[Funland] Kịch bản Hacker cướp 500tr từ tài khoản khách hàng Vietcombank từ ý kiến chuyên gia

huyluong

Xe container
{Kinh doanh chuyên nghiệp}
Biển số
OF-164663
Ngày cấp bằng
31/10/12
Số km
9,378
Động cơ
418,166 Mã lực
Nơi ở
Số 72 Đường Bờ Kênh, Xã Võng La, Đông Anh, Hà Nội
Website
thanglongglass.vn
Tình hình này chiều phải rút hết ra mới được
 

Bachsima

[Tịch thu bằng lái]
Biển số
OF-327829
Ngày cấp bằng
20/7/14
Số km
17,737
Động cơ
434,776 Mã lực
Thế em mới thấy cái này là cái ngu của thằng VCB gây nguy hại cho người dùng. OTP nó đơn giản chỉ là One Time Password được gửi đến số đt đăng ký độc lập thì mới an toàn, chứ chơi luôn trên web thì đúng là quá nguy hiểm cho khách hàng khi chỉ cần bị hack mật khẩu và pass là toi luôn
Cái smart otp là phần mềm sinh ra chuỗi xác nhận dựa trên chữ ký điện tử nằm trong smart, chuỗi này nếu không dùng smart thì ngân hàng tính hộ rồi gửi chuỗi qua tin nhắn.
Vậy là chị kia coi như đã cho bọn trộm cái chữ ký điện tử của mình khi làm các động tác: khai id/pass, xác nhận kích hoạt smart otp.
Vậy nếu hiểu đúng thì một id người dùng có thể dùng nhiều smart ôtp trên các thiết bị điện tử khac nhau như iphone, ipad hay bb hả các cụ
 

richter

Xe buýt
Biển số
OF-90373
Ngày cấp bằng
31/3/11
Số km
969
Động cơ
413,011 Mã lực
Trường hợp này cực hiếm xảy ra nhưng lại là lỗ hổng gây thiệt hại cho khách hàng. Thông minh đâu chẳng thấy chỉ thấy sự Ngu của cái cách này.
Sinh ra cái Token key và cái Điện thoại là thiết bị độc lập để xác nhận giao dịch nhằm tránh việc bị hack trộm TK mà các bố ấy tích con mẹ nó vào thành 1 cho dễ và đơn giản ( để câu khách là dễ lắm ko mất thời gian), nhưng cái giá phải trả là quá đắt. Theo tôi là đuổi việc hết cái bộ phận và lãnh đạo nào đồng ý dùng cái Smart OTP này ngay và luôn
Hôm qua cái bác to to tiết lộ sms em gái Hương kia có nói là cái Smart OTP sinh ra phục vụ chủ yếu các sếp đi nước ngoài cần giao dịch chuyển tiền bác ạ (không roaming). Nó cũng khá là tiện cho đến khi vụ này xảy ra đấy bác.

Sau khi vụ này xảy ra, VCB đã khóa chức năng SMART OTP từ 2 hôm nay rùi :((
 

one

Xe điện
Biển số
OF-14032
Ngày cấp bằng
16/3/08
Số km
4,160
Động cơ
508,839 Mã lực
Cụ Là Gì Nhỉ chắc vì có sẵn định kiến với ngân hàng trong đầu rồi nên mới cố tình không hiểu thôi chứ bao nhiêu người giải thích rồi, người thường như em đọc còn hiểu ngay mà.

