- Biển số
- OF-392416
- Ngày cấp bằng
- 16/11/15
- Số km
- 3,635
- Động cơ
- 258,905 Mã lực
Thực ra mất có 200tr, chứ nó có rút hết được 500tr đâu, kể ra bọn báo cũng ghi tiêu đề láo.
Không có gì khó hiểu.Khó hiểu nhỉ.
Bình thường VCB không cho ck khác ngân hàng vào ban tối, vậy mà tk chị này ck được vào giữa đêm? E nghĩ ko đơn giản là vào web giả mạo rồi hack tk VCB.
Chắc còn nhiều uẩn khúc phía sau mà dân thường chúng ta ko hiểu được. Đọc nhiều nhận định trên F ây của những người ko có chuyên môn, nắm rõ về công nghệ như diễn viên, ca sĩ, nhà báo...mà phán như đúng rồi, người thì đổ hết cho khách hàng, người thì đổ hết cho NH cũng thấy buồn cười.
nếu là nhân viên phát triển trang web và có quyền access branch live, thì chôm cái db config là xong, mà cái này thì nó dùng cho web app nên khó lộ hơn. có điều forensic mấy cái này đơn giản nên e nghĩ ko có nv nào điên vậy. Có nơi thì cho 1 ông có, có nơi thì vài ông có. Có nơi 2 ông mỗi ông có 1/2. Có nơi cho vào két, nói chung tuỳ không cố định ai có thể có
Cách này cụ ghi làm em nhớ đến hồi ở "bển" cũng y chang như vậy (em sống ở một nước thuộc G7). Mỗi lần đăng nhập ngân hàng nó sẽ hỏi một số thứ mấy trong một dãy mật khẩu của mình. Như thế không bao giờ trùng nhau mỗi lần đăng nhập.1- Có 1 điểm yêu trong cách đánh Pass của ATM và Internetbanking truyền thống đó là Pass đều là 1 hàng số (dài từ 4-6 số đối với ATM) và dài đền 10 chữ (đối với Internetbanking), các Pass này sẽ được khách hàng đánh liên tục, không cách và đây là lỗ hổng nặng nề nhất của Pass truyền thống, các phần mềm Spy sẽ sao chép, copy được toàn bộ tài khoản của khách hàng khi đã biết được dãy số và chữ trên. Cách khắc phục hiệu quả là KHÔNG ĐÁNH PASS liên tục và thay vào đó đánh pass rời rạc, thay đổi liên tục mỗi lần đánh pass. Ví dụ pass là VIETINBANK, lần 1 sẽ bắt đánh pass số 2 3 5 7 là: I E I B, lần sau thay đổi là 2 3 5 8 là: I E I A. Tất cả các lần đăng nhập đều thay đổi, do vậy cùng 1 pass nhưng không bao giờ giống nhau tại các lần đăng nhập.
chuyển liên ngân hàng hình như là do nhân viên duyệt, từ giờ làm việc sáng, nhưng phải qua 1 bước thanh toán bù trừ tại ngân hàng nhà nước hình như sớm nhất là 9h hay sao đó. Phải qua đó vì thực tế là nó bù trừ giữa chuyển đi và chuyển lại giữa 2 ngân hàng với nhau, chứ không phải chuyển đúng số tiền đó.Không có gì khó hiểu.
4 lần chuyển khoản đầu tiên là chuyển từ thẻ sang thẻ (hình như do Smartlink chuyển mạch), có thể chuyển vào bất cứ thời điểm nào trong ngày.
3 lần chuyển liên ngân hàng đc thực hiện sau 5h sáng, đó là thời điểm hệ thống chuyển tiền của VCB hoạt động trở lại.
Thì đấy, bây giờ ăn nhau là cái tin nhắn kích hoạt được ngân hàng gửi đi những đâu, về phía vcb và nhà mạng nhắn tin thừa khả năng xác định chuyện này.
E cũng theo dõi vụ này trên mạng và được biết tin nhắn như trên đã gửi về máy chị Hương và đó là tn duy nhất. Hình ảnh log tn này đã đc công khai. Vấn đề còn lại là chị kia có nhập mã vào web giả k thì chỉ chị ấy biết.Vấn đề mấu chốt trường hợp chị Hương là SMS OTP, chị có bị lừa hay không. Vì cái SmartOTP có thể xác nhận giao dịch không cần SMS OTP nữa, nhưng lần đầu kích hoạt nó vẫn cần một SMS OTP lần đầu với nội dung như thế này để xác nhận khách hàng đồng ý từ giờ cho phép SmartOTP xác nhận giao dịch không cần qua SMS OTP cho mỗi giao dịch nữa.
Quy khach dang yeu cau kich hoat VCB SmartOTP de giao dich tren VCB-iB@nking. LUU Y: QUY KHACH KHONG TIET LO MA KICH HOAT CHO NGUOI KHAC. Ma kich hoat la xxxx
Nếu chị Hương nhận được cái tin nhắn này mà cũng nhập mã kích hoạt đó vào một trang web giả mạo thì ở đây lỗi lớn hơn thuộc về chị Hương rồi. Giống như việc nhà có 2 cái khoá, chị giao cả 2 khoá cho trộm thì không đổ tại nhà sản xuất khoá được. Việc này có thể kiểm tra lại máy điện thoại của chị hoặc dữ liệu SMS nhà mạng trong trường hợp khách hàng không hợp tác/ xoá dấu vết.
