VietcomBank: hồi chuông bảo mật
Vụ việc hacker tấn công tài khoản khách hàng Vietcombank, trộm hơn nửa tỷ đồng có vẻ chìm xuồng nhanh quá nhi? -_- Bản thân mình thì chỉ biết “thánh hóng” thôi 
Buồn vì chưa đủ tầm để tham gia “chém gió” cùng các chuyên gia nên như bao bạn “hacker” nghiệp dư khác, mình cũng tập tành chịu khó theo dõi báo đài, cơ mà thông tin về vụ này có vẻ mông lung quá, cứ nhỏ giọt với cả giả thiết, kịch bản mà chưa có cái chốt nào thì phải -_- Bên diễn đàn mình thì cũng chưa có topic nào nhộn nhịp cả, vậy nên hôm nay, mình muốn đầu tư chút thời gian để review lại toàn bộ các sự kiện liên quan, cũng như thêm vào đó chút bình luận chuyên môn, xem có anh em nào hứng thú thì ta cùng vào đàm đạo cho vui
Dưới góc nhìn của mình thì câu chuyện là như thế này
Một buổi sáng đẹp trời ngày 5/8 chị Hương (nạn nhân) tỉnh dậy như bao ngày bình thường khác và đột nhiên phát hiện có tin nhắn báo về điện thoại của mình, thông báo rằng có 7 giao dịch diễn ra từ đêm tới sáng với tổng cộng số tiền bị chuyển đi từ tài khoản của chị là 500.000.000 đồng. Chưa hết bàng hoàng nhưng chị cũng rất tỉnh táo khi đã kịp định thần để gọi tới ngân hàng ngay trong sáng để đề nghị khóa tài khoản, ngăn chặn các giao dịch khác có thể diễn ra (well done, lady). Chiều ngày 11.8, chị Hương trực tiếp tới trụ sở chính của ngân hàng để làm việc với lãnh đạo VCB về vụ việc.
Ngày 15/8, C50 vào cuộc, không hổ danh là đội ngũ hacker hàng đầu trong màu áo lính, ngay lập tức một loạt các tình tiết quan trọng được tiết lộ, theo đó trước khi vụ “hack” diễn ra thì nạn nhân đã bị lừa truy cập vào một trang giả mạo (tất nhiên có giao diện giống hệt trang chủ của VCB), và với sự ngây thơ vô số tội của bà mẹ một con, chị ấy đã “vô tình” cung cấp user, password và luôn cả mã kích hoạt SmartOTP cho những kẻ tấn công. Hacker sau đó sử dụng những thông tin này và cài đặt ứng dụng SmartOTP (ứng dụng do VCB triển khai, cho phép tạo mã OTP mà không cần phải nhận từ server của VCB), từ đó tùy ý chuyển tiền. Nếu là sự thật thì thực sự đây là cú lừa very basic nhưng hiệu quả thì vô cùng ấn tượng, không biết chuyện gì xảy ra nếu tài khoản của chị đang có thêm vài số 0 :/
Nhưng nói đi thì cũng cần nói lại, đây là kết luận của VCB và C50, trong khi đó nạn nhân vẫn chưa bao giờ lên tiếng thừa nhận về việc này, thậm chí trên một tờ báo chị Hương còn cho rằng cách làm việc của bên VCB là chưa rõ ràng, thiếu trách nhiệm, chỉ khi sự việc rùm beng thì ngân hàng mới bắt đầu vào cuộc vào có những thông báo tới báo chí, khách hàng. Và có một sự thật dễ hiểu đó là nếu lỗi không phải ở khách hàng, nếu việc nạn nhân click vào trang web giả mạo là không có thật thì VCB cũng không đời nào chịu thừa nhận hệ thống giao dịch của họ đang tiềm ẩn lỗi cho phép hacker “móc túi” khách hàng như vậy bởi vì họ đang mang trên mình trách nhiệm của “Ngân hàng tốt nhất Việt Nam”. Nói chung ta vẫn chỉ mới được nghe confirm từ một bên mà thôi…cho tới tận bây giờ :3
