì mình thấy bạn có vấn đề về nghiep vu cua NHNN. 300tr này là chuyển liên ngân hàng qua cổng ngân hàng nhà nc. Cổng NHNN thì chỉ mở tu 8am-5pm. Ngoài h này NHNN đóng cổng. Do đó chị này khi p/anh voi VCB (trc 8am) thì tiền chưa ra khỏi hthong, vcb giữ lại đc, ko lien quan đến đền bù gì ở đây

không phải vấn đề về nghiệp vụ mà có mùi của auto chửi.
ec cần đọc và tìm hiểu sự việc. Chửi cái đã thì phải,

Ngày xưa thì ta thắng địch thua
Bây giờ thì dân là phải đúng. doanh nghiệp, nhà nước, cơ quan quản lý luôn sai.

 

[difiho]

Nói chung chung thế thì chả ai kiểm chứng được. Mời cụ vào tranh luận dựa trên kỹ thuật cho nó rõ ràng phân định.

Chỉ cần có một số quyền trên database thì có thể update thẳng vào core vì một số tài khoản database có quyền chỉnh sửa hệ thống để fix lỗi. Chưa kể một số GDV có thể nhìn trộm pass của KSV...

 

[Dũng Ốc]

Chỉ cần có một số quyền trên database thì có thể update thẳng vào core vì một số tài khoản database có quyền chỉnh sửa hệ thống để fix lỗi. Chưa kể một số GDV có thể nhìn trộm pass của KSV...

Chuyện GDV hay KSV có thể có pass của người khác thì em Ok với cụ. Nhưng đoạn xanh xanh kia cụ thể là cần mấy quyền ợ???

 

[VW Golf]

Có 2 thớt rồi mà cụ vẫn nghĩ thế là chưa đúng.
Chị H. này đang dùng Otp qua tin nhắn sms, bọn kia nó cài smart otp (là phần mềm tạo mã otp không cần ngân hàng gửi sms) trên máy của nó.
Chị kia vào web giả khai id/pass, bọn kia lấy cái thông tin đó đi kích hoạt phần mềm smart otp, nhân hàng gửi otp kích hoạt đến điện thoại đang đăng ký nhận sms otp, tức là máy chị H.. Ở bước này có ông long bảo vcb cho phép thêm số điện thoại nhận tin kích hoạt, cái này giờ chắc không ai confirm.
Tiếp theo, web giả phải có hiện cái ô nhập otp, chị H. mà nhập cái otp kích hoạt phần mềm thì xong phim vì từ nay máy có phần mềm kia chả cần tin nhắn vẫn chuyển khoản vô tư dựa vào xác nhận từ phần mềm smart otp đã kích hoạt.
Các suy luận ở đây toàn dựa trên báo cả, cái giao diện web đi lừa chỉ có chị kia biết, việc tin nhắn kích hoạt phần mềm, việc chị có gõ otp kích hoạt vào đâu không chỉ có chị biết, ca có thể biết.
Về phía em qua việc này tự thấy chưa đủ tuổi chơi giao dịch ảo, cứ xâu tiền xoắn cạp quần đi ra đường là xong, nhỡ mất ít ra còn được kêu giời, chứ giao dịch ảo thì giời cũng chả thạo

Các bác trình cao cãi nhau kinh quá, tôi dốt đek hiểu.
Đành tự luận như này, ko biết có đúng ko ạ:
Bằng cách nào đó, chị kia vào 1 trang web độc (mà cứ tưởng web xịn của VCB).
Và cung cấp đủ thông tin cần thiết lên đó.
Tên trang web này, VCB có cung cấp công khai (Link: http://docbao.vn/tin-tuc/14-08-2016/vu-khach-hang-vietcombank-mat-500-trieu-can-hieu-the-nao-cho-dung/30/384504).
Từ lúc đó trở đi, hacker được thừa nhận là Ms Hương, với đủ thông tin, đủ password, và tất nhiên, đủ quyền hạn ... . Câu hỏi chỉ là: Bao giờ nó chuyển tiền đi.

