- Biển số
- OF-22721
- Ngày cấp bằng
- 21/10/08
- Số km
- 1,983
- Động cơ
- 512,371 Mã lực
Các cụ có vẻ thắc mắc nhiều, em cũng có tí nghề và cũng tổng hợp từ nhiều nguồn để hầu các cụ về vụ hack 500 củ như thế này ạ. Kịch bản này khá hợp lý và hoàn toàn làm được.
Để chi tiết hơn em detail cái kịch bản này theo hướng chủ quan, nếu em là thằng hacker và các cụ là người bị hại
---------------------
1. Mấy bước trên này hoàn toàn có thể làm bằng máy, không cần con người nhúng tay vào bất cứ công đoạn nào của Hacker.
2. Kịch bản này sai nếu chị Hương cũng đang dùng App SmartOTP. Khả năng này ít, vì app của VCB lởm.
3. Đây chỉ là kịch bản giả thuyết và nó sẽ bị bác bỏ khi Công An không tra được tin nhắn từ số chị Hương có nội dung về kích hoạt Smart OTP
4. Dù là giả thuyết nhưng việc này có khả năng làm được nếu KHÁCH HÀNG KHÔNG CẨN THẬN khi giao dịch online.
5. VCB cảnh báo không cung cấp User và Pass IBanking cho bất cứ ứng dụng hay ai là chính xác. Tuy nhiên các cụ mợ nên cảnh giác khi vào hệ thống ngân hàng để giao dịch online. Phải nhìn kĩ dòng báo xanh trên thanh trình duyệt như hình. Hiện nay có App cũng "xin" tài khoản Ibanking, tuyệt đối không dùng tính năng này của các app đó các cụ nhé.
Update mới :
Ngoài khả năng trên, mới nghe thiên hạ FB đồn thêm 2 khả năng:
+ 1 App Smart OTP của VCB có vấn đề... đã có cộng đồng hacker đang check và test --> http://www.vnsecurity.net/research/2016/08/13/Ve-su-vu-khach-hang-Vietcombank-bi-mat-tien.html
+ 2 Vietcombank Ibanking có thể active Smart OTP mà không cần SMS OTP --> https://www.facebook.com/nguyenngoclong1983/posts/688017584683667
Các cụ hóng tiếp nhá.
Để chi tiết hơn em detail cái kịch bản này theo hướng chủ quan, nếu em là thằng hacker và các cụ là người bị hại
Ý kiến:Hacker chuẩn bị:
1. Mua một tên miền đại loại vietcombank-cardcentre*.com sau đó spam email vào email của cụ. Trong đó có yêu cầu thay đổi lại mật khẩu Internet Banking hoặc đại loại trúng thưởng. Có link kiểu Click vào đây.
2. Chuẩn bị một giả lập android trên PC, viết một con bot auto click, auto nhập dữ liệu.
3. Website fake vietcombank-cardcentre*.com thiết lập các giao diện, tính năng giống VCB IB như đúc. Nhưng thực tế chỉ có 2 tính năng
3.1 Đăng nhập, nhập sai cũng được, đúng cũng ok.
3.2 Đăng nhập xong, thêm tính năng yêu cầu: Bạn cần click vào đây để lấy OTP kích hoạt hay để làm gì đó (Đại loại vậy), khi click vào nút Yêu cầu OTP sẽ ra trang nhập OTP.
Mọi thứ chờ ở đây......
Cụ bị hại:
2.Cụ thấy email cảnh báo, không để ý, thấy ghê click luôn vào, thấy nó bắt đăng nhập, ok, nhập vào nó vào trang trong Ở bước Đăng nhập này, con bot được web fake gửi U/Pass và được kích hoạt, nó mở SmartOTP, dùng user pass đăng nhập chờ đó.
Sau khi đăng nhập xong --> đến trang ở bước 3.2 cụ cũng nhấn Yêu cầu
khi cụ nhấn Yêu cầu OTP Web fake gửi msg cho Bot kích hoạt yêu cầu active SmartOTP. --> VCB nhận yêu cầu, gửi SMS đến máy cụ. Cụ cũng ngu ngơ nhập ngay lên Web fake, web fake gửi msg về cho Bot. Bot nhập lên App --> Active thành công --> Web đẩy chị Hương khỏi quá trình đăng nhập, vào ngược lại trang IB của VCB. Chị Hương cũng thấy hợp lý vì nó bắt yêu cầu nhập xong phải đăng nhập lại...
Như vậy là các cụ đã mất quyền kiểm soát.
---------------------
1. Mấy bước trên này hoàn toàn có thể làm bằng máy, không cần con người nhúng tay vào bất cứ công đoạn nào của Hacker.
2. Kịch bản này sai nếu chị Hương cũng đang dùng App SmartOTP. Khả năng này ít, vì app của VCB lởm.
3. Đây chỉ là kịch bản giả thuyết và nó sẽ bị bác bỏ khi Công An không tra được tin nhắn từ số chị Hương có nội dung về kích hoạt Smart OTP
4. Dù là giả thuyết nhưng việc này có khả năng làm được nếu KHÁCH HÀNG KHÔNG CẨN THẬN khi giao dịch online.
5. VCB cảnh báo không cung cấp User và Pass IBanking cho bất cứ ứng dụng hay ai là chính xác. Tuy nhiên các cụ mợ nên cảnh giác khi vào hệ thống ngân hàng để giao dịch online. Phải nhìn kĩ dòng báo xanh trên thanh trình duyệt như hình. Hiện nay có App cũng "xin" tài khoản Ibanking, tuyệt đối không dùng tính năng này của các app đó các cụ nhé.
Update mới :
Ngoài khả năng trên, mới nghe thiên hạ FB đồn thêm 2 khả năng:
+ 1 App Smart OTP của VCB có vấn đề... đã có cộng đồng hacker đang check và test --> http://www.vnsecurity.net/research/2016/08/13/Ve-su-vu-khach-hang-Vietcombank-bi-mat-tien.html
+ 2 Vietcombank Ibanking có thể active Smart OTP mà không cần SMS OTP --> https://www.facebook.com/nguyenngoclong1983/posts/688017584683667
Các cụ hóng tiếp nhá.
Chỉnh sửa cuối: