[Funland] Kịch bản Hacker cướp 500tr từ tài khoản khách hàng Vietcombank từ ý kiến chuyên gia

The Tank

Xe container
Biển số
OF-349857
Ngày cấp bằng
8/1/15
Số km
5,495
Động cơ
501,535 Mã lực
SMS OTP không quá bảo mật vì nó liên kết với bên thứ 3 là nhà mạng hoặc cả đơn vị trung gian cung cấp SMS brandname cụ ạ. Em là thằng admin Telco em cũng redirect được sms về số khác của em


Nó chiếm quyền lâu rồi sau đó đêm ngày 4/8 mới thó tiền đi cụ ạ.
Cái Smart OTP thì e ko biết chứ SMS OTP thì mỗi lần chuyển tiền nó gửi SMS khác nhau, vài chục giây là hết hạn, sao lại chuyển đc tới 7 lần?
 

H2MQ

[Tịch thu bằng lái]
Biển số
OF-427315
Ngày cấp bằng
4/6/16
Số km
2,361
Động cơ
230,327 Mã lực
Tuổi
47
Khả năng này có nhưng rất nhỏ, vì core banking không dễ để hack được. Trừ khi có người trong nhà, mà người trong nhà thì em nghĩ ko ngu đến mức đấy đâu ạ
Họ không ngu nhưng hoàn cảnh xô đẩy :D
 

công nông tàu

Xe container
Biển số
OF-14292
Ngày cấp bằng
27/3/08
Số km
7,684
Động cơ
565,995 Mã lực
Nơi ở
nay đây mai đó
Em hôm qua nghịch cái đt stupid mua cũng đuợc 2 năm nay ở chợ đồ cũ. Tình cờ thấy cả tên, mã, cod ngân hàng của chủ cũ. Chắc cụ chủ cũ là nguời cẩn thận. May mà bán cho ee chứ bán cho mấy ông lởm khởm chắc mất trắng.
 

StepUp

Xe tăng
Biển số
OF-22721
Ngày cấp bằng
21/10/08
Số km
1,983
Động cơ
512,371 Mã lực

The Tank

Xe container
Biển số
OF-349857
Ngày cấp bằng
8/1/15
Số km
5,495
Động cơ
501,535 Mã lực
Ko cần chuyển tiền, khi kích hoạt SmartOTP sẽ có mã gửi vào điện thoại, nó chỉ cần bảo nhập mã đó để quay thưởng trúng SHmode chẳng hạn thì chả hăm hở nhập luôn và ngay.
Gửi từ VCB thì nó sẽ báo nội dung thật là đang chuyển tiền chứ cụ? Làm sao báo fake đc?
 

Nino88

Xe container
Biển số
OF-318476
Ngày cấp bằng
5/5/14
Số km
7,296
Động cơ
-697 Mã lực
Điện thoại mà cứ nhớ sẵn pass,lúc mất điện thoại mà nó phá khóa bảo mật thì coi như xong
 

Là Gì Nhỉ

Xe hơi
Biển số
OF-422225
Ngày cấp bằng
13/5/16
Số km
108
Động cơ
219,010 Mã lực
Tuổi
42
Các cụ có vẻ thắc mắc nhiều, em cũng có tí nghề và cũng tổng hợp từ nhiều nguồn để hầu các cụ về vụ hack 500 củ như thế này ạ. Kịch bản này khá hợp lý và hoàn toàn làm được.

1. Hacker cài sẵn Smart OTP, App VCB lên điện thoại, không kích hoạt cũng như đăng ký.

2. Chị Hương bị lừa vào website phishing, là web lừa đảo giao diện giống thật, sau đó mất mật khẩu, user IB. Đồng thời web này đưa ra một yêu cầu giả mạo nào đó bắt chị Hương phải nhập OTP.

3. Đồng thời lúc đó hacker dùng User và pass lấy được truy cập app Smart OTP và yêu cầu kích hoạt, SMS OTP gửi đến điện thoại chị Hương, chị này nhập ngay lên Web fake kia. Hacker active thành công Smart OTP, đồng thời chiếm đủ quyền để thực hiện giao dịch.