Tuy nhiên, cũng trong link , có thể hiện ""Tôi không biết mình có click vào link lạ như Vietcombank giải thích hay không nhưng rõ ràng tôi đã không cài app của ngân hàng trên điện thoại của mình”, chị Hương nói thêm.".
Đồng thời: "Tại buổi làm việc ngày hôm 11/8, khách hàng đã đồng ý sẽ cung cấp máy điện thoại có lưu đường link giả mạo để tiếp tục làm việc với cơ quan chức năng vào ngày 12/8 tuy nhiên ngày 12/8 khách hàng đã không thực hiện điều này."

Thế là như nào ạ??
Đành đợi các anh lều báo vậy.

 

[difiho]

Chuyện GDV hay KSV có thể có pass của người khác thì em Ok với cụ. Nhưng đoạn xanh xanh kia cụ thể là cần mấy quyền ợ???

Em ví dụ vui cho cụ quyền sysdba trên oracle database nhé. Còn cụ thể như sysdba nhưnào cụ tra nhé, nhiều quyền nhỏ hơn vẫn modify ầm ầm nhé. Just for fun

 

[bomon]

Tuy nhiên, cũng trong link , có thể hiện ""Tôi không biết mình có click vào link lạ như Vietcombank giải thích hay không nhưng rõ ràng tôi đã không cài app của ngân hàng trên điện thoại của mình”, chị Hương nói thêm.".
Đồng thời: "Tại buổi làm việc ngày hôm 11/8, khách hàng đã đồng ý sẽ cung cấp máy điện thoại có lưu đường link giả mạo để tiếp tục làm việc với cơ quan chức năng vào ngày 12/8 tuy nhiên ngày 12/8 khách hàng đã không thực hiện điều này."

Thế là như nào ạ??
Đành đợi các anh lều báo vậy.

Vấn đề mấu chốt trường hợp chị Hương là SMS OTP, chị có bị lừa hay không. Vì cái SmartOTP có thể xác nhận giao dịch không cần SMS OTP nữa, nhưng lần đầu kích hoạt nó vẫn cần một SMS OTP lần đầu với nội dung như thế này để xác nhận khách hàng đồng ý từ giờ cho phép SmartOTP xác nhận giao dịch không cần qua SMS OTP cho mỗi giao dịch nữa.

Quy khach dang yeu cau kich hoat VCB SmartOTP de giao dich tren VCB-iB@nking. LUU Y: QUY KHACH KHONG TIET LO MA KICH HOAT CHO NGUOI KHAC. Ma kich hoat la xxxx

Nếu chị Hương nhận được cái tin nhắn này mà cũng nhập mã kích hoạt đó vào một trang web giả mạo thì ở đây lỗi lớn hơn thuộc về chị Hương rồi. Giống như việc nhà có 2 cái khoá, chị giao cả 2 khoá cho trộm thì không đổ tại nhà sản xuất khoá được. Việc này có thể kiểm tra lại máy điện thoại của chị hoặc dữ liệu SMS nhà mạng trong trường hợp khách hàng không hợp tác/ xoá dấu vết.

 

[Dũng Ốc]

Em ví dụ vui cho cụ quyền sysdba trên oracle database nhé. Còn cụ thể như sysdba nhưnào cụ tra nhé, nhiều quyền nhỏ hơn vẫn modify ầm ầm nhé. Just for fun

Kekeke, những ai có được quyền sysdba vậy cụ?

 

[Bachsima]

Vấn đề mấu chốt trường hợp chị Hương là SMS OTP, chị có bị lừa hay không. Vì cái SmartOTP có thể xác nhận giao dịch không cần SMS OTP nữa, nhưng lần đầu kích hoạt nó vẫn cần một SMS OTP lần đầu với nội dung như thế này để xác nhận khách hàng đồng ý từ giờ cho phép SmartOTP xác nhận giao dịch không cần qua SMS OTP cho mỗi giao dịch nữa.

Quy khach dang yeu cau kich hoat VCB SmartOTP de giao dich tren VCB-iB@nking. LUU Y: QUY KHACH KHONG TIET LO MA KICH HOAT CHO NGUOI KHAC. Ma kich hoat la xxxx

Nếu chị Hương nhận được cái tin nhắn này mà cũng nhập mã kích hoạt đó vào một trang web giả mạo thì ở đây lỗi lớn hơn thuộc về chị Hương rồi. Giống như việc nhà có 2 cái khoá, chị giao cả 2 khoá cho trộm thì không đổ tại nhà sản xuất khoá được. Việc này có thể kiểm tra lại máy điện thoại của chị hoặc dữ liệu SMS nhà mạng trong trường hợp khách hàng không hợp tác/ xoá dấu vết.

