[Funland] Kịch bản Hacker cướp 500tr từ tài khoản khách hàng Vietcombank từ ý kiến chuyên gia

StepUp

Xe tăng
Biển số
OF-22721
Ngày cấp bằng
21/10/08
Số km
1,983
Động cơ
512,371 Mã lực
Các cụ có vẻ thắc mắc nhiều, em cũng có tí nghề và cũng tổng hợp từ nhiều nguồn để hầu các cụ về vụ hack 500 củ như thế này ạ. Kịch bản này khá hợp lý và hoàn toàn làm được.

Để chi tiết hơn em detail cái kịch bản này theo hướng chủ quan, nếu em là thằng hacker và các cụ là người bị hại

Hacker chuẩn bị:
1. Mua một tên miền đại loại vietcombank-cardcentre*.com sau đó spam email vào email của cụ. Trong đó có yêu cầu thay đổi lại mật khẩu Internet Banking hoặc đại loại trúng thưởng. Có link kiểu Click vào đây.

2. Chuẩn bị một giả lập android trên PC, viết một con bot auto click, auto nhập dữ liệu.

3. Website fake vietcombank-cardcentre*.com thiết lập các giao diện, tính năng giống VCB IB như đúc. Nhưng thực tế chỉ có 2 tính năng
3.1 Đăng nhập, nhập sai cũng được, đúng cũng ok.
3.2 Đăng nhập xong, thêm tính năng yêu cầu: Bạn cần click vào đây để lấy OTP kích hoạt hay để làm gì đó (Đại loại vậy), khi click vào nút Yêu cầu OTP sẽ ra trang nhập OTP.
Mọi thứ chờ ở đây......


Cụ bị hại:
2.Cụ thấy email cảnh báo, không để ý, thấy ghê click luôn vào, thấy nó bắt đăng nhập, ok, nhập vào nó vào trang trong Ở bước Đăng nhập này, con bot được web fake gửi U/Pass và được kích hoạt, nó mở SmartOTP, dùng user pass đăng nhập chờ đó.
Sau khi đăng nhập xong --> đến trang ở bước 3.2 cụ cũng nhấn Yêu cầu
khi cụ nhấn Yêu cầu OTP Web fake gửi msg cho Bot kích hoạt yêu cầu active SmartOTP. --> VCB nhận yêu cầu, gửi SMS đến máy cụ. Cụ cũng ngu ngơ nhập ngay lên Web fake, web fake gửi msg về cho Bot. Bot nhập lên App --> Active thành công --> Web đẩy chị Hương khỏi quá trình đăng nhập, vào ngược lại trang IB của VCB. Chị Hương cũng thấy hợp lý vì nó bắt yêu cầu nhập xong phải đăng nhập lại...

Như vậy là các cụ đã mất quyền kiểm soát.
Ý kiến:
---------------------
1. Mấy bước trên này hoàn toàn có thể làm bằng máy, không cần con người nhúng tay vào bất cứ công đoạn nào của Hacker.

2. Kịch bản này sai nếu chị Hương cũng đang dùng App SmartOTP. Khả năng này ít, vì app của VCB lởm.

3. Đây chỉ là kịch bản giả thuyết và nó sẽ bị bác bỏ khi Công An không tra được tin nhắn từ số chị Hương có nội dung về kích hoạt Smart OTP

4. Dù là giả thuyết nhưng việc này có khả năng làm được nếu KHÁCH HÀNG KHÔNG CẨN THẬN khi giao dịch online.

5. VCB cảnh báo không cung cấp User và Pass IBanking cho bất cứ ứng dụng hay ai là chính xác. Tuy nhiên các cụ mợ nên cảnh giác khi vào hệ thống ngân hàng để giao dịch online. Phải nhìn kĩ dòng báo xanh trên thanh trình duyệt như hình. Hiện nay có App cũng "xin" tài khoản Ibanking, tuyệt đối không dùng tính năng này của các app đó các cụ nhé.





