[Funland] Có phải: Chủ thẻ Vietcombank bỗng dưng mất 500 triệu đồng chỉ qua một đêm?

thich__6969

Xe tăng
Biển số
OF-427295
Ngày cấp bằng
4/6/16
Số km
1,702
Động cơ
227,550 Mã lực
Chỉ cần làm mấy cái sau:

- không chuyển tiền online banking khi ở 1 mạng internet công cộng kiểu quán cà phê vì không an toàn
- chỉ gõ mật khẩu tài khoản online banking vào trang web của ngân hàng mà mình chủ động mở, chứ không phải 1 link có sẵn dụ mình click vào.
- nếu có thể, dùng điện thoại có bảo mật cao như Blackberry
- dẹp ngay mấy cái tương tự smart otp được tạo bởi ứng dụng
Cụ nói đúng. Nhưng đó là cách phòng tránh.
trường hợp này là sao lại dễ lấy được otp cơ, những 7 lần chuyển, lại còn chuyển được vào ban đêm đi nh khác. Cụ thấy lạ không?
 

cogangmuaxe

Xe điện
Biển số
OF-372266
Ngày cấp bằng
2/7/15
Số km
2,900
Động cơ
267,230 Mã lực
Kiểu lừa gõ mật khẩu tài khoản vào link giả thì mấy thằng châu phi ngày nào chúng nó cũng làm. Mỗi lần nhận email là mình lại reply : fu.ck your mother. Nhưng cứ gửi đại thì 1000 mạng kiểu gì chungd nó cũng lừa được 1-2
 

cogangmuaxe

Xe điện
Biển số
OF-372266
Ngày cấp bằng
2/7/15
Số km
2,900
Động cơ
267,230 Mã lực
Cụ nói đúng. Nhưng đó là cách phòng tránh.
trường hợp này là sao lại dễ lấy được otp cơ, những 7 lần chuyển, lại còn chuyển được vào ban đêm đi nh khác. Cụ thấy lạ không?
Có thể, tuỳ khách hàng mà họ có thể có dịch vụ riêng. Ba cọc ba đồng thì cứ sáng hôm sau, sau 4:30 pm là sáng hôm sau, nhưng 1 số mợ có tk to, nhu cầu giao dịch nhiều thì vẫn có 1 số dịch vụ đặc biệt. Chắc là mợ kia từng chuyển cả đống bạc trong đêm rồi cũng nên.
Còn tk mấy chục chai cỡ mình thì làm gì có
 

hah2005

Xe tăng
Biển số
OF-8682
Ngày cấp bằng
21/8/07
Số km
1,327
Động cơ
548,570 Mã lực
Vụ này lỗi do mợ kia kích vào link giả và khai báo user, pass. Khi có gà thì hacker kích hoạt SmartOTP của TK mợ kia nhờ SMS OTP mợ kia khai trên Web giả. TK của mợ này bị lộ mà không hề hay biết, một ngày đẹp trời tiền về nhiều trong TK thì đến tối hacker sẽ ra tay thôi (chuyển tiền dùng SmartOTP đã kích hoạt từ trước).

Gửi từ E6683 của tôi bằng cách sử dụng Tapatalk
 

StepUp

Xe tăng
Biển số
OF-22721
Ngày cấp bằng
21/10/08
Số km
1,983
Động cơ
512,371 Mã lực
Em lại trích tiếp cho các cụ phán nhé, cũng từ chuyên gia luôn
---------------->
Thiệt tình vụ một chị bị Hack mất 500 triệu từ tài khoản Vietcombank có vài chỗ khá thú vị :v

Theo như chị Hương (nạn nhân) thì chị ấy dùng SMS Token. Chị ấy nói là không nhận được SMS báo OTP Token. Vậy mà tiền vẫn chuyển :v vậy thì có vài kịch bản sau.