Thì đấy, bây giờ ăn nhau là cái tin nhắn kích hoạt được ngân hàng gửi đi những đâu, về phía vcb và nhà mạng nhắn tin thừa khả năng xác định chuyện này.

 

[ORIJEANS]

Các bác trình cao cãi nhau kinh quá, tôi dốt đek hiểu.
Đành tự luận như này, ko biết có đúng ko ạ:
Bằng cách nào đó, chị kia vào 1 trang web độc (mà cứ tưởng web xịn của VCB).
Và cung cấp đủ thông tin cần thiết lên đó.
Tên trang web này, VCB có cung cấp công khai (Link: http://docbao.vn/tin-tuc/14-08-2016/vu-khach-hang-vietcombank-mat-500-trieu-can-hieu-the-nao-cho-dung/30/384504).
Từ lúc đó trở đi, hacker được thừa nhận là Ms Hương, với đủ thông tin, đủ password, và tất nhiên, đủ quyền hạn ... . Câu hỏi chỉ là: Bao giờ nó chuyển tiền đi.

Tuy nhiên, cũng trong link , có thể hiện ""Tôi không biết mình có click vào link lạ như Vietcombank giải thích hay không nhưng rõ ràng tôi đã không cài app của ngân hàng trên điện thoại của mình”, chị Hương nói thêm.".
Đồng thời: "Tại buổi làm việc ngày hôm 11/8, khách hàng đã đồng ý sẽ cung cấp máy điện thoại có lưu đường link giả mạo để tiếp tục làm việc với cơ quan chức năng vào ngày 12/8 tuy nhiên ngày 12/8 khách hàng đã không thực hiện điều này."

Thế là như nào ạ??
Đành đợi các anh lều báo vậy.

Về cơ bản các phishing thông thường chỉ lấy được user và pass cố định của chủ tài khoản. Việc này bị hack là k có gì khó hiểu.

Vấn đề mấu chốt còn lại hiện nay là smart otp đã bị hack như thế nào khi chủ tk cam kết rằng chị này không hề cài smart otp. Mấu chốt chỉ thế thôi cụ ạ. Nếu hack thì nó đã hack như thế nào???

 

[ORIJEANS]

Thì đấy, bây giờ ăn nhau là cái tin nhắn kích hoạt được ngân hàng gửi đi những đâu, về phía vcb và nhà mạng nhắn tin thừa khả năng xác định chuyện này.

Em sợ là VCB sai nên mới k công bố thông tin, chứ check cái này phút mốt là xong. Vụ việc vỡ lở từ sáng ngày 4, nay đã 14 rồi lão ạ.

Sợ nhất là tin kích hoạt này lại gửi đến số mobile khác k phải của chủ tk mới dị.

 

[VW Golf]

Về cơ bản các phishing thông thường chỉ lấy được user và pass cố định của chủ tài khoản. Việc này bị hack là k có gì khó hiểu.

Vấn đề mấu chốt còn lại hiện nay là smart otp đã bị hack như thế nào khi chủ tk cam kết rằng chị này không hề cài smart otp. Mấu chốt chỉ thế thôi cụ ạ. Nếu hack thì nó đã hack như thế nào???

Thế à, nghĩa là: Nếu bác ko cài đặt / chưa cài đặt app Smart OTP, thì bank nó sẽ ko gửi Password, vì tôi hiểu là gửi như thế cũng ko có tác dụng đek gì cả - ông đã mua khóa cửa đâu mà xin Chìa khóa.
Phải ko ạ?

Còn nó đã hack cái app Smart OTP thế nào thì đành nhờ các bác ở dưới. Các bác ở trên hình như chưa trả lời được.
Cũng như câu hỏi: Chẳng may con gà Na Hương có cài đặt app ấy thật, nhưng xóa đi để đổ lỗi cho VCB, có kiểm chứng được không ạ?

