[Funland] Kịch bản Hacker cướp 500tr từ tài khoản khách hàng Vietcombank từ ý kiến chuyên gia

Là Gì Nhỉ

Xe hơi
Biển số
OF-422225
Ngày cấp bằng
13/5/16
Số km
108
Động cơ
219,010 Mã lực
Tuổi
42
Bác Là Gì Nhỉ nói không phải không có lý, nhất là ý bác đang hỏi cái vụ nó trực 24/24h để lấy OTP là rất hay, hehe.

Nhưng em dựng kịch bản như này bác xem có được không nhá:

1. Hacker nó nhắn tin một sms dự thưởng đến máy của em gái Na Hương, trong đó có báo số tiền được thưởng nào đó, đề nghị click link để xác nhận.
2. Hacker lúc đó chuẩn bị sẵn sàng Laptop để sẵn ở trang VCB, hehe.
3. Khi em Hương nhập User và pass, nó ăn cắp và cũng nhập user và pass rùi kích hoạt Smart OTP, lúc này rõ ràng di động của em gái cũng nhận được OTP để nhập vào web lạ :P. Web lạ nó đòi OTP để login, hehe, nếu thế em gái này cũng hơi nhẹ dạ :D.
4. Em gái nhẹ dạ nhập vào, chưa đầy 30s (hay 60s) bọn nó cũng nhập OTP đó để kích hoạt xong cái Smart OTP.



Nghe cũng có vẻ làm được bác nhỉ 8->\:D/>:/, hehe. Nói chung không gì là không thể :P
Bước 3 có vấn đề: đã đăng nhập rồi lại còn "login" là sao ;))
 

richter

Xe buýt
Biển số
OF-90373
Ngày cấp bằng
31/3/11
Số km
969
Động cơ
413,011 Mã lực
Bước 3 có vấn đề: đã đăng nhập rồi lại còn "login" là sao ;))
Bác không hiểu à, web lạ nó khác với web VCB, VCB chỉ cần user và pass là được.

Còn web lạ nó có thêm cái ô OTP để bắt em gái nhẹ dạ kia nhập.
 

Là Gì Nhỉ

Xe hơi
Biển số
OF-422225
Ngày cấp bằng
13/5/16
Số km
108
Động cơ
219,010 Mã lực
Tuổi
42
cụ chắc Dư luận viên của chị Hương đây mà =)) Cái mấu chốt ở đây là người dùng ngu ngơ thì cái gì cũng có thể nhé.

Còn cãi nhau làm gì, Công an hay nhà mạng nó moi cái tin nhắn reply đơn giản như ăn kẹo. Ra phường mà cãi với CA hay VCB chứ anh em ở đây chỉ chém để rút kinh nghiệm cho bản thân thôi
Đuối lý quay ra chụp mũ dlv à :)) Tưởng OFer thế nào, chả khác sửu nhi VOZer là mấy ;))
 

StepUp

Xe tăng
Biển số
OF-22721
Ngày cấp bằng
21/10/08
Số km
1,983
Động cơ
512,371 Mã lực
Đuối lý quay ra chụp mũ dlv à :)) Tưởng OFer thế nào, chả khác sửu nhi VOZer là mấy ;))
Cụ hôm qua chụp mũ em là DLV mà nhỉ, nếu em nhầm thì em xin lỗi nhé :) Đây là anh em trao đổi để rút kinh nghiệm thôi. Em vẫn bảo lưu ý kiến về kịch bản vụ này!
 

Là Gì Nhỉ

Xe hơi
Biển số
OF-422225
Ngày cấp bằng
13/5/16
Số km
108
Động cơ
219,010 Mã lực
Tuổi
42
Bác không hiểu à, web lạ nó khác với web VCB, VCB chỉ cần user và pass là được.