+ Kịch bản 1:
Chị Hương không mất username / password mà VCB bị hack :v chuyển khoản hẳn trong hệ thống, nên trường hợp này chả thể nào có OTP token gì được gửi tới khách hàng.
Kịch bản này chắc chờ điều tra chớ VCB chối là cái chắc dù có bị :v

Cứ cho là chị Hương bị mất user / password VCB là thật đi.
+ Kịch bản 2:
Chị Hương vẫn bị mất tiền nếu hacker login vô web VCB xong kích hoạt tính năng VCB-Mobile B@nking. Cái app mobile này của VCB chuyển khoản không cần OTP :v . Thế nhưng có 1 điểm là lần đầu kích hoạt app này cần 1 mã được gửi từ VCB qua SMS tới số dt đăng ký dịch vụ ( thay được trên web luôn ). Chỗ này có điểm là làm sao để mất cái SMS đó :v vấn đề là làm sao mất được thì mình nói ở dưới

Kịch bản 3:
Chị Hương bị mất tiền do hacker chuyển thằng từ web VCB. Lúc này thì 1 là chị ấy dùng OTP Token qua SMS thì hacker sẽ phải lấy được cái OTP Token được gửi qua SMS. Chỗ này có điểm là làm sao để mất cái SMS đó :v vấn đề là mất được nói ở dưới :v
Trường hợp khác là chị ấy chuyển qua dùng SmartOTP tức là qua app trên điện thoại ( mà theo như chị ấy nói thì chị ấy vẫn dùng SMS OTP ), nếu mà SmartOTP thì có thể OTP đã bị disable bởi VCB trong 1 sự cố gì đó ngày 5/8 (http://genk.vn/khach-hang-vietcombank-bat-ngo-bi-dung-dich-vu-smart-otp-20160812155956876.chn)
Thế nhưng dùng SmartOTP và SmartOTP không bị ngưng như bài báo trên thì nạn nhân vẫn chết vì cái SmartOTP này là app, mà lần đầu kích hoạt cũng qua 1 tin nhắn SMS. Và SMS thì vẫn có thể bị mất :v

SMS bị mất như thế nào ? Sự thực là SMS không hề an toàn, ở nước ngoài người ta khai tử SMS OTP token lâu rồi vì sự thiếu an toàn của nó, nó lỗi từ giao thức cơ :v . Có mấy cách mà hacker thường dùng để lấy cắp 1 SMS

1. Nạn nhân dùng smartphone nên bị dính trojan (hay RAT) trên smartphone. Máy iOS mà jailbreak là 100% cài được, Máy android thì thoy khỏi nói :v thích là cài :v . Mấy con Banking Trojan ở nước ngoài như Zeus ... làm trò này được mấy năm rồi, kiếm mấy trăm triệu đô oy.

2. Hacker tấn công qua lỗi giao thức SS7 của hệ thống SMS. Nếu điều này xảy ra thì đây là lỗi của nhà mạng Telco (Viettel, Mobi, Vina...), lỗi này được công bố năm ngoái giúp hacker có thể chuyển hướng SMS bất kỳ của bất kỳ ai :v cách hack được public đầy trên mạng, vd:
tool cũng đầy. Hiện không có thống kê chính thức, nhưng có anh em pentester cho mình biết là VN bị ;)

3. Hacker clone SIM của nạn nhân :v vụ này nghe ảo mà thực ra có

3a. Dễ nhất là tiếp cận nạn nhân 1 lúc nào đó lấy cái sim ra cắm vô 1 thiết bị đọc sim rồi clone ra 1 sim trắng. Hồi xưa iPhone 2G đời đầu được unlock bằng trò này đó :v lấy dữ liêu Sim của VN ghép vô dữ liệu Sim của AT&T để unlock :v

3b. Dùng thiết bị tấn công từ xa để hack thẳng vô giao thức GSM để sniff SMS hay nghe lén điện thoại ngon lành, trò HackRF này nhiều người chơi lắm :v mền cũng từng chơi ;) https://www.evilsocket.net/2016/03/31/how-to-build-your-own-rogue-gsm-bts-for-fun-and-profit/
Hồi cách đây vài năm bọn hacker nga còn bán thiết bị đứng trên tòa nhà cao tầng, scan 1 phát clone được toàn bộ SIM trong bán kính gần cây số. Mền từng được cho coi rồi :v rất đã.
Giao thức GSM lỗi thời rồi và lỗi rất rất nhiều.
Chả phải khi không mà Edward Snowden cảnh báo là nếu muốn nói chuyện an toàn thì nên dùng các công nghệ gọi điện thoại, gửi tin qua nền Internet mà có mã hóa 2 chiều chớ đừng có tin vô mạng GSM :v