 

[ORIJEANS]

Thế à, nghĩa là: Nếu bác ko cài đặt / chưa cài đặt app Smart OTP, thì bank nó sẽ ko gửi Password, vì tôi hiểu là gửi như thế cũng ko có tác dụng đek gì cả - ông đã mua khóa cửa đâu mà xin Chìa khóa.
Phải ko ạ?

Còn nó đã hack cái app Smart OTP thế nào thì đành nhờ các bác ở dưới. Các bác ở trên hình như chưa trả lời được.
Cũng như câu hỏi: Chẳng may con gà Na Hương có cài đặt app ấy thật, nhưng xóa đi để đổ lỗi cho VCB, có kiểm chứng được không ạ?

Đúng rồi ạ. Nếu nhà mạng cung cấp thông tin là chả có sms nào về vụ đăng ký smart otp đến mobile của chị H thì có thể khẳng định là chị này chưa cài smart otp.

Còn app đã cài trên mobile rồi xóa đi thì check quá đơn giản ạ.

 

[cunglatruong]

E thấy chứng của vcb đang xuống cụ nào máu lướt kiếm trà đá thù xuống tiền này và luôn đi

 

[difiho]

Kekeke, những ai có được quyền sysdba vậy cụ?

. Có nơi thì cho 1 ông có, có nơi thì vài ông có. Có nơi 2 ông mỗi ông có 1/2. Có nơi cho vào két, nói chung tuỳ không cố định ai có thể có

 

[bomon]

Về cơ bản các phishing thông thường chỉ lấy được user và pass cố định của chủ tài khoản. Việc này bị hack là k có gì khó hiểu.

Vấn đề mấu chốt còn lại hiện nay là smart otp đã bị hack như thế nào khi chủ tk cam kết rằng chị này không hề cài smart otp. Mấu chốt chỉ thế thôi cụ ạ. Nếu hack thì nó đã hack như thế nào???

Cụ nhìn cài form ở trang giả mạo, có 1 ô nữa không có ở trang thật là OTP. Kịch bản là điền username, mật khẩu rồi bấm nút, kẻ tấn công dùng username và mật khẩu đó đăng ký với ngân hàng là muốn dùng SmartOTP [1], với số điện thoại chính chủ của chị Hương [2], điều này dẫn tới VCB hỏi lại chị Hương bằng 1 SMS tới số chính chủ như thế này
Quy khach dang yeu cau kich hoat VCB SmartOTP de giao dich tren VCB-iB@nking. LUU Y: QUY KHACH KHONG TIET LO MA KICH HOAT CHO NGUOI KHAC. Ma kich hoat la xxxx

Giả định chị không thèm đọc, cứ thấy OTP là điền vào cái form để sẵn của trang giả mạo, thì điều này đã khiến chị xác nhận cho phép một app mobile chứng thực theo số điện thoại của chị chạy trên 1 máy điện thoại của hacker [3]. Từ đó về sau app SmartOTP chạy trên điện thoại hacker có thể xác nhận giao dịch internet banking của chị Hương mà không cần quan tâm tới chị nữa. Dẫn tới mất tiền. Nếu giả định này là đúng thì lỗi lớn của chị Hương là đã quá gà mờ trong giao dịch, không thèm đọc nội dung SMS mà cứ điền OTP lung tung.

Tuy nhiên khi vụ việc nổi tiếng, nhiều người tập trung vào nó thì lại xuất hiện vài vấn đề trong quy trình SmartOTP này:
- Ở điểm [1], lẽ ra đăng ký thứ quan trọng như SmartOTP phải ra phòng giao dịch với nhân viên tư vấn đầy đủ về cách sử dụng an toàn và các nguy cơ, điều này VCB không làm, cho phép đăng ký online
- Ở điểm 2 [2] facebook nguyenngoclong có nói rằng anh ta đã từng thêm 1 số điện thoại khác chưa đăng ký với ngân hàng vào làm số xác nhận , wtf ? Cần kiểm chứng lại thông tin này
- Ở điểm [3] đây là điểm không an toàn khác của app SmartOTP, nó cho phép cấp quyền xác nhận cho vô số thiết bị khác, lẽ ra với vai trò thay cho token cứng nó chỉ nên cho phép đúng 1 thiết bị, và tất nhiên thiết bị này xác thực cùng với nhân viên ở phòng giao dịch chứ không thể online như vậy.
- Ngoài ra có thông tin nhóm vnsecurity phát hiện được điều gì đó hay ho trong nội tại ứng dùng Smart OTP, có khả năng khai thác, điều này cũng cần xác minh lại.