Còn web lạ nó có thêm cái ô OTP để bắt em gái nhẹ dạ kia nhập.
3. Khi em Hương nhập User và pass, nó ăn cắp và cũng nhập user và pass rùi kích hoạt Smart OTP, lúc này rõ ràng di động của em gái cũng nhận được OTP để nhập vào web lạ:P. Web lạ nó đòi OTP để login, hehe, nếu thế em gái này cũng hơi nhẹ

Bác đọc lại những gì mình viết đi :D
 

richter

Xe buýt
Biển số
OF-90373
Ngày cấp bằng
31/3/11
Số km
969
Động cơ
413,011 Mã lực
Mà nói cho các bác thêm điều này để khỏi lăn tăn nhiều, em tối hôm qua có ngồi với một bạn to to hơi liên quan tới vụ này.

Bạn ấy cho em biết là trên di động của em ấy vẫn có một tin nhắn từ Vietcombank, nội dung như sau: " "Quy khach dang yeu cau kich hoat VCB SMartOTP de su dung tren VCB-iB@ngking. LUU Y : QUY KHACH KHONG TIET LO MA KICH HOAT CHO NGUOI KHAC. Ma kich hoat la 9115"

Bác nào vào FB của em Na Hương hỏi là biết vụ này, hehe, với sms nội dung như thế này thì giời đỡ :((, em thật.
 

Khongdanhvong

Xe điện
Biển số
OF-301828
Ngày cấp bằng
16/12/13
Số km
4,752
Động cơ
331,909 Mã lực
Sau vụ này em rút ra mấy kết luận cho các cụ:

1. Tuyệt đối không đặt pass dễ đoán.
2. Không cho người lạ mượn điện thoại hoặc biết mật khẩu điện thoại.
3. Đọc kĩ tin nhắn ngân hàng gửi về.
4. Không lưu pass quan trọng ở bất kì đâu, cố mà nhớ. IBanking của VCB vẫn lưu trên Laptop được, mà laptop mất quyền điều khiển thì cũng coi như xong.
5. Dùng Token vật lý hay hơn SMS OTP. Tuy nhiên vẫn có nguy cơ bị móc mất :(
6. Hạ hạn mức chuyển khoản, giao dịch online nếu có thể. Khi cần mới báo mở rộng, mở xong lại đóng.
7. Khi vào Web ngân hàng, các web giao dịch thanh toán online nhớ nhìn rõ đoạn Certificate màu xanh như hình em dẫn.
8. Hạn chế dùng Internet banking ở các điểm giao dịch công cộng, vì hacker có thể chuyển hướng tên miền website các cụ truy cập sang một site khác. Đồng thời cũng "nghe trộm" được những gì các cụ gửi đi trên internet.
9. Hạn chế dùng Điện thoại Tàu, phần mềm vớ vẩn không rõ nguồn gốc trên android. Iphone thì cũng vậy, không nên jailbreak luôn. Không vào các site lạ.

10. Dành cho VCB :
+ Tại sao không làm App cho ngon lành và dùng thêm lựa chọn bảo mật bằng vân tay.
+ VCB trang chủ website nên bắt buộc sử dụng SSL thay vì ai vào http thường cũng ok mà https cũng ok. Như vậy khả năng khách hàng nhận biết Phishing cũng cao hơn.

Web của ngân hàng citibank không có dòng màu xanh thì phân biệt thế nào hở cụ?
 

richter

Xe buýt
Biển số
OF-90373
Ngày cấp bằng
31/3/11
Số km
969
Động cơ
413,011 Mã lực
3. Khi em Hương nhập User và pass, nó ăn cắp và cũng nhập user và pass rùi kích hoạt Smart OTP, lúc này rõ ràng di động của em gái cũng nhận được OTP để nhập vào web lạ:P. Web lạ nó đòi OTP để login, hehe, nếu thế em gái này cũng hơi nhẹ

Bác đọc lại những gì mình viết đi :D
Ơ, bác có vấn để về đọc hiểu à???? Em hơi thất vọng về bác đấy, cho bác đọc 5 lần ý 3 của em rồi bảo em viết sai chỗ nào hoặc bác không hiểu chỗ nào để em còn giải thích, chứ em thật sự là không hiểu bác đấy.
 

StepUp

Xe tăng
Biển số
OF-22721
Ngày cấp bằng
21/10/08
Số km
1,983
Động cơ
512,371 Mã lực
Web của ngân hàng citibank không có dòng màu xanh thì phân biệt thế nào hở cụ?
Có mà cụ, Citi Group Inc đó ạ.
3. Khi em Hương nhập User và pass, nó ăn cắp và cũng nhập user và pass rùi kích hoạt Smart OTP, lúc này rõ ràng di động của em gái cũng nhận được OTP để nhập vào web lạ:P. Web lạ nó đòi OTP để login, hehe, nếu thế em gái này cũng hơi nhẹ
Chết ở chỗ nhẹ đó cụ :)

Nhẹ ở chỗ:
+ Vào web fake không để ý
+ Vào web fake thấy yêu cầu gửi/nhận/nhập OTP lạ không để ý
+ Nhìn tin nhắn cũng không nghi ngờ --> đến quả này thì xong. Tất nhiên cũng rất khó có trường hợp này nhưng hacker nó gửi cả trăm ngàn người, xác suất ngu ngơ là có cụ ạ
 

Là Gì Nhỉ

Xe hơi
Biển số
OF-422225
Ngày cấp bằng
13/5/16
Số km
108
Động cơ
219,010 Mã lực
Tuổi
42
Mà nói cho các bác thêm điều này để khỏi lăn tăn nhiều, em tối hôm qua có ngồi với một bạn to to hơi liên quan tới vụ này.

Bạn ấy cho em biết là trên di động của em ấy vẫn có một tin nhắn từ Vietcombank, nội dung như sau: " "Quy khach dang yeu cau kich hoat VCB SMartOTP de su dung tren VCB-iB@ngking. LUU Y : QUY KHACH KHONG TIET LO MA KICH HOAT CHO NGUOI KHAC. Ma kich hoat la 9115"

Bác nào vào FB của em Na Hương hỏi là biết vụ này, hehe, với sms nội dung như thế này thì giời đỡ :((, em thật.
Cái này lại khác, e chưa bàn tới. E đang phản biện bước 3 mà bác đề cập, nó ko logic chút nào :P Em đang thắc mắc về nguồn gốc mã OTP sinh ra từ đâu để nhập vào wen giả mạo khi Ms H kia chưa đăng nhập :P
 

Vinhthayboi

Xe buýt
Biển số
OF-426225
Ngày cấp bằng
31/5/16
Số km
568
Động cơ
221,038 Mã lực
Tuổi
41
Nơi ở
tầng mây thứ 18
Các cụ có trình, em vưỡn không hiểu được, nên chắc bị hắc tk cũng chịu, dự là em gái hương kia cũng thế
 

boyboy1990

Xe điện
Biển số
OF-126857
Ngày cấp bằng
6/1/12
Số km
3,158
Động cơ
405,753 Mã lực
Bác Là Gì Nhỉ nói không phải không có lý, nhất là ý bác đang hỏi cái vụ nó trực 24/24h để lấy OTP là rất hay, hehe.

Nhưng em dựng kịch bản như này bác xem có được không nhá:

1. Hacker nó nhắn tin một sms dự thưởng đến máy của em gái Na Hương, trong đó có báo số tiền được thưởng nào đó, đề nghị click link để xác nhận.
2. Hacker lúc đó chuẩn bị sẵn sàng Laptop để sẵn ở trang VCB, hehe.
3. Khi em Hương nhập User và pass, nó ăn cắp và cũng nhập user và pass rùi kích hoạt Smart OTP, lúc này rõ ràng di động của em gái cũng nhận được OTP để nhập vào web lạ :P. Web lạ nó đòi OTP để login, hehe, nếu thế em gái này cũng hơi nhẹ dạ :D.
4. Em gái nhẹ dạ nhập vào, chưa đầy 30s (hay 60s) bọn nó cũng nhập OTP đó để kích hoạt xong cái Smart OTP.



