[Funland] Cảnh báo về việc mất tiền thông qua internet banking

RPG-7

Xe đạp
Biển số
OF-63011
Ngày cấp bằng
29/4/10
Số km
36
Động cơ
439,260 Mã lực
Theo em biết OPT do trung gian gửi đến khách hàng.
Khi có lệch chuyển tiền từ khách hàng, Bank sẽ xác nhận chính chủ qua trung gian, trung gian sẽ gửi OPT cho khách.
Bank sẽ hoàn tất bước cuối chuyển tiền, khi khách hàng Resent mã OPT mà hệ thống Banks xác nhận trùng với mã OPT của trung gian của giao dịch đó.

Mã này kể cả NV banks tóm được trong khoảnh khắc đó cũng trả làm gì được.
Nó cũng gần giống như các thông tin bảo mật các loại khác.
Nó là tập hợp các mã, các thuật toán... Và chỉ được giải mã khi đến đầu cuổi thiết bị của khách hàng. Nó dùng 1 lần, trong đơn vị thời gian cực ngắn. Nếu nhân viên Banks tóm được và ngồi giải mã, mó cũng mất tác dụng.
Cái trò OTP này bác cứ coi như có 1 chú ngồi xé đôi 1 tờ tiền giấy, giao cho chủ tk 1 nửa tờ, giao cho internet banking nửa tờ, ông Cuckoo trình ra nửa tờ, thấy khớp thì xuất tiền. Thường thì ngân hàng ngồi xé, ở việt nam hình như chưa có ông trung gian ngồi xé hộ đâu. Sợ trách nhiệm mà. Còn vụ mã maz, băm băm tránh lộ nửa tờ kia thì để forum khác nó hầu bác, em chịu.
Ở đây, chuyện sau khi xé, ai đó photo nửa tờ tiền của chủ tk vẫn có cơ hội xảy ra. Thế nó mới cần thêm yếu tố xác thực nữa.
 

maianh2004

Xe tải
Biển số
OF-133986
Ngày cấp bằng
10/3/12
Số km
463
Động cơ
375,420 Mã lực
Theo em biết OPT do trung gian gửi đến khách hàng.
Khi có lệch chuyển tiền từ khách hàng, Bank sẽ xác nhận chính chủ qua trung gian, trung gian sẽ gửi OPT cho khách.
Bank sẽ hoàn tất bước cuối chuyển tiền, khi khách hàng Resent mã OPT mà hệ thống Banks xác nhận trùng với mã OPT của trung gian của giao dịch đó.

Mã này kể cả NV banks tóm được trong khoảnh khắc đó cũng trả làm gì được.
Nó cũng gần giống như các thông tin bảo mật các loại khác.
Nó là tập hợp các mã, các thuật toán... Và chỉ được giải mã khi đến đầu cuổi thiết bị của khách hàng. Nó dùng 1 lần, trong đơn vị thời gian cực ngắn. Nếu nhân viên Banks tóm được và ngồi giải mã, mó cũng mất tác dụng.
Vâng em cũng nghĩ như bác này ạ, mà em còn thấy, server có khi ở nhiều nơi, nhân viên bank cũng biết server nào tạo ra OTP nữa ấy chứ :D, ông viết chương trình lần mãi mới ra đựơc chứ đừng nói đến ông quản lý.
 

Matizcoi

Xe cút kít
Biển số
OF-30934
Ngày cấp bằng
10/3/09
Số km
19,481
Động cơ
-164,732 Mã lực
Người khôn thì ăn cướp cũng khôn lên chứ ....
 