Giờ thì thuyết âm mưu cùng các chuyên gia nhé trong suốt quá trình lùm xùm của vụ việc này, không biết đã có bao nhiêu chuyên gia lên tiếng khiến cho cộng đồng an ninh mạng được một phen nhộn nhịp, hết ngóng ông này lại phải chạy sang ngó ông nọ :v
Đầu tiên có lẽ nên kể tới một FBker N.N.L, trong lúc dư luận đang xôn xao về vụ “móc túi” lịch sử thì cao nhân này đã đăng đàn một bài viết với tiêu đề không thể rõ ràng hơn :v “tôi đã hack thành công tiền trong tài khoản Vietcombank như thế nào”, và quả thật bài viết của anh là một bản “tường trình” rất “thật” với đầy đủ hình ảnh minh họa
Bài biết của bác này khá dài nhưng đại loại em có thể tóm váy lại như sau: Bằng một sự tình cơ đến bất ngờ, trong một lần giao dịch, nhận thấy sử dụng SmartOTP thuận tiện hơn so với nhận SMS OTP từ phía ngân hàng bác L của chúng ta đã cài đặt SmartOTP lên dế yêu của mình, tuy nhiên trong quá trình kích hoạt thì VCB yêu cầu gửi mã kích hoạt về số điện thoại đã đăng ký. Vấn đề nằm ở chỗ số điện thoại bác L dùng để đăng ký với VCB đã không còn được sử dụng từ lâu và khi liên hệ với VCB về việc này thì anh nhận được tư vấn là có thể tùy ý thêm số điện thoại khác để nhận mã (Wtf???). Như vậy với chỉ user/ password chúng ta đã có thể dễ dàng cài đặt và kích hoạt SmartOTP trên thiết bị cá nhân, đồng nghĩa với việc nếu phishing được user/password của khách hàng, hacker đã có thể làm chủ được mã OTP cũng như tùy ý thực hiện các giao dịch, trong trường hợp này ý nghĩa về mặt bảo mật vốn có của OTP đã không còn, nếu như sự việc diễn biến theo đúng như lời anh L nói thì đây thực sự là một lỗ hổng nghiệp vụ sơ đẳng không thể khoan hồng của một ngân hàng lọt top 500 thương hiệu ngân hàng có giá trị lớn nhất thế giới. Tuy nhiên do một nguyên nhân huyền bí mà ngay sau đó không lâu thì bài đăng này đã bị gỡ @@ (http://www.blogcamxuc.net/2016/08/to...k-the-nao.html đây là bài do một page dẫn lại)
Tiếp theo có thể kể đến bài viết được đánh giá “không thể không đúng” của chuyên gia Nguyễn Hồng Phúc (em gà mờ nên chưa nghe danh bác này, tại thấy báo gọi là “chiên da” nên em gọi theo thôi :v), sở dĩ nói “không thể không đúng" là vì bài viết gần như đã liệt kê tất các các khả năng của một vụ hack mà một “chiên da” có thể tư duy được từ phishing, cài RAT đến tấn công thẳng vào giao thức truyền tin rồi là các cách thức vật lý cổ lỗ sĩ bla bla bla. Với đẳng cấp của một “chuyên gia” tất cả các khả năng đã được anh ý phân tích rất kỹ ở đây anh em nào rảnh thì vô coi cho mở mang nha :v Mình không có gì để nói thêm cả (https://www.facebook.com/photo.php?f...4249186&type=3)