5h sáng là thời điểm mà hệ thống của VCB cho phép khách hàng thực hiện giao dịch liên ngân hàng qua Internet Banking, nhưng tất nhiên là tiền sẽ chỉ bị khoanh ở đó và chờ đến khi hệ thống liên ngân hàng thực hiện khớp lệnh thì mới được chuyển đi.chuyển liên ngân hàng hình như là do nhân viên duyệt, từ giờ làm việc sáng, nhưng phải qua 1 bước thanh toán bù trừ tại ngân hàng nhà nước hình như sớm nhất là 9h hay sao đó. Phải qua đó vì thực tế là nó bù trừ giữa chuyển đi và chuyển lại giữa 2 ngân hàng với nhau, chứ không phải chuyển đúng số tiền đó.
Có 1 vấn đề nữa là tại sao bọn lừa nó hiểu rõ hệ thống ngân hàng vậy nhưng nó không chuyển hết vào thẻ và rút ở Malaysia mà chỉ chuyển có 200 triệu?
Không phải Giám đốc trung tâm an ninh, mà là giám đốc trung tâm công nghệ cụ ạKo biết có liên quan gì ko, vì mốc thời gian ko chuẩn! Có lẽ là vụ 500tr này xảy ra sau...
Hôm qua có gặp ô a ở vcb. Gđ trung tâm an ninh vcb trước có nắm code rất quan trọng (e ngoài ngành nên k biết tên là gì), ăn đậm bị phát hiện => cơ cấu cho ngồi đọc báo nhưng ko chịu => gây sự cố hệ thống. Tưởng rằng ta đây no1, k ai dám động nào ngờ vcb nhờ cục an về...đã có gđ mới từ nhnn điều xuống.
Câu chuyện trên đã xảy ra, nhưng e k rõ mốc thời gian, nay đọc đc topic lày thấy có tý liên quan, cụ nào làm vcb có thể sẽ thấy tầm 8x % là thực tế nhẩy
Chả có ông IT điên nào đi ăn cắp tiền bằng cách sửa số dư thẳng ở trong DB cả. Chạy cuối ngày nó lòi ra ngay lập tức vì nó ko thể lên đc cân đối tài khoảnChỉ cần có một số quyền trên database thì có thể update thẳng vào core vì một số tài khoản database có quyền chỉnh sửa hệ thống để fix lỗi. Chưa kể một số GDV có thể nhìn trộm pass của KSV...
Điều mấy cụ ở NHNN xuống cũng hay, chỉ biết chém gió nên gây hại có giới hạnKo biết có liên quan gì ko, vì mốc thời gian ko chuẩn! Có lẽ là vụ 500tr này xảy ra sau...
Hôm qua có gặp ô a ở vcb. Gđ trung tâm an ninh vcb trước có nắm code rất quan trọng (e ngoài ngành nên k biết tên là gì), ăn đậm bị phát hiện => cơ cấu cho ngồi đọc báo nhưng ko chịu => gây sự cố hệ thống. Tưởng rằng ta đây no1, k ai dám động nào ngờ vcb nhờ cục an về...đã có gđ mới từ nhnn điều xuống.
Câu chuyện trên đã xảy ra, nhưng e k rõ mốc thời gian, nay đọc đc topic lày thấy có tý liên quan, cụ nào làm vcb có thể sẽ thấy tầm 8x % là thực tế nhẩy
Chuẩn rồi cụ, mà sau vụ chị Na Hương này là VCB cho update toan bộ App OTP luôn kể cũng lạ, không có lỗi tự vá làm gì?khách hàng vào trang web giả không có nghĩa là trang web đó đã ăn cắp tiền. chưa điều tra gì mà VCB đã gán ngay lỗi cho khách hàng là không chuẩn.
Bủ mợ em đăng kí cái Momo đó rồi. Nhưng tài khoản của em chả có xiền nên ko lo.Thế nên hôm trc có mấy bạn vô rủ rê đăng kí cái ví điện tử mumu hay momo gì đó em thấy hãi ngay.
Nếu đền cả thì khác gì lậy ông tôi ở bụi này, uy tín tụt đến đâu?Bóng bánh nợ nần bảo mật mấy thì vẫn có người đc quyền can thiệp.