Update mới :

Ngoài khả năng trên, mới nghe thiên hạ FB đồn thêm 2 khả năng:

+ 1 App Smart OTP của VCB có vấn đề... đã có cộng đồng hacker đang check và test --> http://www.vnsecurity.net/research/2016/08/13/Ve-su-vu-khach-hang-Vietcombank-bi-mat-tien.html

+ 2 Vietcombank Ibanking có thể active Smart OTP mà không cần SMS OTP --> https://www.facebook.com/nguyenngoclong1983/posts/688017584683667

Các cụ hóng tiếp nhá.
 
Chỉnh sửa cuối:

vitomxau

Xe lăn
Biển số
OF-46761
Ngày cấp bằng
17/9/09
Số km
13,419
Động cơ
651,004 Mã lực
Nơi ở
Nhà em chứ đâu !
Các cụ có vẻ thắc mắc nhiều, em cũng có tí nghề và cũng tổng hợp từ nhiều nguồn để hầu các cụ về vụ hack 500 củ như thế này ạ. Kịch bản này khá hợp lý và hoàn toàn làm được.

1. Hacker cài sẵn Smart OTP, App VCB lên điện thoại, không kích hoạt cũng như đăng ký.

2. Chị Hương bị lừa vào website phishing, là web lừa đảo giao diện giống thật, sau đó mất mật khẩu, user IB. Đồng thời web này đưa ra một yêu cầu giả mạo nào đó bắt chị Hương phải nhập OTP.

3. Đồng thời lúc đó hacker dùng User và pass lấy được truy cập app Smart OTP và yêu cầu kích hoạt, SMS OTP gửi đến điện thoại chị Hương, chị này nhập ngay lên Web fake kia. Hacker active thành công Smart OTP, đồng thời chiếm đủ quyền để thực hiện giao dịch.

Gồm User, Pass Ibanking và App SmartOTP đã kích hoạt theo tài khoản.



Ý kiến:
---------------------
1. Mấy bước trên này hoàn toàn có thể làm bằng máy, không cần con người nhúng tay vào bất cứ công đoạn nào của Hacker.

2. Kịch bản này sai nếu chị Hương cũng đang dùng App SmartOTP. Khả năng này ít, vì app của VCB lởm.

2. VCB cảnh báo không cung cấp User và Pass IBanking cho bất cứ ứng dụng hay ai là chính xác. Tuy nhiên các cụ mợ nên cảnh giác khi vào hệ thống ngân hàng để giao dịch online. Phải nhìn kĩ dòng báo xanh trên thanh trình duyệt như hình. Hiện nay có App Money Lover cũng "xin" tài khoản Ibanking, tuyệt đối không dùng tính năng này của Money Lover các cụ nhé.

Trò này cũng na ná phishing để cướp tài khoản face hoặc mấy trò trúng thưởng Iphone, Ipad cụ nhỉ. Giao diện y hệt không để ý address là xong phim :(
 

dcmax

[Tịch thu bằng lái]
Biển số
OF-178394
Ngày cấp bằng
24/1/13
Số km
17,687
Động cơ
472,214 Mã lực
Nơi ở
348-Khâm Thiên - Đống Đa - Hà Nội, đt 0829129999
Các cụ có vẻ thắc mắc nhiều, em cũng có tí nghề và cũng tổng hợp từ nhiều nguồn để hầu các cụ về vụ hack 500 củ như thế này ạ. Kịch bản này khá hợp lý và hoàn toàn làm được.

1. Hacker cài sẵn Smart OTP, App VCB lên điện thoại, không kích hoạt cũng như đăng ký.

2. Chị Hương bị lừa vào website phishing, là web lừa đảo giao diện giống thật, sau đó mất mật khẩu, user IB. Đồng thời web này đưa ra một yêu cầu giả mạo nào đó bắt chị Hương phải nhập OTP.

