[Funland] Bàn luận về vụ 500tr chị Na Hương

[hakaraoke]

Em chẳng bao giờ để tiền trong TK, khi nào cần giao dịch thì mới ra NH nạp tiền, sau đó chuyển đi ngay nên chẳng bao giờ sợ mất

 

[ORIJEANS]

thực ra e nghĩ lỗi OTP -> SmartOTP đơn giản là kẽ hở để hacker lợi dụng (tivi đưa tin =>smartOTP giờ fai ra quầy vcb đky). HQua e xem hacker hack cả otp để trộm acc fb luôn k cần kh vào web giải mạo, haiz.

Hack cả tài khoản fb luôn á cụ??? Nó cũng bắt xác nhận qua mobile hoặc vào mail mà cụ???

 

[xecub49]

Em thấy suy nghĩ của cụ giống với quan điểm của VCB. Túm lại là giờ chị ý sẽ mất 200 tr ạ ? Một số tiền lớn.

Em cũng thấy đúng thế. Tiền của các cụ để trong két thì các cụ phải cảnh giác với bọn ăn cắp mã chứ cụ. Một phần do chính chủ thẻ thôi.
Em cũng dùng VCB nhưng sau tất cả các thao tác em đều thoát ra hết, ngay trên dt và PC của mình. Nếu có mất cũng không ai có thể mở được.

 

[VW Golf]

EM nghĩ cách giải thích này chuẩn rồi còn gì phải xác nhận nữa.

Vì các cụ đứng từ phía đã hiểu smartOTP nó có tác dụng gì, nhưng với những người chỉ chuyển tiền theo cách phổ biến của các ngân hàng như chị H, là gửi smsOTP thì chả bao giờ nghĩ có một thẳng smartOTP nó chỉ cần lấy được 1 OTP của mình là nó có thể chiếm toàn bộ quyền tài khoản và sau đó chuyển tiền bất ký lúc nào mà không cần sms xác nhận. Em cũng chẳng biết smartOTP làm được như thế vì em chưa bao giờ dùng smartOTP, em chỉ đơn giản là đăng nhập trên web, lên lệnh chuyển, nhận SMS OTP, điền OTP, ngay sau đó ngân hàng sẽ gửi SMS báo bao nhiêu tiền đã được chuyển (không có thông báo này là cũng phải gọi ngay cho ngân hàng rồi).

Nếu không có cái smartOTP (mà chị H chẳng có khái niệm gì vì có dùng nó đâu), nếu có mất một mã OTP thì bọn kia cũng chỉ dùng để chuyển tiền ngay lúc đó được thôi (mã chỉ có hiệu lực vài phút), và nếu nó dùng chuyển tiền thì đã có sms báo cho chị H ngay là bao nhiêu tiền đã chuyển, và chị H thấy bất thường ngay lập tức và đã có thể báo cho ngân hàng rồi.

Cái smsOTP nó trở nên vô dụng vì đã có smartOTP rồi ah.

Ba cái vụ OTP này, tôi tự nhận là gà, ko biết gì.
Tôi vẫn dùng SMS OTP, chỉ vì tôi thấy là nó độc lập, và do đó an toàn cao hơn (tôi dùng laptop và fone).
Tôi ko dùng smart fone, vì tôi thấy, dùng mọi thứ trên 1 device là ko an toàn, dù có cái lợi là nhanh hơn (bật điện thoại và bật laptop thôi).

Vfa từ giờ, tôi chỉ dùng độc lập như trên, cho nó lành, dù cái SMS OTP được cho là kém an toàn.

 

[one]

Kiểu này 2 hôm nay là ngày nghỉ, có thể VCB họ đang ém quân để sang ngày mai triển thôi cụ ạ.

Em vừa xem clip thời sự VTV thì C50 xác nhận là chị H có để lộ mã kích hoạt smartotp cho hacker, thế thì chịu rồi cụ ạ.

Cụ long đen khui ra lỗ hổng của VCB trong việc thêm số điện thoại nhận otp thì e nghĩ nó cũng vô tình thôi và có lẽ k liên quan đến vụ này.

Vâng, hai vụ thực ra không liên quan nhưng từ cách xử lý của VCB với vụ mợ H mà bạn Long kia mới ghét cái thái độ mà tung bằng chứng lỗ hổng kia lên. Bên FB bạn L đang có một số người có vẻ là nhân viên VCB vào comment hơi nhũn não. VCB mà không kịp thời kiểm soát thì các post bất lợi cho VCB chỉ đăng lên vì "ghét cái thái độ" sẽ còn tiếp tục xuất hiện và VCB sẽ càng lúc càng mệt. Thế em mới nói đây là case study hay với dân truyền thông.