Mấy cái app vớ vẩn đều do Con ông cháu cha viết nên bảo mật cực kém, ngân hàng tạm đền 300tr chắc có lý do, 200tr ko phải quá lớn để họ ko đền nốt
- Truyền thông họ phải viết theo cái họ dc trả tiền nên ko thể khác dc.- Qua vụ này một lần nữa chúng ta lại thấy công tác xử lý truyền thông của các công ty trong nước là quá kém. Cũng giống như vụ con ruồi trong chai nước ngọt, họ luôn tìm cách đổ lỗi cho khách hàng và từ chối trách nhiệm của mình. Sau vụ này chắc chắn uy tín của VCB sẽ bị giảm sút, theo thói quen của người tiêu dùng VN, nhiều khách hàng sẽ chuyển sang ngân hàng khác mà thực ra họ cũng không biết có an toàn hơn VCB hay không
Theo em đọc thì nhóm lệnh chuyển tiền của c Hương kia chia hai nhóm: 1 chuyển tài khoản và 2: chuyển thẻ. chuyẻn thẻ đến thẻ thì ăn ngay không qua bù trừ đối soát liên ngân hàng... j cả. 200tr đã mất là do hacker chuyển thẻ đến thẻ. 300tr còn lại là do NH nhận phải chờ VCB verify trên hệ thống.E hiện đang làm IT ở Trung tâm dữ liệu của 1 ngân hàng nhà nước nên e có thể chia sẻ với cụ theo sự hiểu biết của em ntn:
1. Anh vcb đã thực hiện đền bù 1 phần (300tr). Chứng tỏ có sự nhầm lẫn, sai sót trong nội bộ vcb. (Trường hợp ko do lỗi của vcb thì còn lâu ngta mới đền bù cho khách hàng. Số tiền mà cụ nghĩ vcb chịu thiệt để giữ uy tín thương hiệu..... nhta sẽ rót vào truyền thông, tranh thủ giải thích và quảng cáo thương hiệu của mình...)
2. Việc fake web, ăn trộm pass, đổi số đt giao dịch đc thực hiện trót lọt hết thì xác suất thực hiện rất khó. Nếu làm dc thì chỉ có ng thân của nạn nhân mới thực hiện đổi sđt đc.
3. Với cán bộ IT làm ở corebank của vcb, chắn chắn sẽ có một số cá nhân có đủ quyền chọc vào thực hiện các giao dịch bốc tiền từ tk này sang tk khác mà ko cần cung cấp opt hay cái gì cả (đương nhiên là nếu cán bộ IT đó là ng xấu hoặc bị nợ nần gì đó nên làm bậy).
Sau khi thực hiện xong, sms báo số dư mới đc gửi về cho nạn nhân
4. Toàn bộ giao dịch đều đc thực hiện trong đêm, lúc nạn nhân đi ngủ để tránh bị phát hiện khi sms báo số dư gửi về.
Do vậy, e nghĩ có nh khả năng ở ý 3 nhất. Cụ thể ntn, vài bữa nữa xem anh vcb thông báo
Em thấy cụ phán chuẩnE hiện đang làm IT ở Trung tâm dữ liệu của 1 ngân hàng nhà nước nên e có thể chia sẻ với cụ theo sự hiểu biết của em ntn:
1. Anh vcb đã thực hiện đền bù 1 phần (300tr). Chứng tỏ có sự nhầm lẫn, sai sót trong nội bộ vcb. (Trường hợp ko do lỗi của vcb thì còn lâu ngta mới đền bù cho khách hàng. Số tiền mà cụ nghĩ vcb chịu thiệt để giữ uy tín thương hiệu..... nhta sẽ rót vào truyền thông, tranh thủ giải thích và quảng cáo thương hiệu của mình...)
2. Việc fake web, ăn trộm pass, đổi số đt giao dịch đc thực hiện trót lọt hết thì xác suất thực hiện rất khó. Nếu làm dc thì chỉ có ng thân của nạn nhân mới thực hiện đổi sđt đc.
3. Với cán bộ IT làm ở corebank của vcb, chắn chắn sẽ có một số cá nhân có đủ quyền chọc vào thực hiện các giao dịch bốc tiền từ tk này sang tk khác mà ko cần cung cấp opt hay cái gì cả (đương nhiên là nếu cán bộ IT đó là ng xấu hoặc bị nợ nần gì đó nên làm bậy).
Sau khi thực hiện xong, sms báo số dư mới đc gửi về cho nạn nhân
4. Toàn bộ giao dịch đều đc thực hiện trong đêm, lúc nạn nhân đi ngủ để tránh bị phát hiện khi sms báo số dư gửi về.
Do vậy, e nghĩ có nh khả năng ở ý 3 nhất. Cụ thể ntn, vài bữa nữa xem anh vcb thông báo
Tôi có nghe về những bước bảo mật như vậy, nhưng chỉ áp dụng cho: Các khách hàng VIP và các khoản chuyển to tiền.Cách này cụ ghi làm em nhớ đến hồi ở "bển" cũng y chang như vậy (em sống ở một nước thuộc G7). Mỗi lần đăng nhập ngân hàng nó sẽ hỏi một số thứ mấy trong một dãy mật khẩu của mình. Như thế không bao giờ trùng nhau mỗi lần đăng nhập.
Mà hệ thống của NH sẽ tự động gọi điện hỏi và mình phải nghe điện thoại và ngồi trước màn hình máy tính thì mới nhập được vào. Không có nhắn tin như mình.
Em nghĩ nếu ngân hàng ở VN mình sao không làm như người ta nhỉ? Bảo mật hơn hẳn.