Gồm User, Pass Ibanking và App SmartOTP đã kích hoạt theo tài khoản.



Ý kiến:
---------------------
1. Mấy bước trên này hoàn toàn có thể làm bằng máy, không cần con người nhúng tay vào bất cứ công đoạn nào của Hacker.

2. Kịch bản này sai nếu chị Hương cũng đang dùng App SmartOTP. Khả năng này ít, vì app của VCB lởm.

2. VCB cảnh báo không cung cấp User và Pass IBanking cho bất cứ ứng dụng hay ai là chính xác. Tuy nhiên các cụ mợ nên cảnh giác khi vào hệ thống ngân hàng để giao dịch online. Phải nhìn kĩ dòng báo xanh trên thanh trình duyệt như hình. Hiện nay có App Money Lover cũng "xin" tài khoản Ibanking, tuyệt đối không dùng tính năng này của Money Lover các cụ nhé.

Xin hỏi thánh là chị H lấy OTP ở đâu để đăng nhập vào web giả mạo? Thánh trả lời hộ câu này rồi hẵng chém tiếp nhé ;))
 

metalins

Xe điện
Biển số
OF-69519
Ngày cấp bằng
30/7/10
Số km
2,160
Động cơ
445,299 Mã lực
Nghe như kịch bản Ocean Eleven nhỉ? Vừa kỳ công hack ibanking, vừa hack sms rồi lại còn clone cả thẻ ATM của khổ chủ nữa. Chắc mất vài năm chuẩn bị cho cú này :D
 

The Tank

Xe container
Biển số
OF-349857
Ngày cấp bằng
8/1/15
Số km
5,495
Động cơ
501,535 Mã lực
Xin hỏi thánh là chị H lấy OTP ở đâu để đăng nhập vào web giả mạo? Thánh trả lời hộ câu này rồi hẵng chém tiếp nhé ;))
Dùng song song 2 máy cụ hiểu chưa? Người thật dùng web fake, người fake dùng web thật.
 

Là Gì Nhỉ

Xe hơi
Biển số
OF-422225
Ngày cấp bằng
13/5/16
Số km
108
Động cơ
219,010 Mã lực
Tuổi
42
Dùng song song 2 máy cụ hiểu chưa? Người thật dùng web fake, người fake dùng web thật.
Lại thêm 1 bé ba ngơ, cứ giả sử là thế đi. Xin hỏi thánh Tank là thánh dùng Internet Banking bao giờ chưa? Cứ login xong là có mã OTP gửi vào điện thoại à? Chưa nói đến việc cái web giả mạo kia đòi mã OTP lúc đăng nhập. VCB quả này tự tay bóp ***, tạo cái web fake để định hướng dư luận cũng ngu :))
 

tôi yêu ô tô

[Tịch thu bằng lái]
Biển số
OF-175251
Ngày cấp bằng
5/1/13
Số km
8,100
Động cơ
441,714 Mã lực
Nơi ở
còn lâu mới nói!
Lại thêm 1 bé ba ngơ, cứ giả sử là thế đi. Xin hỏi thánh Tank là thánh dùng Internet Banking bao giờ chưa? Cứ login xong là có mã OTP gửi vào điện thoại à? Chưa nói đến việc cái web giả mạo kia đòi mã OTP lúc đăng nhập. VCB quả này tự tay bóp ***, tạo cái web fake để định hướng dư luận cũng ngu :))
Một web fake của NH bảo bạn có cơ hội trúng vespa, hãy nhập mã OTP mà chúng tôi gửi ngay sau đây để xác thực (thực chất là mã OTP của ngân hàng yêu cầu khi kích hoạt smartOTP) thế là xong :D
 