3c. Cướp Sim bằng cách Social Engineering trung tâm chăm sóc khách hàng của nhà mạng. He he vụ này dễ lắm :v
Quy trình xác minh khi khách hàng làm lại Sim ở các trung tâm chăm sóc khách hàng khá lỏng lẻo. Họ chỉ yêu cầu CMND và 5 số điện thoại gần nhất mà số dt cần khôi phục liên lạc gần đây :v

Check CMND thì bypass khá dễ nếu chủ Sim mua Sim ngoài tiệm và không đăng kí chính chủ, thường thì nhân viên cskh cũng không care mà chỉ scan lại để lưu và qua bước check thứ hai. Dĩ nhiên bạn hacker nào trẻ trâu quá có thể làm giả mọe CMND thì bypass tất =))) 500 triệu thì dám nó cũng chơi lắm :v

Check 5 số dt thì siêu dễ, chỉ việc đi vòng vòng mượn bạn bè, thậm chí giả khổ ngồi lề đường mượn dt nhá máy, nhắn tin cho số cần lấy. tầm mỗi số dt gọi 2-3 cuộc, nhắn 1-2 tin là đẹp

Xong rồi đó, vại là bạn mất mọe Sim :v Dĩ nhiên với case này thì nạn nhân sẽ phát hiện là Sim của mình bị hủy do tự dưng mất sóng và máy báo lỗi "Unable Register Network"

3d. Hacker thọt nhà mạng hay là kiếm được người cung cấp dịch vụ (có nha) :v thông qua hệ thống quản lý nhà mạng để tạo thêm 1 Sim thứ 2 nhưng cùng 1 số dt :v Vụ này về lý thuyết là work vì mình từng chứng kiến cái Sim của cũ mình sau khi đổi qua Sim 4G để thử nghiệm, thì mất 5 tiếng sau mới mất sóng :v trước lúc mất sóng thì SMS vô là bị clone làm 2, cuộc gọi vô 2 máy đều rung :v tiếc bữa đó bận với ấp ủ là nhà mạng chắc nó quên mình để mình xài 2 sim 1 số ( đã vãi ) nên mình ko chụp lại vụ đó :v Nghe đồn là có vài bạn cung cấp dịch vụ này nữa cơ :v

Kịch bản 4: ông anh hắc cờ Lê Nguyên Khang mới nhắc :v cái trang phishing lừa chị Hương nạn nhân nó yêu cầu chị nhập cả OTP luôn :v nhưng thực ra là nó viết auto bot ở dưới auto login vô VCB web rồi kích hoạt VCB-MobileB@nking (để hack theo kịch bản 2). Lúc này nạn nhân lầm cái mã VCB gửi là Token :v

Kịch bản 5: thằng bạn bán táo gợi ý :v chị ấy đồng bộ SMS vô macbook rồi để macbook ở đâu đó. id và pass thi safari lưu sẵn. lúc đó chuyển bao nhiêu cũng được :))

Để tự bảo vệ ?
Cá nhân mình thì toàn bộ các OTP của ngân hàng mình dùng thiết bị phần cứng sinh OTP Token :) chả dùng SMS :v , còn các dịch vụ mạng như gmail này nọ có dùng OTP cho xác thực 2 lớp thì dùng Google Authentication như bộ sinh OTP chuẩn và an toàn, máy cài app Google Authentication thì cũng không jailbreak gì cập nhật thường xuyên :v cũng như dấu rất kỹ chỉ dùng để sinh OTP :v ( he he vụ này mình hơi bị paranoid )

Mà còn 1 điểm nữa, mền thắc mắc là chuyển khoản trực tuyến mà VCB để hạn mức chuyển khoản trong ngày cao dữ vậy :( mấy bank khác thường là mấy chục triệu, thậm chí ko quá 20 triệu là hạn mức tối đa. ACB mình đang dùng muốn chuyển mấy trăm triệu buộc phải dùng Hardware OTP generator chứ không software hay SMS gì ráo và chúng bắt mua 1 cục OTP token generator hết 500 ngàn :v