 

[Dũng Ốc]

. Có nơi thì cho 1 ông có, có nơi thì vài ông có. Có nơi 2 ông mỗi ông có 1/2. Có nơi cho vào két, nói chung tuỳ không cố định ai có thể có

Để hạn chế rủi ro, mỗi bank chỉ có 1 hoặc 2 cùng lắm là 3 ông có. Mà những ông này toàn tầm giám đốc/phó giám đốc CNTT. Cụ nghĩ khả năng những ông này can thiệp vào hệ thống để lấy 500 triệu không ạ? Hơn nữa những ông này hiểu hơn ai hết là không hề dễ nuốt số tiền đó.

 

[ORIJEANS]

Cụ nhìn cài form ở trang giả mạo, có 1 ô nữa không có ở trang thật là OTP. Kịch bản là điền username, mật khẩu rồi bấm nút, kẻ tấn công dùng username và mật khẩu đó đăng ký với ngân hàng là muốn dùng SmartOTP [1], với số điện thoại chính chủ của chị Hương [2], điều này dẫn tới VCB hỏi lại chị Hương bằng 1 SMS tới số chính chủ như thế này
Quy khach dang yeu cau kich hoat VCB SmartOTP de giao dich tren VCB-iB@nking. LUU Y: QUY KHACH KHONG TIET LO MA KICH HOAT CHO NGUOI KHAC. Ma kich hoat la xxxx

Giả định chị không thèm đọc, cứ thấy OTP là điền vào cái form để sẵn của trang giả mạo, thì điều này đã khiến chị xác nhận cho phép một app mobile chứng thực theo số điện thoại của chị chạy trên 1 máy điện thoại của hacker [3]. Từ đó về sau app SmartOTP chạy trên điện thoại hacker có thể xác nhận giao dịch internet banking của chị Hương mà không cần quan tâm tới chị nữa. Dẫn tới mất tiền. Nếu giả định này là đúng thì lỗi lớn của chị Hương là đã quá gà mờ trong giao dịch, không thèm đọc nội dung SMS mà cứ điền OTP lung tung.

Tuy nhiên khi vụ việc nổi tiếng, nhiều người tập trung vào nó thì lại xuất hiện vài vấn đề trong quy trình SmartOTP này:
- Ở điểm [1], lẽ ra đăng ký thứ quan trọng như SmartOTP phải ra phòng giao dịch với nhân viên tư vấn đầy đủ về cách sử dụng an toàn và các nguy cơ, điều này VCB không làm, cho phép đăng ký online
- Ở điểm 2 [2] facebook nguyenngoclong có nói rằng anh ta đã từng thêm 1 số điện thoại khác chưa đăng ký với ngân hàng vào làm số xác nhận , wtf ? Cần kiểm chứng lại thông tin này
- Ở điểm [3] đây là điểm không an toàn khác của app SmartOTP, nó cho phép cấp quyền xác nhận cho vô số thiết bị khác, lẽ ra với vai trò thay cho token cứng nó chỉ nên cho phép đúng 1 thiết bị, và tất nhiên thiết bị này xác thực cùng với nhân viên ở phòng giao dịch chứ không thể online như vậy.
- Ngoài ra có thông tin nhóm vnsecurity phát hiện được điều gì đó hay ho trong nội tại ứng dùng Smart OTP, có khả năng khai thác, điều này cũng cần xác minh lại.

Đoạn bôi đậm của cụ e cũng trình bày với lão Bachsima roài, và nhóm vnsecurity cũng đề cập là ở dạng kịch bản 1, tuy nhiên, theo cá nhân em, xác suất để chị này dính bẫy là rất thấp, vì nói chung em đọc nó vẫn có gì đó phi logic với người tỉnh táo 1 chút.

Còn 3 điểm của cụ, em đồng ý là cái smart otp này có vấn đề. Status của cụ Long có vẻ rất thuyết phục, còn đầy đủ bằng chứng. Em theo chủ nghĩa duy vật và hiện thực. Em tin.

 

[luot_song]

Đừng đổ oan cho IT ...