anchibui

Xe điện
Biển số
OF-40829
Ngày cấp bằng
16/7/09
Số km
3,416
Động cơ
499,071 Mã lực
Cái trò OTP này bác cứ coi như có 1 chú ngồi xé đôi 1 tờ tiền giấy, giao cho chủ tk 1 nửa tờ, giao cho internet banking nửa tờ, ông Cuckoo trình ra nửa tờ, thấy khớp thì xuất tiền. Thường thì ngân hàng ngồi xé, ở việt nam hình như chưa có ông trung gian ngồi xé hộ đâu. Sợ trách nhiệm mà. Còn vụ mã maz, băm băm tránh lộ nửa tờ kia thì để forum khác nó hầu bác, em chịu.
Ở đây, chuyện sau khi xé, ai đó photo nửa tờ tiền của chủ tk vẫn có cơ hội xảy ra. Thế nó mới cần thêm yếu tố xác thực nữa.
OTP thì có thể qua trung gian, và cũng có thể Banks cấp, cả 2 đợn vị đó đều cung cấp OTP được nếu người xây dựng thiết kế InternetB@nking làm từ đầu chọn lựa.
Nhưng theo em để trung gian làm thì an toàn hơn, vì NV banks không mò được, mà trung gian có trong tay OTP cũng ko rút được tiền.
Ở Việt Nam em ko biết banks tự làm OTP hay trung gian làm.
Nhưng trung gian ăn "phế" họ phải có trách nhiệm chứ.
Vietell, vina, mobifone... chỉ là thiết bị đầu cuối lấy "Key OTP" mà người dùng đã đăng ký, chứ ko phải trung gian như bác đặt câu hỏi ở spam trên. Có thể thay thế = tocken (mất tiền mua).
Trung gian là 1 dạng như kiểu công chứng, xác thực các giao dịch được thực hiện bởi chính chủ tài khoản. Chứ ko chỉ là liên kết các giao dịch.
 
Chỉnh sửa bởi quản trị viên:

conversehn

Xe tăng
Biển số
OF-69999
Ngày cấp bằng
6/6/06
Số km
1,019
Động cơ
591,658 Mã lực
Em vừa Test & xác nhận MSB không bắt buộc phải login IB khi Thanh toán online
MB bỏ qua 1 lớp xác thực khá quan trọng & đã bị khai thác nếu kẻ gian cướp được sim khổ chủ
 

dangphuong

Xe buýt
Biển số
OF-88718
Ngày cấp bằng
16/3/11
Số km
520
Động cơ
411,938 Mã lực
thêm 1 vụ nữa và số tiền bị mất thì còn gấp đôi cụ Hải . :-<
chắc mai e cũng rút sạch thẻ ra mất .
 

lifeap

Xe đạp
Biển số
OF-86034
Ngày cấp bằng
21/2/11
Số km
12
Động cơ
409,220 Mã lực
Xác nhận là vợ em làm Dong A và em vẫn sài thường xuyên dong a bắt nhập IB và mã trên mobi( 2 lần bảo mật). Kể cả mất sim cũng ko phải lo :)
 

Soleilvn

Xe tải
Biển số
OF-174195
Ngày cấp bằng
29/12/12
Số km
413
Động cơ
345,520 Mã lực
Hic, vụ thứ hai thiệt hại còn nặng hơn gấp đôi. Thực sự tin đây là tội phạm có tổ chức, trình độ cao, nắm rất rõ các kẽ hở, sự lỏng lẻo trong hệ thống quản lý, kiểm soát.
Lại quay lại thời kỳ đồ...sắt thoai, xiền mặt mà phang.
Hoang mang quá.
 

lifeap

Xe đạp
Biển số
OF-86034
Ngày cấp bằng
21/2/11
Số km
12
Động cơ
409,220 Mã lực
Nói chung hiện tại em sài VCB cũng như DongA thì có bảo mật 2 lần ạ, còn bên Maritime bank chỉ cần sms qua mobi là chuyển đc ngay, chủ topic đen quá.
 

Nine

Xe điện
Biển số
OF-40292
Ngày cấp bằng
11/7/09
Số km
2,509
Động cơ
495,096 Mã lực
Túm lại là không chơi được với anh Marintime bank rồi. May quá hồi trước em gửi TK ở đấy chúng nó cứ gạ mở TK cá nhân nhưng em ko chơi :)
 

Cúc cù cu

Xe điện
Biển số
OF-162903
Ngày cấp bằng
24/10/12
Số km
2,471
Động cơ
370,614 Mã lực
Nơi ở
ngọn đa
Túm lại là không chơi được với anh Marintime bank rồi. May quá hồi trước em gửi TK ở đấy chúng nó cứ gạ mở TK cá nhân nhưng em ko chơi :)
Cụ nói thế này thì thằng MB chắc toi ối khách hàng, mai lại có nườm nượp khách hàng đăng ký mới DA và VC thì tự dưng anh em ta quảng cáo không công cho hai ông đấy rồi :D
 