Nguồn:
https://www.facebook.com/xnohat/posts/1240460619331734
 

provtc

Xe container
Biển số
OF-39612
Ngày cấp bằng
30/6/09
Số km
6,377
Động cơ
523,069 Mã lực
Nơi ở
Hoa luân cung
Vụ này lỗi do mợ kia kích vào link giả và khai báo user, pass. Khi có gà thì hacker kích hoạt SmartOTP của TK mợ kia nhờ SMS OTP mợ kia khai trên Web giả. TK của mợ này bị lộ mà không hề hay biết, một ngày đẹp trời tiền về nhiều trong TK thì đến tối hacker sẽ ra tay thôi (chuyển tiền dùng SmartOTP đã kích hoạt từ trước).

Gửi từ E6683 của tôi bằng cách sử dụng Tapatalk
Chính xác, nó còn lừa mợ kia đăng ký giao dịch những lần tiếp theo mà ko cần otp
 

RedAndWhite

Xe điện
Biển số
OF-419387
Ngày cấp bằng
27/4/16
Số km
4,539
Động cơ
247,750 Mã lực
Tuổi
34
Bác lại nhầm giữa SMART otp và SMS otp, một cái là phần mềm chạy trên di động và một cái là tin nhắn của nhà mạng.

Cái em nói là SMART bác ạ, bọn VCB đã khóa cái này từ hôm xảy ra chuyện rùi
em ghi sm là smart cụ ạ @@
còn sms thì em ghi là "sms" :|
 

Main_GSM

Xe tăng
Biển số
OF-345385
Ngày cấp bằng
4/12/14
Số km
1,181
Động cơ
281,639 Mã lực
Chỉ cần làm mấy cái sau:

- không chuyển tiền online banking khi ở 1 mạng internet công cộng kiểu quán cà phê vì không an toàn
- chỉ gõ mật khẩu tài khoản online banking vào trang web của ngân hàng mà mình chủ động mở, chứ không phải 1 link có sẵn dụ mình click vào.
- nếu có thể, dùng điện thoại có bảo mật cao như Blackberry
- dẹp ngay mấy cái tương tự smart otp được tạo bởi ứng dụng
Em nghĩ dùng Blackberry mà click vào link scam, link bẩn thì vẫn die như thường.
Em dùng Android ( máy Huawei) nhưng ko bao giờ dùng app mail mặc định của thiết bị cả. Em cài Blackberry Hub vào và quản lý email, các mạng xã hội toàn từ Hub, dùng DTEK của BB PRIV để bảo mật cực ăn toàn và tiện lợi. Phải công nhận DTEK nó bảo vệ tuyệt vời, link bẩn nào nó phát hiện là cảnh báo ngay. Cụ nào đang dùng Android 5.0 - > 6.0, 6.01, 7.0 cần cài Blackberry Hub của Blackberry thì PM cho em 099 ba ba 44 514 .

500 củ mất quả này hơi đau :( do thiếu hiểu biết về bảo mật thông tin trên thiết bị và do cả bank nữa ạ.
 

rongnho

Xe tăng
Biển số
OF-15784
Ngày cấp bằng
2/5/08
Số km
1,493
Động cơ
532,164 Mã lực
Bên thái lan bọn nó có thiết bị sao chép thẻ, đi ăn mà sang chảnh đưa cho nó thẻ thì dễ ăn đòn lắm. Kinh nghiệm của em là không để dịch vụ thanh toán online, nếu cần thì mở dịch vụ rồi đóng luôn, đi ăn luôn quẹt thẻ trước mặt mình nhất là ra nước ngoài, ăn uống vớ vấn thanh toàn tiền mặt.
 

