[Funland] Từ vụ việc brand name SMS lừa đảo từ ngân hàng chúng ta cần làm gì để bảo vệ mình

Lemica

Xe tăng
Biển số
OF-420747
Ngày cấp bằng
5/5/16
Số km
1,367
Động cơ
232,916 Mã lực
Khoảng năm 2000 em có nghịch một app có khả năng gửi email dưới nguồn gửi From: bất kỳ email nào và có thể gửi đi hàng trăm email một lúc. Tương tự như vụ SMS hôm nay.
 

Ga_son

Xe điện
Biển số
OF-6072
Ngày cấp bằng
20/6/07
Số km
3,472
Động cơ
1,550,187 Mã lực
Smart OTP an toàn hơn nhiều mã xác thực tự tạo chỉ có giá trị trong thời gian nhất định tính = giây. quá thời gian nhập vào ko còn giá trị.
 

gocbachop

[Tịch thu bằng lái]
Biển số
OF-297185
Ngày cấp bằng
30/10/13
Số km
238
Động cơ
313,382 Mã lực
internetbanking em xài giờ nó bỏ mẹ nó cái OTP rồi, chủ tự nhớ pass mà nhập khi confirm chuyển xèng
ACB nó còn có OTP 2 lớp cơ, vừa phải nhập pass vừa phải nhập cả mã số tin nhắn gửi đến điện thoại... bọn hack có ăn cắp vào mắt!!!!!!
 

iTrust

Xe buýt
Biển số
OF-709671
Ngày cấp bằng
6/12/19
Số km
711
Động cơ
95,641 Mã lực
Em, với tư cách là cựu CEO VHT, một trong những Công ty làm Brand Name SMS rất sớm ở Việt Nam, từ 2007. Muốn chia sẻ với các bạn một chút về nguyên lý vụ lừa đảo bằng Brand Name SMS của ngân hàng khá là rầm rộ hôm qua, ngày 4/2.

Cho các cụ nào chưa biết thông tin vụ việc này


Thông thường, một tin nhắn gửi đến cho điện thoại của bạn sẽ hiển thị một dãy số, ví dụ +849XXXXXXXX. Từ nhiều năm trước, đã có thể gửi bằng một chuỗi ký tự (chữ) thay vì số và dịch vụ đó gọi là Brand Name SMS (hay Branded SMS, Brandname SMS).
Ngày chúng Em kinh doanh dịch vụ này, có một sự thật buồn cười đó là chúng Em mua dịch vụ của một công ty ở… Singapore chứ không phải mua từ các nhà mạng viễn thông trong nước như Viettel, Mobifone, Vinaphone…

Công ty mà chúng Em mua dịch vụ Brand Name SMS ở Singapore tên là Sybase 365, công ty này được SAP mua lại vào năm 2010 và đến năm 2014 thì ngưng sử dụng tên gọi Sybase này.
Vì sao gửi cho thuê bao trong nước lại đi mua dịch vụ từ nước ngoài?

Nói không ngoa rằng, chúng Em là người làm Brand Name SMS trước nhà mạng. Khi ấy, chúng Em toàn quyền khởi tạo Brand Name, muốn tạo Brand Name gì cũng được (ACB, Nike hay Adidas thậm chí tên của chính trị gia) và thoải mái gửi đến cho thuê bao trong nước mà không qua bất cứ kiểm duyệt nào.
Công cụ chỉ là công cụ. Dùng với mục đích tốt hay xấu là do người dùng.
Tầm 8-9 năm trước, có một sự dịch chuyển rất rất buồn cười của nhà mạng: Nhằm ngăn chặn tin nhắn rác, mấy ông nhà mạng đã đưa ra quyết định cấm tất cả luồng Brand Name SMS từ nước ngoài. Xong lập ra các phòng ban ngồi duyệt từng hồ sơ, từng Brand Name, từng nội dung tin nhắn muốn gửi…

Vì sao Em gọi đây là hành động trò hề của nhà mạng:
1. Tin nhắn rác đến từ SIM rác chứ không phải từ Brand Name SMS vì chi phí gửi SMS từ SIM rác rẻ hơn rác còn chi phí gửi Brand Name SMS mắc chết mẹ. Ai điên mà đi spam bằng Brand Name SMS hử các ông? Các ông biết vì sao SIM rẻ và nhan nhản không? Do các ông (nhà mạng) làm nát thị trường chứ đâu. Thằng này làm, đem thằng kia ra chịu. Quý vị có thấy nó giống trò hề không?
2. Các ông kiểm soát các công ty ở VN còn các đơn vị nước ngoài gửi thẳng về VN thì các ông đếch cấm được.
3. Các ông nghĩ ra cái chính sách chỉ để làm khó người ngay còn kẻ gian vẫn nhởn nhơ.
Dẫn nhập chút xíu cho bà con biết. Giờ quay lại vụ lừa đảo hôm qua.

Ở Việt Nam, muốn đăng ký Brand Name là ACB hay Apple hay Pepsi gì gì thì quý vị phải nộp một số giấy tờ để chứng minh quý vị là người sở hữu thương hiệu này. Tuy nhiên vụ này cũng rất buồn cười và dễ lách. Ví dụ nhé - và chỉ là ví dụ thôi nha - công ty thì tên là Trà Cà Phê VN nhưng thương hiệu là The Coffee House* thì làm sao dùng GPKD Trà Cà Phê VN đi đăng ký Brand The Coffee House được. Thế là chứng minh rằng Em đang sở hữu domain thecoffeehouse.xxx là được.
Trớ trêu thay, bỏ ra một hai trăm ngàn là sở hữu được một domain rồi. Vậy một công ty ma, mua domain RapViet.xxx là có thể đăng ký Brand Name RAPVIET đi lừa đảo bán vé???

Có một vài công ty SMS lớn trên thế giới như Clickatell, Nexmo, Infobip… ban đầu cũng thoải mái gửi Brand Name SMS về thuê bao ở Việt Nam nhưng sau cũng bị chặn và phải thành lập công ty ở VN hoặc hợp tác với các công ty ở VN để đăng ký được Brand Name cho họ. Tuy nhiên do đây là họ làm ăn đàng hoàng. Chứ kẻ xấu thì chả ai đi đúng như vậy mà nó cứ phang đại thôi.
Trong một bài phân tích trên Zing, có một vài nguyên nhân cho vụ lừa đảo kia như là:
1. SMS bị hack trên đường đi từ công ty SMS đến nhà mạng hoặc từ nhà mạng xuống thuê bao.
2. Hacker tấn công các công ty cung cấp Brand Name SMS.
3. Kẻ xấu, chả cần là hacker mẹ gì hết, mua dịch vụ từ nước ngoài.

Trong thế giới CNTT, không gì là tuyệt đối. Bảo mật là một thứ xa xỉ. Đến Google / Facebook / Microsoft còn bị hack nữa là. Cho nên, mọi xác suất trên đều có thể xảy ra.
Khoan bàn về lỗi thuộc về ai trong vụ này. Có một điều chắc chắn đó là nạn nhân - cụ thể là các ngân hàng - sẽ bị thiệt hại không ít, cả về uy tín lẫn tiền bạc vì sự yếu kém trong chính sách Brand Name SMS của nhà mạng. Làm ra chính sách chỉ để nghĩ cách chặn người ngay trong khi kẻ gian vô cùng gian xảo.

Là người dùng, nếu nhận được những tin nhắn “lạ” như vậy, bạn nên làm gì:
1. Nên tham vấn ý kiến từ những người rành về CNTT xung quanh bạn.
2. Không bấm vào bất cứ đường link nào nếu không chắc đó có phải đường link “sạch” hay không.
3. Gọi cho tổng đài ngân hàng hay các đơn vị được đề cập trong SMS để double check.
4. Không chia sẻ thông tin trong SMS đó cho người khác.
5. Tỉnh táo trước những nội dung liên quan tiền bạc mà chúng gửi tới bạn. Đừng hám lợi mà thiệt thân.

Sau cùng, mọi giao dịch liên quan tiền hay tài khoản số, bạn nên cài 2FA (xác thực 2 lớp) hết nhé. Hãy nhờ người thân cài đặt dùm nếu không rành.
*Em chỉ lấy ví dụ chứ Brand Name chỉ cho tối đa 11 ký tự. Không có chuyện đăng ký được cái tên dài như The Coffee House.
Cre: Vu Hoang Tam
Vụ này rất đơn giản, kẻ hở nằm ở quy trình đăng ký/thu hồi brandname của nhà mạng và giao thức xác minh nguồn gửi tin, không có hacker cũng không có yếu tố nước ngoài đâu ạ, tuy nhiên, kẻ hở này không tạo thành một vụ lừa đảo được nếu data khách hàng không bị lộ :D
 

cairong_2011

Xe container
Biển số
OF-193288
Ngày cấp bằng
9/5/13
Số km
9,486
Động cơ
481,024 Mã lực
Hôm nay báo vẫn đưa tin về vấn đề này nhưng chẳng có gì mới

 

step321

Xe tăng
Biển số
OF-74969
Ngày cấp bằng
9/10/10
Số km
1,130
Động cơ
401,957 Mã lực
Vụ này rất đơn giản, kẻ hở nằm ở quy trình đăng ký/thu hồi brandname của nhà mạng và giao thức xác minh nguồn gửi tin, không có hacker cũng không có yếu tố nước ngoài đâu ạ, tuy nhiên, kẻ hở này không tạo thành một vụ lừa đảo được nếu data khách hàng không bị lộ :D
Cụ có thể nói rõ hơn đc ko ạ?
 
Thông tin thớt
Đang tải
Top