1. Hacker gửi tin nhắn dụ chủ tài khoản vào web giả có giao diện giống web thật.
2. Chủ tk nhập thông tin đăng nhập vào web giả, web giả có thể câu giờ bằng cách hiện thông báo "đang xử lý" hoặc bắt đăng nhập lại vì có lỗi.
3. Ngay khi có thông tin đăng nhập của chủ tk, web giả dùng chương trình tự động (bot) dùng thông tin đó để vào web thật của ngân hàng rồi chọn chuyển sang dùng chức năng Smart-OTP.
4. Cùng lúc này, web giả đưa ra một yêu cầu nào đó bắt chủ tk nhập mã xác nhận.
4. Mã xác nhận (cho việc chuyển sang dùng Smart-OTP) được web thật gửi về điện thoại của chủ tk.
5. Chủ tk nhập mã xác nhận vào web giả, chương trình tự động lại dùng mã xác nhận này để nhập vào web thật và chuyển sang Smart-OTP thành công.

5 bước này diễn ra trong vòng chưa đầy 2 phút và không gây ra vấn đề gì ngay lập tức nên chủ tk làm xong quên luôn. Mãi đến khi hacker dùng thông tin đăng nhập + Smart-OTP để chuyển tiền thì mới tá hoả. Vậy đó cụ.
 

StepUp

Xe tăng
Biển số
OF-22721
Ngày cấp bằng
21/10/08
Số km
1,983
Động cơ
512,371 Mã lực
Trường hợp này cực hiếm xảy ra nhưng lại là lỗ hổng gây thiệt hại cho khách hàng. Thông minh đâu chẳng thấy chỉ thấy sự Ngu của cái cách này.
Sinh ra cái Token key và cái Điện thoại là thiết bị độc lập để xác nhận giao dịch nhằm tránh việc bị hack trộm TK mà các bố ấy tích con mẹ nó vào thành 1 cho dễ và đơn giản ( để câu khách là dễ lắm ko mất thời gian), nhưng cái giá phải trả là quá đắt. Theo tôi là đuổi việc hết cái bộ phận và lãnh đạo nào đồng ý dùng cái Smart OTP này ngay và luôn
Lều báo viết chuẩn này cụ, đúng ra cái Smart OTP đó phải ra ngân hàng đăng ký mới được.

Tuy nhiên, theo nhiều chuyên gia, điều kiện để kích hoạt Smart OTP của Vietcombank quá đơn giản khi chỉ yêu cầu một lần nhập mật khẩu OTP thay vì buộc khách hàng phải đến phòng giao dịch đăng ký tại quầy. "Ngoài ra, để đảm bảo an toàn, đáng lẽ ngân hàng nên quy định thiết bị di động đăng ký cài Smart OTP và thiết bị trước đó đăng ký dịch vụ SMS banking để nhận OTP thông thường phải là một. Ở trường hợp này, kẻ gian đã chiếm được SmartOTP của chị Hương để cài cho thiết bị di động khác và thoải mái giao dịch", vị chuyên gia này phân tích.
 

Là Gì Nhỉ

Xe hơi
Biển số
OF-422225
Ngày cấp bằng
13/5/16
Số km
108
Động cơ
219,010 Mã lực
Tuổi
42
Cụ Là Gì Nhỉ chắc vì có sẵn định kiến với ngân hàng trong đầu rồi nên mới cố tình không hiểu thôi chứ bao nhiêu người giải thích rồi, người thường như em đọc còn hiểu ngay mà.

1. Hacker gửi tin nhắn dụ chủ tài khoản vào web giả có giao diện giống web thật.
2. Chủ tk nhập thông tin đăng nhập vào web giả, web giả có thể câu giờ bằng cách hiện thông báo "đang xử lý" hoặc bắt đăng nhập lại vì có lỗi.
3. Ngay khi có thông tin đăng nhập của chủ tk, web giả dùng chương trình tự động (bot) dùng thông tin đó để vào web thật của ngân hàng rồi chọn chuyển sang dùng chức năng Smart-OTP.
4. Cùng lúc này, web giả đưa ra một yêu cầu nào đó bắt chủ tk nhập mã xác nhận.
4. Mã xác nhận (cho việc chuyển sang dùng Smart-OTP) được web thật gửi về điện thoại của chủ tk.
5. Chủ tk nhập mã xác nhận vào web giả, chương trình tự động lại dùng mã xác nhận này để nhập vào web thật và chuyển sang Smart-OTP thành công.

5 bước này diễn ra trong vòng chưa đầy 2 phút và không gây ra vấn đề gì ngay lập tức nên chủ tk làm xong quên luôn. Mãi đến khi hacker dùng thông tin đăng nhập + Smart-OTP để chuyển tiền thì mới tá hoả. Vậy đó cụ.
Mấy cái "nào đó" của cụ là mấu chốt. Một người thường xuyên sử dụng IB sẽ ko phạm sai lầm như vậy. Ok, chốt lại là cô H này ngáo ngơ. Em xin lỗi các cụ đã mất thời gian vì các thắc mắc của e :))
 

tovit99

Xe buýt
Biển số
OF-11249
Ngày cấp bằng
26/10/07
Số km
656
Động cơ
537,370 Mã lực
Nơi ở
Hà Nội
Các cụ có vẻ thắc mắc nhiều, em cũng có tí nghề và cũng tổng hợp từ nhiều nguồn để hầu các cụ về vụ hack 500 củ như thế này ạ. Kịch bản này khá hợp lý và hoàn toàn làm được.

1. Hacker cài sẵn Smart OTP, App VCB lên điện thoại, không kích hoạt cũng như đăng ký.

2. Chị Hương bị lừa vào website phishing, là web lừa đảo giao diện giống thật, sau đó mất mật khẩu, user IB. Đồng thời web này đưa ra một yêu cầu giả mạo nào đó bắt chị Hương phải nhập OTP.

3. Đồng thời lúc đó hacker dùng User và pass lấy được truy cập app Smart OTP và yêu cầu kích hoạt, SMS OTP gửi đến điện thoại chị Hương, chị này nhập ngay lên Web fake kia. Hacker active thành công Smart OTP, đồng thời chiếm đủ quyền để thực hiện giao dịch.

Gồm User, Pass Ibanking và App SmartOTP đã kích hoạt theo tài khoản.


Để chi tiết hơn em detail cái kịch bản này theo hướng chủ quan, nếu em là thằng hacker và các cụ là người bị hại



Ý kiến:
---------------------
1. Mấy bước trên này hoàn toàn có thể làm bằng máy, không cần con người nhúng tay vào bất cứ công đoạn nào của Hacker.

2. Kịch bản này sai nếu chị Hương cũng đang dùng App SmartOTP. Khả năng này ít, vì app của VCB lởm.

3. Đây chỉ là kịch bản giả thuyết và nó sẽ bị bác bỏ khi Công An không tra được tin nhắn từ số chị Hương có nội dung về kích hoạt Smart OTP

4. Dù là giả thuyết nhưng việc này có khả năng làm được nếu KHÁCH HÀNG KHÔNG CẨN THẬN khi giao dịch online.

5. VCB cảnh báo không cung cấp User và Pass IBanking cho bất cứ ứng dụng hay ai là chính xác. Tuy nhiên các cụ mợ nên cảnh giác khi vào hệ thống ngân hàng để giao dịch online. Phải nhìn kĩ dòng báo xanh trên thanh trình duyệt như hình. Hiện nay có App cũng "xin" tài khoản Ibanking, tuyệt đối không dùng tính năng này của các app đó các cụ nhé.





Update mới :

Ngoài khả năng trên, mới nghe thiên hạ FB đồn App Smart OTP của VCB có vấn đề......
Các cụ hóng tiếp nhá.

Kịch bản này đúng. Hôm qua em đã có văn bản yêu cầu các bank đang dùng soft token chỉ đc cung cấp mã kích hoạt app cho khách hàng tại quầy, không đc cung cấp qua sms. Đồng thời, yêu cầu đặt thời hạn hiệu lực của otp dưới 40s. Các cụ yên tâm giao dịch đê
 

StepUp

Xe tăng
Biển số
OF-22721
Ngày cấp bằng
21/10/08
Số km
1,983
Động cơ
512,371 Mã lực
Mấy cái "nào đó" của cụ là mấu chốt. Một người thường xuyên sử dụng IB sẽ ko phạm sai lầm như vậy. Ok, chốt lại là cô H này ngáo ngơ. Em xin lỗi các cụ đã mất thời gian vì các thắc mắc của e :))
Cụ đã hiểu là kĩ thuật làm được rồi, thì vấn đề là khách ngáo ngơ thôi.
Dùng một cái email giả mạo tên miền vietcombank-cardcenter**.com gửi cho vài chục ngàn người, kiểu gì chả có con gà. Mail đấy không để ý rồi nó bảo làm cái này làm cái kia không là mất tài khoản chắc tè ra máu mà làm theo. Gà nhiều lắm. Và em nghi còn nhiều gà khác nữa đã mất User, Pass IBanking, hoặc mất luôn cả SmartOTP như chị kia rồi :)
 

Greeno

Xe cút kít
Biển số
OF-22422
Ngày cấp bằng
14/10/08
Số km
15,922
Động cơ
619,608 Mã lực
Nơi ở
www.bodetam.vn
Website
www.bodetam.vn
Lều báo viết chuẩn này cụ, đúng ra cái Smart OTP đó phải ra ngân hàng đăng ký mới được.
Thế cũng còn an toàn hơn, tuy nhiên lần sau bị hack là vẫn toi
Cụ Là Gì Nhỉ chắc vì có sẵn định kiến với ngân hàng trong đầu rồi nên mới cố tình không hiểu thôi chứ bao nhiêu người giải thích rồi, người thường như em đọc còn hiểu ngay mà.

1. Hacker gửi tin nhắn dụ chủ tài khoản vào web giả có giao diện giống web thật.
2. Chủ tk nhập thông tin đăng nhập vào web giả, web giả có thể câu giờ bằng cách hiện thông báo "đang xử lý" hoặc bắt đăng nhập lại vì có lỗi.
3. Ngay khi có thông tin đăng nhập của chủ tk, web giả dùng chương trình tự động (bot) dùng thông tin đó để vào web thật của ngân hàng rồi chọn chuyển sang dùng chức năng Smart-OTP.
4. Cùng lúc này, web giả đưa ra một yêu cầu nào đó bắt chủ tk nhập mã xác nhận.
4. Mã xác nhận (cho việc chuyển sang dùng Smart-OTP) được web thật gửi về điện thoại của chủ tk.
5. Chủ tk nhập mã xác nhận vào web giả, chương trình tự động lại dùng mã xác nhận này để nhập vào web thật và chuyển sang Smart-OTP thành công.

5 bước này diễn ra trong vòng chưa đầy 2 phút và không gây ra vấn đề gì ngay lập tức nên chủ tk làm xong quên luôn. Mãi đến khi hacker dùng thông tin đăng nhập + Smart-OTP để chuyển tiền thì mới tá hoả. Vậy đó cụ.
Quy trình chắc là đúng như cụ mô tả rồi
 

one

Xe điện
Biển số
OF-14032
Ngày cấp bằng
16/3/08
Số km
4,160
Động cơ
508,839 Mã lực
Mấy cái "nào đó" của cụ là mấu chốt. Một người thường xuyên sử dụng IB sẽ ko phạm sai lầm như vậy. Ok, chốt lại là cô H này ngáo ngơ. Em xin lỗi các cụ đã mất thời gian vì các thắc mắc của e :))
Cái "nào đó" thì đơn giản mà cụ, web giả nó bịa ra thông báo lỗi hay chương trình dự thưởng gì chả được. Người hay dùng Internet Banking mà chỉ cần lơ là không để ý kỹ, vừa thao tác banking vừa chơi game/chat với bạn chẳng hạn, là dính thôi.
 