Nghe cũng có vẻ làm được bác nhỉ 8->\:D/>:/, hehe. Nói chung không gì là không thể :P
Nó ko cần trực, viết autobot để tự động đăng nhập ko có gì khó. Capcha của VCB chỉ để làm cảnh thôi.
 

Là Gì Nhỉ

Xe hơi
Biển số
OF-422225
Ngày cấp bằng
13/5/16
Số km
108
Động cơ
219,010 Mã lực
Tuổi
42
Ơ, bác có vấn để về đọc hiểu à???? Em hơi thất vọng về bác đấy, cho bác đọc 5 lần ý 3 của em rồi bảo em viết sai chỗ nào hoặc bác không hiểu chỗ nào để em còn giải thích, chứ em thật sự là không hiểu bác đấy.
Ý bác là có thằng ngồi canh Ms H này đăng nhập để đăng ký smartOTP? Trùng hợp thế này thì Ms H mặc xi líp màu gì có khi chúng nó cũng biết nhỉ ;))
 

richter

Xe buýt
Biển số
OF-90373
Ngày cấp bằng
31/3/11
Số km
969
Động cơ
413,011 Mã lực
Cái này lại khác, e chưa bàn tới. E đang phản biện bước 3 mà bác đề cập, nó ko logic chút nào :P Em đang thắc mắc về nguồn gốc mã OTP sinh ra từ đâu để nhập vào wen giả mạo khi Ms H kia chưa đăng nhập :P
:P, em đến ạ bác, bọn hacker nó kích hoạt cái smart OTP là tự nhiên em Hương sẽ nhận được cái OTP, nguồn ở đấy chứ ở đâu, cần gì em gái kia phải đăng nhập.

Đến nản với trình đọc hiểu của bác :D
 

Khongdanhvong

Xe điện
Biển số
OF-301828
Ngày cấp bằng
16/12/13
Số km
4,752
Động cơ
331,909 Mã lực
Nói chung cái app smartOTP là thủ phạm ah? Không có nó thì cũng khó lừa. Em dùng citibank, vào mục chuyển khoản là một mã qua sms, sau đó buộc phải thêm người thụ hưởng và lúc này để kích hoạt người thụ hưởng cần một mã qua sms nữa, rồi chỉ gửi được cho những người thụ hưởng đã được kích hoạt thôi. Cụ nào hình dung giúp em có cách nào lừa đc tài khoản citibank không để em đề phòng :D
 

boyboy1990

Xe điện
Biển số
OF-126857
Ngày cấp bằng
6/1/12
Số km
3,158
Động cơ
405,753 Mã lực
Cái này lại khác, e chưa bàn tới. E đang phản biện bước 3 mà bác đề cập, nó ko logic chút nào :P Em đang thắc mắc về nguồn gốc mã OTP sinh ra từ đâu để nhập vào wen giả mạo khi Ms H kia chưa đăng nhập :P
Đăng nhập, submit xong nó mới hỏi mã OTP cụ nhé, nhập tiếp OTP (thực chất là để kích hoạt SmartOTP) là xong con ong.
 

boyboy1990

Xe điện
Biển số
OF-126857
Ngày cấp bằng
6/1/12
Số km
3,158
Động cơ
405,753 Mã lực
Nói chung cái app smartOTP là thủ phạm ah? Không có nó thì cũng khó lừa. Em dùng citibank, vào mục chuyển khoản là một mã qua sms, sau đó buộc phải thêm người thụ hưởng và lúc này để kích hoạt nguy thụ hưởng cần một mã qua sms nữa, rồi chỉ gửi được cho những người thụ hưởng đã được kích hoạt thôi. Cụ nào hình dung giúp em có cách nào lừa đc tài khoản citibank không để em đề phòng :D
Cài malware lên máy cụ là xong. Chắc ăn thì dùng những ngân hàng có hard token như TECH cụ nhé
 
Thông tin thớt
Đang tải
Top