Là Gì Nhỉ

Xe hơi
Biển số
OF-422225
Ngày cấp bằng
13/5/16
Số km
108
Động cơ
219,010 Mã lực
Tuổi
42
Một web fake của NH bảo bạn có cơ hội trúng vespa, hãy nhập mã OTP mà chúng tôi gửi ngay sau đây để xác thực (thực chất là mã OTP của ngân hàng yêu cầu khi kích hoạt smartOTP) thế là xong :D
Xin hỏi đồng chí là cái đoạn "mã OTP của ngân hàng yêu cầu khi kích hoạt smartOTP" nó đc thực hiện ở bước nào khi khách hàng chưa đăng nhập? ;))
 

tôi yêu ô tô

[Tịch thu bằng lái]
Biển số
OF-175251
Ngày cấp bằng
5/1/13
Số km
8,100
Động cơ
441,714 Mã lực
Nơi ở
còn lâu mới nói!
Xin hỏi đồng chí là cái đoạn "mã OTP của ngân hàng yêu cầu khi kích hoạt smartOTP" nó đc thực hiện ở bước nào khi khách hàng chưa đăng nhập? ;))
Xin mời đồng chí xem lại kịch bản của cụ chủ trang đầu!
 

The Tank

Xe container
Biển số
OF-349857
Ngày cấp bằng
8/1/15
Số km
5,495
Động cơ
501,535 Mã lực
Lại thêm 1 bé ba ngơ, cứ giả sử là thế đi. Xin hỏi thánh Tank là thánh dùng Internet Banking bao giờ chưa? Cứ login xong là có mã OTP gửi vào điện thoại à? Chưa nói đến việc cái web giả mạo kia đòi mã OTP lúc đăng nhập. VCB quả này tự tay bóp ***, tạo cái web fake để định hướng dư luận cũng ngu :))
Cụ khôn quá! :))
 

richter

Xe buýt
Biển số
OF-90373
Ngày cấp bằng
31/3/11
Số km
969
Động cơ
413,011 Mã lực
Bác Là Gì Nhỉ nói không phải không có lý, nhất là ý bác đang hỏi cái vụ nó trực 24/24h để lấy OTP là rất hay, hehe.

Nhưng em dựng kịch bản như này bác xem có được không nhá:

1. Hacker nó nhắn tin một sms dự thưởng đến máy của em gái Na Hương, trong đó có báo số tiền được thưởng nào đó, đề nghị click link để xác nhận.
2. Hacker lúc đó chuẩn bị sẵn sàng Laptop để sẵn ở trang VCB, hehe.
3. Khi em Hương nhập User và pass, nó ăn cắp và cũng nhập user và pass rùi kích hoạt Smart OTP, lúc này rõ ràng di động của em gái cũng nhận được OTP để nhập vào web lạ :P. Web lạ nó đòi OTP để login, hehe, nếu thế em gái này cũng hơi nhẹ dạ :D.
4. Em gái nhẹ dạ nhập vào, chưa đầy 30s (hay 60s) bọn nó cũng nhập OTP đó để kích hoạt xong cái Smart OTP.



Nghe cũng có vẻ làm được bác nhỉ 8->\:D/>:/, hehe. Nói chung không gì là không thể :P
 

StepUp

Xe tăng
Biển số
OF-22721
Ngày cấp bằng
21/10/08
Số km
1,983
Động cơ
512,371 Mã lực
Lại thêm 1 bé ba ngơ, cứ giả sử là thế đi. Xin hỏi thánh Tank là thánh dùng Internet Banking bao giờ chưa? Cứ login xong là có mã OTP gửi vào điện thoại à? Chưa nói đến việc cái web giả mạo kia đòi mã OTP lúc đăng nhập. VCB quả này tự tay bóp ***, tạo cái web fake để định hướng dư luận cũng ngu :))
cụ chắc Dư luận viên của chị Hương đây mà =)) Cái mấu chốt ở đây là người dùng ngu ngơ thì cái gì cũng có thể nhé.

Còn cãi nhau làm gì, Công an hay nhà mạng nó moi cái tin nhắn reply đơn giản như ăn kẹo. Ra phường mà cãi với CA hay VCB chứ anh em ở đây chỉ chém để rút kinh nghiệm cho bản thân thôi
 
Thông tin thớt
Đang tải
Top