 

[ORIJEANS]

Vâng, hai vụ thực ra không liên quan nhưng từ cách xử lý của VCB với vụ mợ H mà bạn Long kia mới ghét cái thái độ mà tung bằng chứng lỗ hổng kia lên. Bên FB bạn L đang có một số người có vẻ là nhân viên VCB vào comment hơi nhũn não. VCB mà không kịp thời kiểm soát thì các post bất lợi cho VCB chỉ đăng lên vì "ghét cái thái độ" sẽ còn tiếp tục xuất hiện và VCB sẽ càng lúc càng mệt. Thế em mới nói đây là case study hay với dân truyền thông.

Chuẩn cụ!

 

[dexom]

Thế cuối cùng là không dùng VCB nữa thì thôi.

 

[bugatti_hn]

Tóm lại một số ý cho các cụ dễ hiểu:

- Người dùng vào web giả ibanking vietcombank, qua đấy hacker lấy được user/pass ibanking;
- Có khả năng giao diện web bắt nhập key OTP luôn lúc đăng nhập user/pass, người dùng thật thà nhập vào và bị hacker kích hoạt tính năng Smart OTP;
- Đến lúc này hacker đã nắm được toàn quyền của tài khoản ibanking này, liên tục đăng nhập vào để kiểm tra số dư, lúc nào có nhiều tiền thì nó ck, xong.

Một số Ngân hàng bây giờ vẫn dùng thẻ mật mã dạng ma trận nên hacker khó hack hơn trường hợp dùng otp nhiều, trừ khi hacker được vào trung tâm thẻ của Ngân hàng, cái này thì khó.

 

[Hn07]

Mấy cái món công nghệ phức tạp . Nếu thấy nhức đầu quá em bảo lính nó tắt mịa cái server đi là tụi hacker nó khóc thét .

 

[dangduong]

Thế cuối cùng là không dùng VCB nữa thì thôi.

Cuối cùng là kiểu gì khách hàng cũng có lỗi, chỉ ít hay nhiều thôi. Nếu KH không lộ tên sd và pass thì không thể mất tiền.
Quy trình quản lý của NH, nhân sự của NH đều có thể có lỗi, không lúc này thì lúc khác, chưa bị khai thác lúc này thì bị lúc khác. Đặc biệt khi trình độ hắc ngày một cao.
Vậy thì chỉ sử dụng dịch vụ NH gì đấy khi thật sự có nhu cầu và tự bản thân phải cẩn thận trước tiên.
Trong vụ này em Na H có lỗi. Qua vụ này VCB cũng phát hiện có lỗ hổng trong quy trình. Và chúng ta rút ra bài học về sự cẩn trọng trước hết từ bản thân mình.

 

[Nhà Quê 2]

Thôi cụ ạ, cụ nói thế thì em tin là cụ 8 năm làm IT bank rồi. Em thua
Em nhường cụ gocart vào tiếp chuyện cụ

Bank NHNN nó khác cụ à.

 

[Khongdanhvong]

Ba cái vụ OTP này, tôi tự nhận là gà, ko biết gì.
Tôi vẫn dùng SMS OTP, chỉ vì tôi thấy là nó độc lập, và do đó an toàn cao hơn (tôi dùng laptop và fone).
Tôi ko dùng smart fone, vì tôi thấy, dùng mọi thứ trên 1 device là ko an toàn, dù có cái lợi là nhanh hơn (bật điện thoại và bật laptop thôi).

Vfa từ giờ, tôi chỉ dùng độc lập như trên, cho nó lành, dù cái SMS OTP được cho là kém an toàn.

Chị kia cũng chỉ dùng smsOTP mà cụ, nhưng rồi lại vô tình trở thành nạn nhân của smartOTP.

 

[bảo châu]

Khó hiểu nhỉ.
Bình thường VCB không cho ck khác ngân hàng vào ban tối, vậy mà tk chị này ck được vào giữa đêm? E nghĩ ko đơn giản là vào web giả mạo rồi hack tk VCB.
Chắc còn nhiều uẩn khúc phía sau mà dân thường chúng ta ko hiểu được. Đọc nhiều nhận định trên F ây của những người ko có chuyên môn, nắm rõ về công nghệ như diễn viên, ca sĩ, nhà báo...mà phán như đúng rồi, người thì đổ hết cho khách hàng, người thì đổ hết cho NH cũng thấy buồn cười.

 

[tratida]

Mấy cái món công nghệ phức tạp . Nếu thấy nhức đầu quá em bảo lính nó tắt mịa cái server đi là tụi hacker nó khóc thét .

. Em đang yêu cầu đơn giản tắt hết hệ thống trong thời gian nhỏ hơn 5 phút mà khó phết cụ ạ.

 

[tratida]

Ba cái vụ OTP này, tôi tự nhận là gà, ko biết gì.
Tôi vẫn dùng SMS OTP, chỉ vì tôi thấy là nó độc lập, và do đó an toàn cao hơn (tôi dùng laptop và fone).
Tôi ko dùng smart fone, vì tôi thấy, dùng mọi thứ trên 1 device là ko an toàn, dù có cái lợi là nhanh hơn (bật điện thoại và bật laptop thôi).

Vfa từ giờ, tôi chỉ dùng độc lập như trên, cho nó lành, dù cái SMS OTP được cho là kém an toàn.

Cụ thật thông thái. Smart là cái tên hoa mỹ để bypass (bỏ qua) 1 đường xác thực độc lập khác. Khi bị lừa giả mạo (man-in-the-middle) thì 2 đường sẽ khó lừa hơn 1 đường.

 

[Dũng Ốc]

Bank NHNN nó khác cụ à.

Khác như nào cụ?

 

[vt2phuc]

300 kia là chuyển liên ngân hàng ngoài giờ (sau 14h30 sẽ giữ lại tới hôm sau mới chuyển đi) ngân hàng em dùng là thế. Tiền càng lớn càng delay để xét duyẹt. Vì thế a vcb phong tỏa kịp sau khi có thông tin, và back lại cho khổ chủ. Ko gọi là vcb đền kh đc. Cái này vcb đã công báo rồi mà. Còn lại rút ngoài atm e nghĩ là mất.

 

[VW Golf]

Cụ thật thông thái. Smart là cái tên hoa mỹ để bypass (bỏ qua) 1 đường xác thực độc lập khác. Khi bị lừa giả mạo (man-in-the-middle) thì 2 đường sẽ khó lừa hơn 1 đường.

Thông thái cái khỉ gì.
Khi gọi cho 1 em ở ngân hàng khác, em ấy bẩu Đăng ký Smart gì đó, thì anh có thể chuyển khoản ngay trên smart fone.
Tôi từ chối ngay, mà chưa kịp & ko buồn hiểu nó là cái gì.

Còn 1 bank khác thì nó có cái token key, khủng khiếp hơn cái này nhiều, rất phức tạp để Đăng nhập và chuyển khoản.
Với 1 khoản đủ to (300K thì phải), nó còn gọi điện lại xác nhận.

 

[mrvung]

Ko biết có liên quan gì ko, vì mốc thời gian ko chuẩn! Có lẽ là vụ 500tr này xảy ra sau...
Hôm qua có gặp ô a ở vcb. Gđ trung tâm an ninh vcb trước có nắm code rất quan trọng (e ngoài ngành nên k biết tên là gì), ăn đậm bị phát hiện => cơ cấu cho ngồi đọc báo nhưng ko chịu => gây sự cố hệ thống. Tưởng rằng ta đây no1, k ai dám động nào ngờ vcb nhờ cục an về...đã có gđ mới từ nhnn điều xuống.

Câu chuyện trên đã xảy ra, nhưng e k rõ mốc thời gian, nay đọc đc topic lày thấy có tý liên quan, cụ nào làm vcb có thể sẽ thấy tầm 8x % là thực tế nhẩy

 

[Bachsima]

Vâng, hai vụ thực ra không liên quan nhưng từ cách xử lý của VCB với vụ mợ H mà bạn Long kia mới ghét cái thái độ mà tung bằng chứng lỗ hổng kia lên. Bên FB bạn L đang có một số người có vẻ là nhân viên VCB vào comment hơi nhũn não. VCB mà không kịp thời kiểm soát thì các post bất lợi cho VCB chỉ đăng lên vì "ghét cái thái độ" sẽ còn tiếp tục xuất hiện và VCB sẽ càng lúc càng mệt. Thế em mới nói đây là case study hay với dân truyền thông.

Không phải không liên quan, nếu việc thêm số điện thoại nhận mã kích hoạt dễ thế thì anh Long đáng được thưởng vì giúp ngân hàng thấy được chỗ khuyết tật của hệ thống.
Néu chị H. làm lộ cả 2 lớp bảo mật thì chỉ biết tự trách mình. Và nếu hành vi này đã được xác thực thì sẽ dẫn đến câu hỏi to hơn là: Có cố ý không, mà em đoán bên ca chắc đã đặt dấu hỏi rồi. Họ đủ dữ liệu hơn bên chém gió như anh em mình mà.