Nine

Xe điện
Biển số
OF-40292
Ngày cấp bằng
11/7/09
Số km
2,509
Động cơ
495,096 Mã lực
Cụ nói thế này thì thằng MB chắc toi ối khách hàng, mai lại có nườm nượp khách hàng đăng ký mới DA và VC thì tự dưng anh em ta quảng cáo không công cho hai ông đấy rồi :D
Nếu là cụ thì cụ có dám dùng dv của MSB nữa ko :)
 

B30TT9

Xe tải
Biển số
OF-133900
Ngày cấp bằng
9/3/12
Số km
351
Động cơ
374,307 Mã lực
Cho kẹo em cũng ko dùng nữa!
 

anchibui

Xe điện
Biển số
OF-40829
Ngày cấp bằng
16/7/09
Số km
3,416
Động cơ
499,071 Mã lực
Cho kẹo em cũng ko dùng nữa!
Em dùng VietCombank gửi OTP tới = Mobi, và ANZ => = tocken.
Cả 2 dùng thường xuyên và ko có vấn đề gì.
2 hãng này mua hàng online ngoài OTP vẫn phải add usename & pass.
Thực ra quá tiện lợi với những người hay phải giao dịch.
Có cái lăn tăn lài cái thẻ VISAdebit, mua hangf hay thanh toán chỉ cần quẹt 1 cái là ok. Chẳng cần pass hay name gì. Mất thẻ hay mình để thẻ sơ sểnh... Thằng nào vớ được mua hangf tẹt ga... Mà ko có dấu để try vết.
 

Bố thắng

Xe đạp
Biển số
OF-202689
Ngày cấp bằng
18/7/13
Số km
15
Động cơ
321,450 Mã lực
E thấy bác nói có lý, nếu như kẻ cướp sim lấy dùng vào mục đích chính trị, *********, chửi chính quyền thì mình phải đi tù như bác hậu duệ của nhà thơ...đó mất à?
em vẫn thấy cái nguồn cơn là ở VT
so sánh giữa "sim-thanh toán Internet Banking" cũng chỉ như "điện thoại-dịch vụ VT"
VT chỉ cung cấp đường truyền thuê bao, còn người sử dụng phải chịu trách về nhiệm về sử dụng ở thiết bị đầu cuối
nếu mất điện thoại, để cho đứa lấy được nó mang ra gọi buôn dưa ra nước ngoài thì cước vẫn là người thuê bao chịu chứ ai chửi được VT không để pass hay chế độ bảo vệ cái gì
lại quay về vấn đề để kẻ khác lấy sim
nó mới lấy vài chục tr thì còn đơn giản
nếu nó lấy cái sim đó sms 1 cái tin nhắn cho vợ 1 cái tin đòi li dị, hoặc sms hoang báo cho người thân dọa đang đi tự tử chẳng hạn thì chả loạn à, hoặc nó tương loạn vào 113, 114, 115, gọi nhắn tin khủng bố đe dọa, chửi bới quan chức lãnh đạo tới lúc lấy được cái sim về thì cũng nát xác với cơ quan điều tra luôn chứ còn gì mà thanh minh thanh nga hay kiện cáo cái gì nữa
 

Tám đỏ

Xe hơi
Biển số
OF-201618
Ngày cấp bằng
11/7/13
Số km
146
Động cơ
323,430 Mã lực
Có cái lăn tăn lài cái thẻ VISAdebit, mua hangf hay thanh toán chỉ cần quẹt 1 cái là ok. Chẳng cần pass hay name gì. Mất thẻ hay mình để thẻ sơ sểnh... Thằng nào vớ được mua hangf tẹt ga... Mà ko có dấu để try vết.
Chỉ cần nó chép được cái thông tin trên thẻ của cụ là nó có thể ngồi rung đùi mua sắm thả ga luôn, thỉnh thoảng em thanh toán bằng thẻ tại nhà hàng, lúc đó tây tây rồi cứ đưa thẻ cho thằng nhân viên nó mang đi quẹt, giờ nghĩ lại cũng thấy mất cảnh giác.
 

