[Funland] Kịch bản Hacker cướp 500tr từ tài khoản khách hàng Vietcombank từ ý kiến chuyên gia

Là Gì Nhỉ

Xe hơi
Biển số
OF-422225
Ngày cấp bằng
13/5/16
Số km
108
Động cơ
219,010 Mã lực
Tuổi
42
Thôi để em viết lại bước 3 cho bác Là Gì Nhỉ dể hiểu hơn:

3a. Web lạ nó có 3 cái username, pass và OTP, em gái mới nhập 2 cái username và pass chắc chắn là chưa có SMS otp :P.

3b. Hacker nó login bằng user/pass bị lộ, nó kích hoạt SMART OTP của em gái, tất nhiên em gái nhận được SMS otp trên di động của ẻm, phỏng ạ? Nguồn đấy chứ đâu, bác hỏi gì hỏi lắm thế :D

3c. Nó sử dụng SMS otp để kích hoạt SMART otp và xong con ong :P.

Bác đã hiểu bước 3 chưa?:D>:D<>:/8->=P~
Bác đọc lại còm #55 của e dùm
 

boyboy1990

Xe điện
Biển số
OF-126857
Ngày cấp bằng
6/1/12
Số km
3,158
Động cơ
405,753 Mã lực
Smart OTP khác OTP ở chỗ nào hả cụ?
SmartOTP là ứng dụng riêng của VCB, khi chuyển tiền trên web VCB nó sinh ra 1 chuỗi, nhập chuỗi đó vào phần mềm SmartOTP sẽ sinh ra mã xác thực. Nhập mã xác thực vào Web VCB là giao dịch thành công.

OTP bình thường hay dùng đc gửi thẳng từ ngân hàng qua SMS tới số điện thoại của người dùng.
 

Greeno

Xe cút kít
Biển số
OF-22422
Ngày cấp bằng
14/10/08
Số km
15,922
Động cơ
619,608 Mã lực
Nơi ở
www.bodetam.vn
Website
www.bodetam.vn
Bác phải viết là Smart OTP khác SMS otp chỗ nào mới chuẩn?

Smart là một ứng dụng chạy trên di động cấp cho bác OTP khi bác chuyển tiền mà không cần Sms OTP từ nhà mạng viễn thông. Lợi là bác đỡ được 8.800k/ tháng và đỡ phải chờ đợi sms từ nhà mạng. Hại là nếu bác bị hack như em gái này là bác tèo :((. Cái ứng dụng Smart OTP này cũng cần có Sms OTP để kích hoạt.
SMS OTP là tin nhắn từ nhà mạng viễn thông, mỗi khi bác chuyển tiền hoặc làm gì liên quan tới tài khoản là phải có cái SMS OTP về máy di động của bác. Cái này chắc bác biết rồi.

Em mới biết về 2 cái này qua vụ tiền này, hehe.
Cái Smart là ứng dụng tự sinh ra cần sử dụng, còn SMS là phải từ nhà mạng. Em hiểu rồi

Vì cái chữ OTP là viết tắt của One Time Password nên em vẫn nghĩ nó chỉ được sinh ra 1 lần khi có yêu cầu kích hoạt 1 hoạt động nào đó từ chủ TK thì ngay lập tức sẽ chuyển từ hệ thống vào máy điện thoại đã đăng ký. Nhưng nó lại thêm cái ứng dụng kia mà ko cần đến việc chuyển sang số đt đăng ký thì chịu
 

luyenok

Xe điện
Biển số
OF-60057
Ngày cấp bằng
26/3/10
Số km
4,133
Động cơ
770,885 Mã lực
Cụ nào con thắc mắc về bot hay tiến trình ngầm gì đó thì mới vào web dưới sign của Em, mua thử cái thẻ điện thoại (hoặc nạp tiền) 10K, chọn hình thức thanh toán là Vietcombank, xong đó chuyển tiền theo đúng hướng dẫn là hiểu.
 

Greeno

Xe cút kít
Biển số
OF-22422
Ngày cấp bằng
14/10/08
Số km
15,922
Động cơ
619,608 Mã lực
Nơi ở
www.bodetam.vn
Website
www.bodetam.vn
SmartOTP là ứng dụng riêng của VCB, khi chuyển tiền trên web VCB nó sinh ra 1 chuỗi, nhập chuỗi đó vào phần mềm SmartOTP sẽ sinh ra mã xác thực. Nhập mã xác thực vào Web VCB là giao dịch thành công.

OTP bình thường hay dùng đc gửi thẳng từ ngân hàng qua SMS tới số điện thoại của người dùng.
Thế em mới thấy cái này là cái ngu của thằng VCB gây nguy hại cho người dùng. OTP nó đơn giản chỉ là One Time Password được gửi đến số đt đăng ký độc lập thì mới an toàn, chứ chơi luôn trên web thì đúng là quá nguy hiểm cho khách hàng khi chỉ cần bị hack mật khẩu và pass là toi luôn
 

luyenok

Xe điện
Biển số
OF-60057
Ngày cấp bằng
26/3/10
Số km
4,133
Động cơ
770,885 Mã lực
Thế em mới thấy cái này là cái ngu của thằng VCB gây nguy hại cho người dùng. OTP nó đơn giản chỉ là One Time Password được gửi đến số đt đăng ký độc lập thì mới an toàn, chứ chơi luôn trên web thì đúng là quá nguy hiểm cho khách hàng khi chỉ cần bị hack mật khẩu và pass là toi luôn
ko phải đâu cụ, smart OTP nó cũng giống như cái token (khoá cứng) hoặc các cơ chế sinh mã bảo mật khác rất an toàn (tất nhiên là ai giữ nó đều đọc đc). Bản thân nó cũng là One Time Password. Về cơ chế sinh mã nó không khác gì OTP kia cả, chỉ khác là OTP kia được gửi đến SMS, còn cái này nó hiện ra trên phần mềm giống như hiện ra trên màn hình LED nhỏ xíu của cái token.
 

Gcar

Xe lăn
Biển số
OF-38790
Ngày cấp bằng
21/6/09
Số km
11,534
Động cơ
572,214 Mã lực
Thế em mới thấy cái này là cái ngu của thằng VCB gây nguy hại cho người dùng. OTP nó đơn giản chỉ là One Time Password được gửi đến số đt đăng ký độc lập thì mới an toàn, chứ chơi luôn trên web thì đúng là quá nguy hiểm cho khách hàng khi chỉ cần bị hack mật khẩu và pass là toi luôn
muốn chuyển qua Smart OTP thì phải cần 1 cái Sms OTP 1 lần đầu, cái này chị kia cũng cung cấp cho nó luôn!
 

StepUp

Xe tăng
Biển số
OF-22721
Ngày cấp bằng
21/10/08
Số km
1,983
Động cơ
512,371 Mã lực
Thế em mới thấy cái này là cái ngu của thằng VCB gây nguy hại cho người dùng. OTP nó đơn giản chỉ là One Time Password được gửi đến số đt đăng ký độc lập thì mới an toàn, chứ chơi luôn trên web thì đúng là quá nguy hiểm cho khách hàng khi chỉ cần bị hack mật khẩu và pass là toi luôn
Cái chết ở vụ này nằm ở 2 điểm:

1. App Smart OTP của VCB độc lập với SMS OTP, 2 cái có tác dụng như nhau nhưng lại không có kết nối hay thống nhất với nhau.
2. Người dùng không cẩn thận bị lừa
 

redflame

Xe điện
Biển số
OF-195719
Ngày cấp bằng
26/5/13
Số km
2,392
Động cơ
343,211 Mã lực
Các cụ có vẻ thắc mắc nhiều, em cũng có tí nghề và cũng tổng hợp từ nhiều nguồn để hầu các cụ về vụ hack 500 củ như thế này ạ. Kịch bản này khá hợp lý và hoàn toàn làm được.

1. Hacker cài sẵn Smart OTP, App VCB lên điện thoại, không kích hoạt cũng như đăng ký.

2. Chị Hương bị lừa vào website phishing, là web lừa đảo giao diện giống thật, sau đó mất mật khẩu, user IB. Đồng thời web này đưa ra một yêu cầu giả mạo nào đó bắt chị Hương phải nhập OTP.

3. Đồng thời lúc đó hacker dùng User và pass lấy được truy cập app Smart OTP và yêu cầu kích hoạt, SMS OTP gửi đến điện thoại chị Hương, chị này nhập ngay lên Web fake kia. Hacker active thành công Smart OTP, đồng thời chiếm đủ quyền để thực hiện giao dịch.

Gồm User, Pass Ibanking và App SmartOTP đã kích hoạt theo tài khoản.


Để chi tiết hơn em detail cái kịch bản này theo hướng chủ quan, nếu em là thằng hacker và các cụ là người bị hại



Ý kiến:
---------------------
1. Mấy bước trên này hoàn toàn có thể làm bằng máy, không cần con người nhúng tay vào bất cứ công đoạn nào của Hacker.

2. Kịch bản này sai nếu chị Hương cũng đang dùng App SmartOTP. Khả năng này ít, vì app của VCB lởm.

2. VCB cảnh báo không cung cấp User và Pass IBanking cho bất cứ ứng dụng hay ai là chính xác. Tuy nhiên các cụ mợ nên cảnh giác khi vào hệ thống ngân hàng để giao dịch online. Phải nhìn kĩ dòng báo xanh trên thanh trình duyệt như hình. Hiện nay có App cũng "xin" tài khoản Ibanking, tuyệt đối không dùng tính năng này của các app đó các cụ nhé.

Em thấy có khả năng. Nhưng mợ Hương bảo lúc có giao dịch mợ ý đang ngủ, mà ngủ thì không nhập OTP để xác nhận chuyển sang sử dụng Smart OTP được, trừ khi mợ ấy khai láo, em hiểu thế đúng ko cụ?
 

Là Gì Nhỉ

Xe hơi
Biển số
OF-422225
Ngày cấp bằng
13/5/16
Số km
108
Động cơ
219,010 Mã lực
Tuổi
42
Cụ ko biết 1 tí gì về Ai ti mà tranh luận như đúng dồi. E trả lời cụ nốt 1 nần lày nhé: Khi bà H kia mở web fake và oánh vào ô đăng nhập thì ngay lập tức máy tính của hacker cảnh báo có ng đang đăng nhập, và mail, phần mềm chẳng hạn của hacker sẽ nhận đc ID, Pass nhé. Web fake nó sẽ làm điều đó.
Rồi cô H ngồi chờ thằng kia nó đăng ký smartOTP xong rồi nhập mã OTP hử? Cụ có thấy nó khôi hài ko?
 

richter

Xe buýt
Biển số
OF-90373
Ngày cấp bằng
31/3/11
Số km
969
Động cơ
413,011 Mã lực
Thôi, trình IT ngu ngơ của em chả biết gì về chạy ngầm autobot.... không đủ để đánh võng với bác Là Gì Nhỉ :D, hehe.

Các bác khác ngồi để chiến với bác đấy :D, chứ em thì nhìn thấy kiểu của bác Là Gì Nhỉ là dạng đánh võng như thế nào rùi. Mặc dù các bác IT cao ở đây giải thích khá là dễ hiểu cho trình II còi là em vẫn hiểu, nhưng bác ấy vẫn lờ đi, hehe.

Em ngược, dành đất cho các bác nào muốn tìm hiểu để đỡ mất tiền ngu như em gái này rồi mang lên FB ăn vạ :D.
 

redflame

Xe điện
Biển số
OF-195719
Ngày cấp bằng
26/5/13
Số km
2,392
Động cơ
343,211 Mã lực
Thế em mới thấy cái này là cái ngu của thằng VCB gây nguy hại cho người dùng. OTP nó đơn giản chỉ là One Time Password được gửi đến số đt đăng ký độc lập thì mới an toàn, chứ chơi luôn trên web thì đúng là quá nguy hiểm cho khách hàng khi chỉ cần bị hack mật khẩu và pass là toi luôn
Nó chỉ tiện khi có Internet thực hiện giao dịch nhưng không có sóng điện thoại để nhận SMS OTP, mà cái này thì ít xảy ra
 

tuyenvh

Xe tải
Biển số
OF-114017
Ngày cấp bằng
23/9/11
Số km
468
Động cơ
391,660 Mã lực
Nơi ở
Hà nội
Rồi cô H ngồi chờ thằng kia nó đăng ký smartOTP xong rồi nhập mã OTP hử? Cụ có thấy nó khôi hài ko?
đọc mấy comment của cụ này mà chết cười, thực sự là khả năng nhận thức của cụ có vấn đề, Em thật cụ đừng giận :D
 

Greeno

Xe cút kít
Biển số
OF-22422
Ngày cấp bằng
14/10/08
Số km
15,922
Động cơ
619,608 Mã lực
Nơi ở
www.bodetam.vn
Website
www.bodetam.vn
muốn chuyển qua Smart OTP thì phải cần 1 cái Sms OTP 1 lần đầu, cái này chị kia cũng cung cấp cho nó luôn!
Thì em mới nói là quá nguy hiểm cái Smart OTP mà.
Nếu nó được gửi đến 1 thiết bị độc lập như điện thoại hay cái Token key thì để rút hay chuyển tiền phải có mả mật khẩu pass và thiết bị ( cái này chỉ có cách kề dao vào cổ mới có).
Còn kiểu kia thì quá đơn giản để hacker nó ăn cắp tiền
 

Gcar

Xe lăn
Biển số
OF-38790
Ngày cấp bằng
21/6/09
Số km
11,534
Động cơ
572,214 Mã lực
Em thấy có khả năng. Nhưng mợ Hương bảo lúc có giao dịch mợ ý đang ngủ, mà ngủ thì không nhập OTP để xác nhận chuyển sang sử dụng Smart OTP được, trừ khi mợ ấy khai láo, em hiểu thế đúng ko cụ?
ai bảo nhập otp lúc chuyển tiền đâu, mà là lúc click vào link fake kia. Sau khi nhập vào link fake thì nó sẽ bảo hệ thống đang bảo trì gì đấy để không xem được tài khoản. Sau đó bọn kia chờ đến đêm thì làm.
 

thich__6969

Xe tăng
Biển số
OF-427295
Ngày cấp bằng
4/6/16
Số km
1,702
Động cơ
227,550 Mã lực
Em thấy có khả năng. Nhưng mợ Hương bảo lúc có giao dịch mợ ý đang ngủ, mà ngủ thì không nhập OTP để xác nhận chuyển sang sử dụng Smart OTP được, trừ khi mợ ấy khai láo, em hiểu thế đúng ko cụ?
Các cụ trên đang đoán kịch bản như vậy, chỉ khác là thời gian đổi sang SmartOTP có thể xảy ra trước đó 1-2 ngày cũng chẳng sao.
Hacker nó có khóa rồi, để sẵn đó, đêm mới chuyển tiền được mà cụ.
 

Greeno

Xe cút kít
Biển số
OF-22422
Ngày cấp bằng
14/10/08
Số km
15,922
Động cơ
619,608 Mã lực
Nơi ở
www.bodetam.vn
Website
www.bodetam.vn
Nó chỉ tiện khi có Internet thực hiện giao dịch nhưng không có sóng điện thoại để nhận SMS OTP, mà cái này thì ít xảy ra
Trường hợp này cực hiếm xảy ra nhưng lại là lỗ hổng gây thiệt hại cho khách hàng. Thông minh đâu chẳng thấy chỉ thấy sự Ngu của cái cách này.
Sinh ra cái Token key và cái Điện thoại là thiết bị độc lập để xác nhận giao dịch nhằm tránh việc bị hack trộm TK mà các bố ấy tích con mẹ nó vào thành 1 cho dễ và đơn giản ( để câu khách là dễ lắm ko mất thời gian), nhưng cái giá phải trả là quá đắt. Theo tôi là đuổi việc hết cái bộ phận và lãnh đạo nào đồng ý dùng cái Smart OTP này ngay và luôn
 

Venetta

Xe điện
Biển số
OF-393540
Ngày cấp bằng
23/11/15
Số km
4,501
Động cơ
363,412 Mã lực
Nó chỉ tiện khi có Internet thực hiện giao dịch nhưng không có sóng điện thoại để nhận SMS OTP, mà cái này thì ít xảy ra
Cụ phải tính cả trường hợp khách hàng đi nước ngoài nữa.
 
Thông tin thớt
Đang tải
Top