Món ngon thì phải để cuối cùng hehe! Dù sao thì giữa muôn vàn sóng gió dư luận ấy thì cuối cùng em cũng tìm được riêng cho mình chút tài liệu chuyên sâu khá hay và “kĩ” đến từ các idols bên @Vnsec. Ở bài này anh Thái “xấu trai” (em gọi thế bởi vì có dịp chiêm ngưỡng dung nhan lão này ở Trà đá Hacking rổi :v, anh Thái gặp được bài này thì cũng đừng trách em ạ, xấu mà giỏi là dc rồi anh ahihi) đã có những phân tích cũng như một bố cục trình bày rất khoa học, nghiêm túc (theo thông lệ quốc tế cơ mà, cái này mới à nha ). Tuy nhiên bài của anh thiên về phân tích lỗ hổng trong giao thức kích hoạt SmartOTP với nhiều kiến thức mã hóa, mà khoản này thì em chắc phải mất thêm năm nữa mới dám phán nên thôi em chỉ dám trích dẫn ở đây thôi (http://www.vnsecurity.net/research/2...-mat-tien.html) Đại ca nào đọc mà seminar dễ hiểu tý thì cho em đội ơn trước
Kết: Nói chung là rảnh rỗi rồi viết vớ vẩn các bác ạ. Chả có tí kiến thức nào là của mình cả :v Tuy nhiên nếu anh em nào nhận ra thì qua đây tôi chỉ muốn view lại toàn bộ sự việc hết sức nghiêm trọng này bởi vì có vẻ giờ ngoài giới an ninh mạng ra thì có lẽ chả mấy ai nhớ tới vụ này nữa rồi. Đúng là không thể đùa được với khả năng truyền thông cũng như “bịp” truyền thông của các “đại gia”. Nhưng biết đâu nội tại trong hệ thống của VCB hoặc là một ngân hàng nào đó của Việt Nam đang còn tồn tại những lỗ hổng nghiêm trọng như thế và biết đâu đã đang và sẽ có thêm cả trăm, ngàn “Na Hương” khác. (Cơ hội cho anh em hacker đây rồi :v :v :v)
Chốt lại: Trong thời đại số ngày nay, mọi thứ đang dần tin học hóa, xã hôi ngập tràn IoT và vì thế đừng tránh xa xu thế ấy, hãy biết tự trang bị cho mình những kiến thức về công nghệ nói chung, về bảo mật nói riêng, hãy tự biết bảo vệ mình! Không có hệ thống nào là an toàn tuyệt đối, không có cơ chế nào đủ thông mình để bảo vệ cho kẻ khờ!
Thanks all!
Buồn vì chưa đủ tầm để tham gia “chém gió” cùng các chuyên gia nên như bao bạn “hacker” nghiệp dư khác, mình cũng tập tành chịu khó theo dõi báo đài, cơ mà thông tin về vụ này có vẻ mông lung quá, cứ nhỏ giọt với cả giả thiết, kịch bản mà chưa có cái chốt nào thì phải -_- Bên diễn đàn mình thì cũng chưa có topic nào nhộn nhịp cả, vậy nên hôm nay, mình muốn đầu tư chút thời gian để review lại toàn bộ các sự kiện liên quan, cũng như thêm vào đó chút bình luận chuyên môn, xem có anh em nào hứng thú thì ta cùng vào đàm đạo cho vui Dưới góc nhìn của mình thì câu chuyện là như thế này
Một buổi sáng đẹp trời ngày 5/8 chị Hương (nạn nhân) tỉnh dậy như bao ngày bình thường khác và đột nhiên phát hiện có tin nhắn báo về điện thoại của mình, thông báo rằng có 7 giao dịch diễn ra từ đêm tới sáng với tổng cộng số tiền bị chuyển đi từ tài khoản của chị là 500.000.000 đồng. Chưa hết bàng hoàng nhưng chị cũng rất tỉnh táo khi đã kịp định thần để gọi tới ngân hàng ngay trong sáng để đề nghị khóa tài khoản, ngăn chặn các giao dịch khác có thể diễn ra (well done, lady
). Chiều ngày 11.8, chị Hương trực tiếp tới trụ sở chính của ngân hàng để làm việc với lãnh đạo VCB về vụ việc.Ngày 15/8, C50 vào cuộc, không hổ danh là đội ngũ hacker hàng đầu trong màu áo lính
, ngay lập tức một loạt các tình tiết quan trọng được tiết lộ, theo đó trước khi vụ “hack” diễn ra thì nạn nhân đã bị lừa truy cập vào một trang giả mạo (tất nhiên có giao diện giống hệt trang chủ của VCB), và với sự ngây thơ vô số tội của bà mẹ một con, chị ấy đã “vô tình” cung cấp user, password và luôn cả mã kích hoạt SmartOTP cho những kẻ tấn công. Hacker sau đó sử dụng những thông tin này và cài đặt ứng dụng SmartOTP (ứng dụng do VCB triển khai, cho phép tạo mã OTP mà không cần phải nhận từ server của VCB), từ đó tùy ý chuyển tiền. Nếu là sự thật thì thực sự đây là cú lừa very basic nhưng hiệu quả thì vô cùng ấn tượng, không biết chuyện gì xảy ra nếu tài khoản của chị đang có thêm vài số 0 :/
Nhưng nói đi thì cũng cần nói lại, đây là kết luận của VCB và C50, trong khi đó nạn nhân vẫn chưa bao giờ lên tiếng thừa nhận về việc này, thậm chí trên một tờ báo chị Hương còn cho rằng cách làm việc của bên VCB là chưa rõ ràng, thiếu trách nhiệm, chỉ khi sự việc rùm beng thì ngân hàng mới bắt đầu vào cuộc vào có những thông báo tới báo chí, khách hàng. Và có một sự thật dễ hiểu đó là nếu lỗi không phải ở khách hàng, nếu việc nạn nhân click vào trang web giả mạo là không có thật thì VCB cũng không đời nào chịu thừa nhận hệ thống giao dịch của họ đang tiềm ẩn lỗi cho phép hacker “móc túi” khách hàng như vậy bởi vì họ đang mang trên mình trách nhiệm của “Ngân hàng tốt nhất Việt Nam”
. Nói chung ta vẫn chỉ mới được nghe confirm từ một bên mà thôi…cho tới tận bây giờ :3Giờ thì thuyết âm mưu cùng các chuyên gia nhé
trong suốt quá trình lùm xùm của vụ việc này, không biết đã có bao nhiêu chuyên gia lên tiếng khiến cho cộng đồng an ninh mạng được một phen nhộn nhịp, hết ngóng ông này lại phải chạy sang ngó ông nọ :vĐầu tiên có lẽ nên kể tới một FBker N.N.L, trong lúc dư luận đang xôn xao về vụ “móc túi” lịch sử thì cao nhân này đã đăng đàn một bài viết với tiêu đề không thể rõ ràng hơn :v “tôi đã hack thành công tiền trong tài khoản Vietcombank như thế nào”, và quả thật bài viết của anh là một bản “tường trình” rất “thật” với đầy đủ hình ảnh minh họa
Bài biết của bác này khá dài nhưng đại loại em có thể tóm váy lại như sau: Bằng một sự tình cơ đến bất ngờ, trong một lần giao dịch, nhận thấy sử dụng SmartOTP thuận tiện hơn so với nhận SMS OTP từ phía ngân hàng bác L của chúng ta đã cài đặt SmartOTP lên dế yêu của mình, tuy nhiên trong quá trình kích hoạt thì VCB yêu cầu gửi mã kích hoạt về số điện thoại đã đăng ký. Vấn đề nằm ở chỗ số điện thoại bác L dùng để đăng ký với VCB đã không còn được sử dụng từ lâu và khi liên hệ với VCB về việc này thì anh nhận được tư vấn là có thể tùy ý thêm số điện thoại khác để nhận mã (Wtf???). Như vậy với chỉ user/ password chúng ta đã có thể dễ dàng cài đặt và kích hoạt SmartOTP trên thiết bị cá nhân, đồng nghĩa với việc nếu phishing được user/password của khách hàng, hacker đã có thể làm chủ được mã OTP cũng như tùy ý thực hiện các giao dịch, trong trường hợp này ý nghĩa về mặt bảo mật vốn có của OTP đã không còn, nếu như sự việc diễn biến theo đúng như lời anh L nói thì đây thực sự là một lỗ hổng nghiệp vụ sơ đẳng không thể khoan hồng của một ngân hàng lọt top 500 thương hiệu ngân hàng có giá trị lớn nhất thế giới. Tuy nhiên do một nguyên nhân huyền bí mà ngay sau đó không lâu thì bài đăng này đã bị gỡ @@ (http://www.blogcamxuc.net/2016/08/to...k-the-nao.html đây là bài do một page dẫn lại)