redflame

Xe điện
Biển số
OF-195719
Ngày cấp bằng
26/5/13
Số km
2,392
Động cơ
343,211 Mã lực
Cụ phải tính cả trường hợp khách hàng đi nước ngoài nữa.
Ở nước ngoài vẫn nhận được SMS mà cụ. Em nghĩ đúng ra thì Smart OTP phải được đồng bộ với số điện thoại đã đăng ký với NH để nhận OTP
 

leekangsub

Đi bộ
Biển số
OF-304563
Ngày cấp bằng
10/1/14
Số km
5
Động cơ
303,740 Mã lực
Em thấy 1 số cụ ở đây pro it nên thấy ai cũng gà . Không nghĩ lỗi của NH. Còn ý kiến của em, khách đã dùng Internet Banking nhiều lần, cũng hay đi " ngoài ra nước " , facebook cũng nhiều follow , cũng thuộc dạng ko phải mù mờ thông tin . 1 người có 500tr tài khoản thuộc dạng ngáo ngơ, còn các cụ ở đây chắc tài khoản tầm 5 tỷ trở lên
 

Khongdanhvong

Xe điện
Biển số
OF-301828
Ngày cấp bằng
16/12/13
Số km
4,752
Động cơ
331,909 Mã lực
Cụ Là Gì Nhỉ chắc vì có sẵn định kiến với ngân hàng trong đầu rồi nên mới cố tình không hiểu thôi chứ bao nhiêu người giải thích rồi, người thường như em đọc còn hiểu ngay mà.

1. Hacker gửi tin nhắn dụ chủ tài khoản vào web giả có giao diện giống web thật.
2. Chủ tk nhập thông tin đăng nhập vào web giả, web giả có thể câu giờ bằng cách hiện thông báo "đang xử lý" hoặc bắt đăng nhập lại vì có lỗi.
3. Ngay khi có thông tin đăng nhập của chủ tk, web giả dùng chương trình tự động (bot) dùng thông tin đó để vào web thật của ngân hàng rồi chọn chuyển sang dùng chức năng Smart-OTP.
4. Cùng lúc này, web giả đưa ra một yêu cầu nào đó bắt chủ tk nhập mã xác nhận.
4. Mã xác nhận (cho việc chuyển sang dùng Smart-OTP) được web thật gửi về điện thoại của chủ tk.
5. Chủ tk nhập mã xác nhận vào web giả, chương trình tự động lại dùng mã xác nhận này để nhập vào web thật và chuyển sang Smart-OTP thành công.

5 bước này diễn ra trong vòng chưa đầy 2 phút và không gây ra vấn đề gì ngay lập tức nên chủ tk làm xong quên luôn. Mãi đến khi hacker dùng thông tin đăng nhập + Smart-OTP để chuyển tiền thì mới tá hoả. Vậy đó cụ.
Cụ cho em hỏi, khi ngân hàng gửi otp xác nhận smartOTP thì tin nhắn đó viết như thế nào? Vì sao chủ tk lại không hề để ý.
 

richter

Xe buýt
Biển số
OF-90373
Ngày cấp bằng
31/3/11
Số km
969
Động cơ
413,011 Mã lực
Cụ cho em hỏi, khi ngân hàng gửi otp xác nhận smartOTP thì tin nhắn đó viết như thế nào? Vì sao chủ tk lại không hề để ý.
Em chém rùi mà, trong máy của em gái này còn lưu sms này:

"Quy khach dang yeu cau kich hoat VCB SMartOTP de su dung tren VCB-iB@ngking. LUU Y : QUY KHACH KHONG TIET LO MA KICH HOAT CHO NGUOI KHAC. Ma kich hoat la 9115"
 

thich__6969

Xe tăng
Biển số
OF-427295
Ngày cấp bằng
4/6/16
Số km
1,702
Động cơ
227,550 Mã lực
Em thấy 1 số cụ ở đây pro it nên thấy ai cũng gà . Không nghĩ lỗi của NH. Còn ý kiến của em, khách đã dùng Internet Banking nhiều lần, cũng hay đi " ngoài ra nước " , facebook cũng nhiều follow , cũng thuộc dạng ko phải mù mờ thông tin . 1 người có 500tr tài khoản thuộc dạng ngáo ngơ, còn các cụ ở đây chắc tài khoản tầm 5 tỷ trở lên
Cụ đúng về việc nhiều tiền hơn là GIỎI hơn, nhưng là chung chung vậy,
chứ một lĩnh vực nhỏ VD như cài window chẳng hạn, thì ai làm chuyên sẽ giỏi hơn.
Lỗi của ai thì còn bóng bàn mà cụ ! (sơ sơ thì mợ kia cũng vì th** gì đó ???)
 

Godfather77

Xe điện
Biển số
OF-13383
Ngày cấp bằng
22/2/08
Số km
3,440
Động cơ
548,035 Mã lực
Nơi ở
Hạ Long city
Tóm lại là không tham SH thì éo sao các cụ nhể? :)
 

one

Xe điện
Biển số
OF-14032
Ngày cấp bằng
16/3/08
Số km
4,160
Động cơ
508,839 Mã lực
Có biến mới đây cụ, một chủ tài khoản khác vừa đưa bằng chứng khẳng định là hệ thống Internet Banking của VCB từng hở nghiêm trọng, cụ thể là chỉ cần vào được Internet Banking là thay đổi được số điện thoại nhận OTP. Tức là hacker chỉ cần lừa chủ tk vào được trang web giả và lấy được thông tin đăng nhập là xong con ong. Mãi sau khi có vụ việc 500tr thì hệ thống của VCB mới dẹp cái việc cho người dùng Internet Banking thêm số điện thoại nhận OTP. Quả này VCB mệt rồi.

https://www.facebook.com/nguyenngoclong1983/posts/688017584683667
 

StepUp

Xe tăng
Biển số
OF-22721
Ngày cấp bằng
21/10/08
Số km
1,983
Động cơ
512,371 Mã lực
Có biến mới đây cụ, một chủ tài khoản khác vừa đưa bằng chứng khẳng định là hệ thống Internet Banking của VCB từng hở nghiêm trọng, cụ thể là chỉ cần vào được Internet Banking là thay đổi được số điện thoại nhận OTP. Tức là hacker chỉ cần lừa chủ tk vào được trang web giả và lấy được thông tin đăng nhập là xong con ong. Mãi sau khi có vụ việc 500tr thì hệ thống của VCB mới dẹp cái việc cho người dùng Internet Banking thêm số điện thoại nhận OTP. Quả này VCB mệt rồi.

https://www.facebook.com/nguyenngoclong1983/posts/688017584683667
Update mới :

Ngoài khả năng như kịch bản trên, mới nghe thiên hạ FB đồn thêm 2 khả năng:

+ 1 App Smart OTP của VCB có vấn đề... đã có cộng đồng hacker đang check và test --> http://www.vnsecurity.net/research/2016/08/13/Ve-su-vu-khach-hang-Vietcombank-bi-mat-tien.html

+ 2 Vietcombank Ibanking có thể active Smart OTP mà không cần SMS OTP --> https://www.facebook.com/nguyenngoclong1983/posts/688017584683667
 

Gcar

Xe lăn
Biển số
OF-38790
Ngày cấp bằng
21/6/09
Số km
11,534
Động cơ
572,214 Mã lực
Có biến mới đây cụ, một chủ tài khoản khác vừa đưa bằng chứng khẳng định là hệ thống Internet Banking của VCB từng hở nghiêm trọng,
Nếu dúng đi nữa thì cũng bình thùơng thôi, VCB nó thấy sai thì sửa chứ có gì mà quy chụp.
 
Thông tin thớt
Đang tải
Top