3. Đồng thời lúc đó hacker dùng User và pass lấy được truy cập app Smart OTP và yêu cầu kích hoạt, SMS OTP gửi đến điện thoại chị Hương, chị này nhập ngay lên Web fake kia. Hacker active thành công Smart OTP, đồng thời chiếm đủ quyền để thực hiện giao dịch.

Gồm User, Pass Ibanking và App SmartOTP đã kích hoạt theo tài khoản.



Ý kiến:
---------------------
1. Mấy bước trên này hoàn toàn có thể làm bằng máy, không cần con người nhúng tay vào bất cứ công đoạn nào của Hacker.

2. Kịch bản này sai nếu chị Hương cũng đang dùng App SmartOTP. Khả năng này ít, vì app của VCB lởm.

2. VCB cảnh báo không cung cấp User và Pass IBanking cho bất cứ ứng dụng hay ai là chính xác. Tuy nhiên các cụ mợ nên cảnh giác khi vào hệ thống ngân hàng để giao dịch online. Phải nhìn kĩ dòng báo xanh trên thanh trình duyệt như hình. Hiện nay có App Money Lover cũng "xin" tài khoản Ibanking, tuyệt đối không dùng tính năng này của Money Lover các cụ nhé.

Hic hôm qua đến hôm nay em ko chuyển được internet banking của bên này :(, chắc đang nâng cấp hệ thống rồi, hôm qua,hay hôm kia gì đấy nó gưi thông báo cảnh báo, làm nhỡ hết việc.
 

StepUp

Xe tăng
Biển số
OF-22721
Ngày cấp bằng
21/10/08
Số km
1,983
Động cơ
512,371 Mã lực
Trò này cũng na ná phishing để cướp tài khoản face hoặc mấy trò trúng thưởng Iphone, Ipad cụ nhỉ. Giao diện y hệt không để ý address là xong phim :(
Cách đây 13 năm em cũng làm trò này ở hàng Net và kiếm được một mớ nick + pass Yahoo của gái trong trường Cấp 3 cụ ạ :)). Hồi xưa thằng IE của Windows nó còn dính lỗi URL, chỉ cần truyền 1 đoạn vào đằng sau link là nó hiện luôn đoạn sau đó và vào site đằng trước chứ không hiện cả đoạn URL trước mới hay. Ví dụ
http://day*lawebfake.com/@otofun.net --> hiện mỗi otofun.net :D

Cái này cụ nào tầm 8x và có tí nghề chắc rõ.
 

A Cup

[Tịch thu bằng lái]
Biển số
OF-194055
Ngày cấp bằng
15/5/13
Số km
446
Động cơ
330,690 Mã lực
Em lót dép hóng cho mở mang đầu óc .
 

Bazu

Xe buýt
Biển số
OF-70175
Ngày cấp bằng
8/8/10
Số km
557
Động cơ
433,830 Mã lực
Em cũng kê dép hóng các chuyên gia bảo mật và có nghề . Còn vụ bạn gái kia thì C50 đã điều tra làm rõ nguyên nhân rồi do bị dính fishing ---- > mất tiền/
 

StepUp

Xe tăng
Biển số
OF-22721
Ngày cấp bằng
21/10/08
Số km
1,983
Động cơ
512,371 Mã lực
Sau vụ này em rút ra mấy kết luận cho các cụ:

1. Tuyệt đối không đặt pass dễ đoán.
2. Không cho người lạ mượn điện thoại hoặc biết mật khẩu điện thoại.
3. Đọc kĩ tin nhắn ngân hàng gửi về.
4. Không lưu pass quan trọng ở bất kì đâu, cố mà nhớ. IBanking của VCB vẫn lưu trên Laptop được, mà laptop mất quyền điều khiển thì cũng coi như xong.
5. Dùng Token vật lý hay hơn SMS OTP. Tuy nhiên vẫn có nguy cơ bị móc mất :(
6. Hạ hạn mức chuyển khoản, giao dịch online nếu có thể. Khi cần mới báo mở rộng, mở xong lại đóng.
7. Khi vào Web ngân hàng, các web giao dịch thanh toán online nhớ nhìn rõ đoạn Certificate màu xanh như hình em dẫn.
8. Hạn chế dùng Internet banking ở các điểm giao dịch công cộng, vì hacker có thể chuyển hướng tên miền website các cụ truy cập sang một site khác. Đồng thời cũng "nghe trộm" được những gì các cụ gửi đi trên internet.
9. Hạn chế dùng Điện thoại Tàu, phần mềm vớ vẩn không rõ nguồn gốc trên android. Iphone thì cũng vậy, không nên jailbreak luôn. Không vào các site lạ.

10. Dành cho VCB :
+ Tại sao không làm App cho ngon lành và dùng thêm lựa chọn bảo mật bằng vân tay.
+ VCB trang chủ website nên bắt buộc sử dụng SSL thay vì ai vào http thường cũng ok mà https cũng ok. Như vậy khả năng khách hàng nhận biết Phishing cũng cao hơn.

 
Chỉnh sửa cuối:

Socnhi2015

Xe hơi
Biển số
OF-443232
Ngày cấp bằng
7/8/16
Số km
172
Động cơ
210,854 Mã lực
Thẻ e luôn k có xiền nên e chả sợ.
 

xe mất phanh

Xe lăn
Biển số
OF-78679
Ngày cấp bằng
23/11/10
Số km
11,023
Động cơ
502,241 Mã lực
Nơi ở
Hà Lội tỉnh.
e hay vào vcb bằng ipad, ko bít có safety hơn computer ko?
trong tk e lúc nào cũng hơn 15k $, nó mà hạck thì e chít :))
 

lunker

Xe hơi
Biển số
OF-122245
Ngày cấp bằng
28/11/11
Số km
185
Động cơ
381,511 Mã lực
Tuổi
44
Bao giờ người tiêu dùng cũng chịu thua thiệt. Không hiểu cai sms OTP nó bảo mật tới cỡ nào?,
 

StepUp

Xe tăng
Biển số
OF-22721
Ngày cấp bằng
21/10/08
Số km
1,983
Động cơ
512,371 Mã lực
e hay vào vcb bằng ipad, ko bít có safety hơn computer ko?
trong tk e lúc nào cũng hơn 15k $, nó mà hạck thì e chít :))
iPad mà cụ lưu pass word thì cũng cẩn thận, mất pass icloud hay mất mật khẩu điện thoại, ipad thì cũng mất pass lưu trên đó đó.
 

The Tank

Xe container
Biển số
OF-349857
Ngày cấp bằng
8/1/15
Số km
5,495
Động cơ
501,535 Mã lực
Các cụ có vẻ thắc mắc nhiều, em cũng có tí nghề và cũng tổng hợp từ nhiều nguồn để hầu các cụ về vụ hack 500 củ như thế này ạ. Kịch bản này khá hợp lý và hoàn toàn làm được.

1. Hacker cài sẵn Smart OTP, App VCB lên điện thoại, không kích hoạt cũng như đăng ký.

2. Chị Hương bị lừa vào website phishing, là web lừa đảo giao diện giống thật, sau đó mất mật khẩu, user IB. Đồng thời web này đưa ra một yêu cầu giả mạo nào đó bắt chị Hương phải nhập OTP.

3. Đồng thời lúc đó hacker dùng User và pass lấy được truy cập app Smart OTP và yêu cầu kích hoạt, SMS OTP gửi đến điện thoại chị Hương, chị này nhập ngay lên Web fake kia. Hacker active thành công Smart OTP, đồng thời chiếm đủ quyền để thực hiện giao dịch.

Gồm User, Pass Ibanking và App SmartOTP đã kích hoạt theo tài khoản.



Ý kiến:
---------------------
1. Mấy bước trên này hoàn toàn có thể làm bằng máy, không cần con người nhúng tay vào bất cứ công đoạn nào của Hacker.

2. Kịch bản này sai nếu chị Hương cũng đang dùng App SmartOTP. Khả năng này ít, vì app của VCB lởm.

2. VCB cảnh báo không cung cấp User và Pass IBanking cho bất cứ ứng dụng hay ai là chính xác. Tuy nhiên các cụ mợ nên cảnh giác khi vào hệ thống ngân hàng để giao dịch online. Phải nhìn kĩ dòng báo xanh trên thanh trình duyệt như hình. Hiện nay có App Money Lover cũng "xin" tài khoản Ibanking, tuyệt đối không dùng tính năng này của Money Lover các cụ nhé.

Em nghĩ kịch bản này chỉ đúng khi bà Hương này định chuyển tiền thật cho đối tác nào đó.
Nếu vậy khi nhận tin nhắn trừ tk thì cũng chẳng khiếu nại, cho đến khi bên kia báo ko nhận đc tiền thì mới check lại. Đây là khi nhận tn trừ tiền là báo khoá ngay mà.
 

StepUp

Xe tăng
Biển số
OF-22721
Ngày cấp bằng
21/10/08
Số km
1,983
Động cơ
512,371 Mã lực
Bao giờ người tiêu dùng cũng chịu thua thiệt. Không hiểu cai sms OTP nó bảo mật tới cỡ nào?,
SMS OTP không quá bảo mật vì nó liên kết với bên thứ 3 là nhà mạng hoặc cả đơn vị trung gian cung cấp SMS brandname cụ ạ. Em là thằng admin Telco em cũng redirect được sms về số khác của em

Em nghĩ kịch bản này chỉ đúng khi bà Hương này định chuyển tiền thật cho đối tác nào đó.
Nếu vậy khi nhận tin nhắn trừ tk thì cũng chẳng khiếu nại, cho đến khi bên kia báo ko nhận đc tiền thì mới check lại. Đây là khi nhận tn trừ tiền là báo khoá ngay mà.
Nó chiếm quyền lâu rồi sau đó đêm ngày 4/8 mới thó tiền đi cụ ạ.
 

H2MQ

[Tịch thu bằng lái]
Biển số
OF-427315
Ngày cấp bằng
4/6/16
Số km
2,361
Động cơ
230,327 Mã lực
Tuổi
47
Các cụ có vẻ thắc mắc nhiều, em cũng có tí nghề và cũng tổng hợp từ nhiều nguồn để hầu các cụ về vụ hack 500 củ như thế này ạ. Kịch bản này khá hợp lý và hoàn toàn làm được.

1. Hacker cài sẵn Smart OTP, App VCB lên điện thoại, không kích hoạt cũng như đăng ký.

2. Chị Hương bị lừa vào website phishing, là web lừa đảo giao diện giống thật, sau đó mất mật khẩu, user IB. Đồng thời web này đưa ra một yêu cầu giả mạo nào đó bắt chị Hương phải nhập OTP.

3. Đồng thời lúc đó hacker dùng User và pass lấy được truy cập app Smart OTP và yêu cầu kích hoạt, SMS OTP gửi đến điện thoại chị Hương, chị này nhập ngay lên Web fake kia. Hacker active thành công Smart OTP, đồng thời chiếm đủ quyền để thực hiện giao dịch.

Gồm User, Pass Ibanking và App SmartOTP đã kích hoạt theo tài khoản.



Ý kiến:
---------------------
1. Mấy bước trên này hoàn toàn có thể làm bằng máy, không cần con người nhúng tay vào bất cứ công đoạn nào của Hacker.

2. Kịch bản này sai nếu chị Hương cũng đang dùng App SmartOTP. Khả năng này ít, vì app của VCB lởm.

2. VCB cảnh báo không cung cấp User và Pass IBanking cho bất cứ ứng dụng hay ai là chính xác. Tuy nhiên các cụ mợ nên cảnh giác khi vào hệ thống ngân hàng để giao dịch online. Phải nhìn kĩ dòng báo xanh trên thanh trình duyệt như hình. Hiện nay có App Money Lover cũng "xin" tài khoản Ibanking, tuyệt đối không dùng tính năng này của Money Lover các cụ nhé.