Caterpillar

Xe điện
Biển số
OF-90632
Ngày cấp bằng
2/4/11
Số km
2,093
Động cơ
424,310 Mã lực
Có một chi tiết duy nhất em thất khó hiểu là 1 ngày chuyển được 400tr.
Còn vụ OTP thì rõ rồi.
 

kakalot_z

[Tịch thu bằng lái]
Biển số
OF-437708
Ngày cấp bằng
16/7/16
Số km
468
Động cơ
215,250 Mã lực
Tuổi
45
Với phương châm luôn đổi mới nhằm mang đến sự tiện lợi và thân thiện cho khách hàng, đi cùng với sự phát triển của công nghệ và các giải pháp bảo mật, an toàn, Vietcombank là ngân hàng đầu tiên tại Việt Nam cho ra mắt ứng dụng mới - Vietcombank Smart OTP bổ sung thêm một phương thức cung cấp mã xác thực OTP mới. Vietcombank Smart OTP là một phần mềm được cài đặt trên các thiết bị di động (điện thoại di động, máy tính bảng), cho phép người dùng chủ động lấy mã xác thực giao dịch OTP cho các giao dịch trên Internet Banking của Vietcombank (VCB -iB@nking). Ứng dụng Vietcombank Smart OTP có lợi thế vượt trội so với các hình thức tạo mã OTP hiện có nhờ việc có thể tạo mã OTP bất kỳ lúc nào, không cần phải có sóng điện thoại, cũng không phải có thiết bị tạo mã OTP đi kèm.

Với sự đầu tư kỹ lưỡng về mặt công nghệ, với định hướng thân thiện, hướng tới khách hàng, ứng dụng Vietcombank Smart OTP là một trong 40 đề tài, sản phẩm sáng tạo tiêu biểu được vinh danh tại FestivalSáng tạo trẻ toàn quốc lần thứ VII do Trung ương Đoàn TNCS Hồ Chí Minh tổ chức vào 8/11/2014. Trước đó, ứng dụng cũng đã nhận được Giải Nhất trong cuộc thi “Thanh niên suy nghĩ và hành động trước sự nghiệp đổi mới, phát triển và hội nhập của Vietcombank” do Đoàn Thanh niên Vietcombank tổ chức trong tháng 10/2014.

Hiện tại, ứng dụng Vietcombank Smart OTP đã tương thích với tất cả các thiết bị di động sử dụng hệ điều hành Android (từ 4.0 trở lên) và iOS (từ 6.0 trở lên). Khách hàng của Vietcombank có thể tải ứng dụng Vietcombank Smart OTP tại kho ứng dụng Play Store và Apple Store trên điện thoại, tìm kiếm với từ khóa “Vietcombank Smart OTP”, hoặc đường dẫn:

- Play Store

- Apple Store

Trong thời gian tới, Vietcombank sẽ tiếp tục nghiên cứu, hoàn thiện để ứng dụng tương thích với các hệ điều hành khác nhằm phục vụ ngày càng tốt hơn nhu cầu của đông đảo khách hàng.

Thông tin chi tiết hướng dẫn cài đặt, kích hoạt và sử dụng ứng dụng, xin vui lòng xem tại đây

Vietcombank trân trọng kính mời Quý khách hàng cài đặt ứng dụng và tận hưởng các trải nghiệm mới nhất từ Vietcombank Smart OTP.
 

peroxide

Xe buýt
Biển số
OF-68295
Ngày cấp bằng
13/7/10
Số km
982
Động cơ
439,551 Mã lực
Nhà cháu hay ck từ nh a-b, tất cả các lệnh ck sau 15h đều phải đợi đến hôm sau mới ck đc. Nhà cháu thấy lạ quá.
 

codochi

Xe tải
Biển số
OF-21458
Ngày cấp bằng
22/9/08
Số km
489
Động cơ
500,560 Mã lực
Internet banking của em có hạn mức tối đa là 40-50 triệu /ngày gì đấy thôi (tk thường). Có thể đương sự là tk vip? Nhưng đến 500tr / ngày thì cũng lạ.
Em bèo bọt mà cũng hạn mức 300tr/ngày nè cụ.
 