anchibui

Xe điện
Biển số
OF-40829
Ngày cấp bằng
16/7/09
Số km
3,416
Động cơ
499,071 Mã lực
Chỉ cần nó chép được cái thông tin trên thẻ của cụ là nó có thể ngồi rung đùi mua sắm thả ga luôn, thỉnh thoảng em thanh toán bằng thẻ tại nhà hàng, lúc đó tây tây rồi cứ đưa thẻ cho thằng nhân viên nó mang đi quẹt, giờ nghĩ lại cũng thấy mất cảnh giác.
Em đọc báo thấy ở Tây và cả châu Á bọn sao chép trộm Visa nó lắp một thiết bị rất nhỏ vào cái khe đút thẻ ở cái máy ATM để sao chép thẻ. Sau đó bán thẻ đó cho 1 bọn chuyên mua.
Ở mình chưa thấy bọn nó làm cái này.
Thẻ này có cái nguy hiểm hơn thẻ ATM là ko có tiền trong tài khoản vẫn được phép tiêu dùng mua sắm (tùy hạn mức được đăng ký)
 

RPG-7

Xe đạp
Biển số
OF-63011
Ngày cấp bằng
29/4/10
Số km
36
Động cơ
439,260 Mã lực
OTP thì có thể qua trung gian, và cũng có thể Banks cấp, cả 2 đợn vị đó đều cung cấp OTP được nếu người xây dựng thiết kế InternetB@nking làm từ đầu chọn lựa.
Nhưng theo em để trung gian làm thì an toàn hơn, vì NV banks không mò được, mà trung gian có trong tay OTP cũng ko rút được tiền.
Ở Việt Nam em ko biết banks tự làm OTP hay trung gian làm.
Nhưng trung gian ăn "phế" họ phải có trách nhiệm chứ.
Vietell, vina, mobifone... chỉ là thiết bị đầu cuối lấy "Key OTP" mà người dùng đã đăng ký, chứ ko phải trung gian như bác đặt câu hỏi ở spam trên. Có thể thay thế = tocken (mất tiền mua).
Trung gian là 1 dạng như kiểu công chứng, xác thực các giao dịch được thực hiện bởi chính chủ tài khoản. Chứ ko chỉ là liên kết các giao dịch.
Thứ nhất, bác đừng nói em spam, em mới viết có mấy bài. He he
Thứ hai, chuyện lấy một ông trung gian thì vẫn thế, vẫn lộ. Quan trọng ở đây là giảm trung gian, tăng độ chịu trách nhiệm. Chứ đẻ ra ông xé tiền làm otp, ăn phế, lúc mất tiền ông ấy có đứng ra đền kô. Hay đổ lỗi vòng quanh?
 

namcuifTài khoản đã xác minh

OF vì cộng đồng
Biển số
OF-8687
Ngày cấp bằng
21/8/07
Số km
1,234
Động cơ
551,231 Mã lực
vì Ngân hàng tự sinh ra OTP, tự gửi OTP cho bác, sau đó họ lại kiểm tra chính cái OTP đó và quyết định chuyển tiền ra khỏi túi bác !!!!! nếu em là nhân viên xấu của NH, em cứ ngồi chờ bác có độ vài tỷ, em gõ luôn cái OTP mà con server nó vừa gửi bác, thì em múc tiền ngay, mà bác chẳng cãi được, vì OTP vẫn đến sim của bác.




bác No nick không biết rồi :-h, OTP là do máy chủ Ngân hàng sinh ra, rồi gửi qua VT nhé (không phải trung gian VT, không phải trung gian SLink sinh ra OTP đâu), nên cái đo đỏ kia là "khả thi" (nhưng tất nhiên không dễ làm đâu bác). Ở đây em chỉ chứng minh nguyên tắc sơ đẳng của xác thực 2 yếu tố (2FA- Two Factor Authentication) bị vi phạm: là đang bị thiếu 1 yếu tố "chỉ có mỗi chủ tài khoản biết", vì yếu tố OTP do NH sinh ra, truyền đến bác Cokoo đi qua quá nhiều trung gian, nên có thể bị bọn gian nó múc mất giữa đường
Bác này nói chuẩn đấy, iBanking dùng SMS nhắn tin hay là token đều là xác thực người dùng 2 yếu tố, dựa trên cái bạn biết và cái bạn có. Cái bạn biết là username và password, cái bạn có là số điện thoại. Ông này bị mất cả hai thì nói luôn là bị soi rồi, chứ bình thường ko thể trộm tiền nhanh thế được đâu. Cái mã truy cập NH gửi SMS cũng luôn là ngẫu nhiên, do hệ thống sinh ra tự động và gửi đến KH
 
Thông tin thớt
Đang tải

Bài viết mới

Top