Kịch bản này thì thế nào ?
Do lỗi hệ thống nên hacker xâm nhập vào và lấy User, pass khách hàng
Chuyển hướng OTP vào số ĐT của hacker.
Sai lỗi hoàn toàn từ NH
Khi phát hiện mất tiền, NH đòi lấy máy của khách để điều tra. Cài link... Thông báo lỗi do khách hàng=> Khách chịu.
 

boyboy1990

Xe điện
Biển số
OF-126857
Ngày cấp bằng
6/1/12
Số km
3,158
Động cơ
405,753 Mã lực
Em nghĩ kịch bản này chỉ đúng khi bà Hương này định chuyển tiền thật cho đối tác nào đó.
Nếu vậy khi nhận tin nhắn trừ tk thì cũng chẳng khiếu nại, cho đến khi bên kia báo ko nhận đc tiền thì mới check lại. Đây là khi nhận tn trừ tiền là báo khoá ngay mà.
Ko cần chuyển tiền, khi kích hoạt SmartOTP sẽ có mã gửi vào điện thoại, nó chỉ cần bảo nhập mã đó để quay thưởng trúng SHmode chẳng hạn thì chả hăm hở nhập luôn và ngay.
 

boyboy1990

Xe điện
Biển số
OF-126857
Ngày cấp bằng
6/1/12
Số km
3,158
Động cơ
405,753 Mã lực
Kịch bản này thì thế nào ?
Do lỗi hệ thống nên hacker xâm nhập vào và lấy User, pass khách hàng
Chuyển hướng OTP vào số ĐT của hacker.
Sai lỗi hoàn toàn từ NH
Khi phát hiện mất tiền, NH đòi lấy máy của khách để điều tra. Cài link... Thông báo lỗi do khách hàng=> Khách chịu.
Kịch bản thế thì ngân hàng phải mất cỡ triệu $. Có username và pass ko đổi đc số đt nhé, hoặc chính chủ ra quầy, hoặc xâm nhập vào database mà sửa. Làm đc đến mức đó mà chỉ lấy đc 200tr thì có mà dở hơi à?
 

Pumzen

Xe ba gác
Biển số
OF-184401
Ngày cấp bằng
9/3/13
Số km
23,990
Động cơ
994,602 Mã lực
Nơi ở
Hà nội
Nhà cháu có vài TK của nhiều bank,nhưng quả thật chưa 1 lần chuyển money online ,toàn ra trực tiếp NH rút hoặc chuyển,có lẽ chả lo lắng như trường hợp của mợ khổ chủ.
 

StepUp

Xe tăng
Biển số
OF-22721
Ngày cấp bằng
21/10/08
Số km
1,983
Động cơ
512,371 Mã lực
Kịch bản này thì thế nào ?
Do lỗi hệ thống nên hacker xâm nhập vào và lấy User, pass khách hàng
Chuyển hướng OTP vào số ĐT của hacker.
Sai lỗi hoàn toàn từ NH
Khi phát hiện mất tiền, NH đòi lấy máy của khách để điều tra. Cài link... Thông báo lỗi do khách hàng=> Khách chịu.
Khả năng này có nhưng rất nhỏ, vì core banking không dễ để hack được. Trừ khi có người trong nhà, mà người trong nhà thì em nghĩ ko ngu đến mức đấy đâu ạ
 

Chưa Có Dép

Xe điện
Biển số
OF-337469
Ngày cấp bằng
6/10/14
Số km
3,444
Động cơ
306,129 Mã lực
Em nghĩ bà Hương có vấn đề còn khuất tất
 
Thông tin thớt
Đang tải

Bài viết mới

Top