LJK

Xe buýt
Biển số
OF-11134
Ngày cấp bằng
18/10/07
Số km
712
Động cơ
536,478 Mã lực
Cụ nói đúng. Nhưng đó là cách phòng tránh.
trường hợp này là sao lại dễ lấy được otp cơ, những 7 lần chuyển, lại còn chuyển được vào ban đêm đi nh khác. Cụ thấy lạ không?
Ko có gì lạ cả cụ ạ, InternetBanking của VCB cho phép chuyển tối đa 400 hay 500 triệu/ngày, mức bình thường có thể đăng ký 100, 200 triệu ngày, nên em thấy 500triệu chuyển tối đêm và sáng hôm sau hoàn toàn có thể đc vì như vậy đc tính là 2 ngày rồi
 

vnposh

Xe container
Biển số
OF-412393
Ngày cấp bằng
23/3/16
Số km
5,686
Động cơ
270,607 Mã lực
Thứ 1 : chị kia phải đăng kí cho em chuyển tiền trên hạn mức bình thường ( hạn mức bình thường em nhớ là 1-300 triệu /1 ngày mà thôi ) .
Thứ 2 : hệ thống VCB thường hay tạm ngưng về đêm . Trường hợp của chị nạn nhân thậm chí còn chuyển liên ngân hàng nên không thể coi đó là dễ hiểu được .
Thứ 3 : ăn trộm được USEr , pass login banking online thì có thể xảy ra , chứ ăn trộm được smart OTP thì cực khó ( việc chuyển đổi từ sms otp qua smart otp vẫn đòi hỏi confirm bằng sms )
Phải có tý mùi ở đây chứ ko có chuyện nạn nhân ngu đến mức như vậy
Cụ nói chuẩn về online banking cho 99,999999999% số khách hàng sử dụng dịch vụ này. Có lẽ đây là trường hợp đặc biệt hi hữu, chỉ xảy ra khi có sự phối hợp nhuần nhuyễn ngân hàng (hệ thống có vấn đề) - kẻ lừa đảo (siêu giỏi) - khách hàng (lơ ngơ).

À, cụ tự quy định hạn mức rút cho số tiền cụ có nhé, kiểu gì cũng được, rút một lần rỗng tài khoản cũng được.
 

Hn07

Xe tăng
Biển số
OF-180195
Ngày cấp bằng
7/2/13
Số km
1,614
Động cơ
350,824 Mã lực
Mấy thánh không biết gì thì không nên chém bừa (rút 500 triệu /1 đêm là chuyện khôi hài , những ai chưa từng chuyển khoản 500 triệu /1 ngày bằng internet banking xin đừng chém )
! Bài viết của Xnohat (hvaonline) đã phân tích tương đối đầy đủ các trường hợp rồi . Tỷ lệ cao nhất đó là Vietcombank bị hack ở mức độ nghiêm trọng . Không phải tự nhiên mà cách đây mấy hôm mọi khách hàng đều nhận đc tin nhắn thông báo cẩn trọng.
 

Gcar

Xe lăn
Biển số
OF-38790
Ngày cấp bằng
21/6/09
Số km
11,534
Động cơ
572,214 Mã lực
Nhà cháu hay ck từ nh a-b, tất cả các lệnh ck sau 15h đều phải đợi đến hôm sau mới ck đc. Nhà cháu thấy lạ quá.
hiện giờ ở 1 số ngân hàng có thể chuyển tiền tức thời bằng web đến hệ thống tk thẻ (và có thể cả tài khoản thường). Việc chuyển tiền được ra nước ngoài cho thấy việc chuyển là chuyển vào thẻ tín dụng quốc tế của Việt Nam, có thể là thật nhưng đã bị làm giả 1 bản. Sau đó mấy ông Tây dùng cái thẻ giả rút tiền ở nước ngoài.
 

StepUp

Xe tăng
Biển số
OF-22721
Ngày cấp bằng
21/10/08
Số km
1,983
Động cơ
512,371 Mã lực
Mấy thánh không biết gì thì không nên chém bừa (rút 500 triệu /1 đêm là chuyện khôi hài , những ai chưa từng chuyển khoản 500 triệu /1 ngày bằng internet banking xin đừng chém )
! Bài viết của Xnohat (hvaonline) đã phân tích tương đối đầy đủ các trường hợp rồi . Tỷ lệ cao nhất đó là Vietcombank bị hack ở mức độ nghiêm trọng . Không phải tự nhiên mà cách đây mấy hôm mọi khách hàng đều nhận đc tin nhắn thông báo cẩn trọng.
Ý cụ VCB gặp Vấn đề ở khâu có OTP, có user pass là chuyển được thoải mái tiền ko cần cho phép, xin phép ạ ?
 
Thông tin thớt
Đang tải
Top