Tiếp theo có thể kể đến bài viết được đánh giá “không thể không đúng” của chuyên gia Nguyễn Hồng Phúc (em gà mờ nên chưa nghe danh bác này, tại thấy báo gọi là “chiên da” nên em gọi theo thôi :v), sở dĩ nói “không thể không đúng" là vì bài viết gần như đã liệt kê tất các các khả năng của một vụ hack mà một “chiên da” có thể tư duy được từ phishing, cài RAT đến tấn công thẳng vào giao thức truyền tin rồi là các cách thức vật lý cổ lỗ sĩ bla bla bla. Với đẳng cấp của một “chuyên gia” tất cả các khả năng đã được anh ý phân tích rất kỹ ở đây anh em nào rảnh thì vô coi cho mở mang nha :v Mình không có gì để nói thêm cả
(https://www.facebook.com/photo.php?f...4249186&type=3)Món ngon thì phải để cuối cùng hehe! Dù sao thì giữa muôn vàn sóng gió dư luận ấy thì cuối cùng em cũng tìm được riêng cho mình chút tài liệu chuyên sâu khá hay và “kĩ” đến từ các idols bên @Vnsec. Ở bài này anh Thái “xấu trai” (em gọi thế bởi vì có dịp chiêm ngưỡng dung nhan lão này ở Trà đá Hacking rổi :v, anh Thái gặp được bài này thì cũng đừng trách em ạ
, xấu mà giỏi là dc rồi anh ahihi) đã có những phân tích cũng như một bố cục trình bày rất khoa học, nghiêm túc (theo thông lệ quốc tế cơ mà, cái này mới à nha ). Tuy nhiên bài của anh thiên về phân tích lỗ hổng trong giao thức kích hoạt SmartOTP với nhiều kiến thức mã hóa, mà khoản này thì em chắc phải mất thêm năm nữa mới dám phán nên thôi em chỉ dám trích dẫn ở đây thôi (http://www.vnsecurity.net/research/2...-mat-tien.html) Đại ca nào đọc mà seminar dễ hiểu tý thì cho em đội ơn trước Kết: Nói chung là rảnh rỗi rồi viết vớ vẩn các bác ạ. Chả có tí kiến thức nào là của mình cả :v Tuy nhiên nếu anh em nào nhận ra thì qua đây tôi chỉ muốn view lại toàn bộ sự việc hết sức nghiêm trọng này bởi vì có vẻ giờ ngoài giới an ninh mạng ra thì có lẽ chả mấy ai nhớ tới vụ này nữa rồi. Đúng là không thể đùa được với khả năng truyền thông cũng như “bịp” truyền thông của các “đại gia”. Nhưng biết đâu nội tại trong hệ thống của VCB hoặc là một ngân hàng nào đó của Việt Nam đang còn tồn tại những lỗ hổng nghiêm trọng như thế và biết đâu đã đang và sẽ có thêm cả trăm, ngàn “Na Hương” khác. (Cơ hội cho anh em hacker đây rồi :v :v :v)
Chốt lại: Trong thời đại số ngày nay, mọi thứ đang dần tin học hóa, xã hôi ngập tràn IoT và vì thế đừng tránh xa xu thế ấy, hãy biết tự trang bị cho mình những kiến thức về công nghệ nói chung, về bảo mật nói riêng, hãy tự biết bảo vệ mình! Không có hệ thống nào là an toàn tuyệt đối, không có cơ chế nào đủ thông mình để bảo vệ cho kẻ khờ!
Thanks all!
Chỉnh sửa lần cuối bởi người điều hành:
