Cảnh báo về việc khách hàng Uber tại Việt Nam bị trừ tiền ở Nga

[Sugi_b3o]

Ngày nay với sự phát triển nhanh chóng của thời đại công nghệ việc sở hữu trong tay một chiếc điện thoại thông minh không còn quá khó khăn với người dùng Việt Nam, nhận thấy sự cơ hội đó Uber đã nhanh chóng được thành lập và triển khai tại các thành phố lớn như Hà Nội, Hồ Chí Minh,..... nơi việc di chuyển vào giờ cao điểm là khá khó khăn, nhiều người Việt Nam đã hình thành thói quen sử dụng Uber hằng ngày thay vì sử dụng taxi truyền thống bởi vì sự tiện lợi cũng như dễ dàng trong việc thanh toán.


Như thông tin đã nhận được từ mấy ngày gần đây, một Khách hàng người Việt của Uber thức dậy thấy tin nhắn SMS từ ngân hàng thông báo khoản tiền 150 USD bị trừ trong tài khoản thẻ tín dụng được trích trên báo vnexpress

Nguyên nhân do khách hàng đã dùng dịch vụ Uber có liên kết tài khoản với thẻ tín dụng, số tiền bị trừ do dùng người dùng Uber ở Nga sử dụng (sau khi đi một vòng quanh thủ đô Moscow

1. Bản chất vụ việc này là gì?

Như chúng ta đã biết, để sử dụng uber cần đăng ký qua email, số điện thoại và liên kết với thẻ tín dụng của ngân hàng để thanh toán.

Khách hàng gọi xe, đi và thanh toán trừ tiền trực tiếp trong thẻ tín dụng, sau đó sẽ có email thông báo từ uber gửi lại.


Trong trường hợp của Khách hàng trên, có rất nhiều câu hỏi đặt ra: do người dùng làm lộ tài khoản, do Uber làm lộ thông tin khách hàng hay do ngân hàng làm lộ thông tin thẻ tín dụng.

Đi vào chi tiết vấn đề, khách hàng đã nhận được email hóa đơn sau khi bị kẻ xấu đi nhờ miễn phí thành công, như vậy có thể loại bỏ trường hợp ngân hàng làm lộ thông tin do vẫn có sự liên kết giữa tài khoản Uber ở Việt Nam - chuyến đi ở Nga - trừ tiền trong thẻ.


Như vậy thông tin tài khoản sử dụng uber đã bị lộ do Khách hàng hoặc do Uber.

Trường hợp đầu tiên, khách hàng có thể làm lộ thông tin nếu sử dụng chung email và mật khẩu tài khoản đăng ký với uber cho nhiều loại tài khoản khác. Ví dụ tài khoản Facebook, tài khoản mail, tài khoản các diễn đàn hoặc dịch vụ khác... Điều này có thể xảy ra do người dùng hay có thói quen dùng chung một email - mật khẩu cho nhiều loại tài khoản khác nhau để dễ nhớ, dễ sử dụng.

Không ngoại trừ khả năng điện thoại của khách hàng bị nhiễm mã độc backdoor từ các Hacker người Nga.

Mặc dù điện thoại mình sử dụng mạng Vinaphone nhưng vẫn có thể update số điện thoại của mạng Viettel trên một chiếc điện thoại khác mà không gặp vấn đề gì

​

Thứ hai, hệ thống của Uber cũng có điểm yếu.

Như hình mình họa ở trên, khi muốn thay đổi số điện thoại đã liên kết từ trước, điều bất ngờ ở đây là việc thay đổi số điện thoại lại gửi mã code về số điện thoại mới vừa cập nhật. Nếu như Uber yêu cầu số điện thoại cũ phải nhập code mới được phép thay đổi số điện thoại mới thì khách hàng “xấu số” kia đã không mất oan số tiền đó.

Các hacker này đã chiếm được tài khoản của khách hàng, đăng nhập và vào thay đổi số điện thoại (dùng tính năng cập nhật số điện thoại) và đặt taxi vì vậy dễ hiểu khi có thẻ tín dụng trong tay nhưng Hacker không thể mua đồ bằng thẻ ghi nợ.

Mã thẻ tín dụng đã được bảo vệ bởi ứng dụng của Uber​

Ngoài ra, Uber có thể làm lộ thông tin Khách hàng, như thông tin tìm hiểu thêm trước đây cũng đã từng ghi nhận trường hợp nhiều tài khoản uber bị rao bán trên các web đen. Và dĩ nhiên Uber hoàn toàn phủ nhận sự việc đó.

http://genk.vn/tin-ict/hang-loat-tai-khoan-uber-bi-danh-cap-va-ban-ra-cho-den-voi-gia-100-ngan-dong-20150329060002991.chn

2. Các dịch vụ có liên kết tài khoản thẻ tín dụng, hoặc ngân hàng cũng tồn tại nguy cơ

Dĩ nhiên cái gì cũng có hai mặt của nó, càng tiện thì nguy cơ mất an toàn cũng nhiều hơn.
Nguy cơ mất an toàn tài khoản các dịch vụ có thanh toán online như uber, shopbee ...vẫn sẽ tồn tài nếu người dùng vẫn giữ thói quen xấu dùng chung email, mật khẩu. Khi kẻ xấu lấy được thông tin từ một kênh sẽ thử đăng nhập trên các kênh khác như gmail, Facebook... và trong trường hợp này có thể là Uber.

Chuyến đi "miễn phí" của Hacker Nga​

Nguy cơ cũng tồn tại khi lựa chọn dịch vụ không an toàn. Ví dụ như gần đây một website thương mại điện tử khá nổi tiếng của Việt Nam đã tồn tại lỗ hổng trong thệ thống làm kẻ xấu có thể lấy thông tin khoảng 2 triệu Khách hàng, hoặc vụ việc người dùng bị mất tiền từ tài khoản ngân hàng mới đây.

3. Trách nhiệm thuộc về ai?

Do chưa đủ thông tin để kết luận nguyên nhân của sự việc nên nếu kết luận trách nhiệm thuộc về ai sẽ hơi vộ vàng. Nhưng Uber đã nhanh chóng đền bù cho Khách hàng để tránh “khủng hoảng” truyền thông. Điều đáng ngạc nhiên là uber từ chối đưa ra nguyên nhân nên vẫn còn là một dấu hỏi khá lớn ở đây.

Ngoài ra, thành phần chính ở đây hacker Nga đã thực hiện cuộc tấn công mạng nổi tiếng trên thế giới. Uber cần phải thay đổi các chính sách bảo mật để bảo vệ người dùng trước các những tên “tội phạm đi taxi miễn phí”.


4. Hướng dẫn sử dụng dịch vụ an toàn

Để có thể sử dụng an toàn các dịch vụ, tài khoản trên không gian ảo hiện nay, người dùng nên lưu ý một số điểm:

• Sử dụng tính năng xác minh 2 bước các loại tài khoản email , mạng xã hội, ngân hàng...
• Đặt mật khẩu mạnh bao gồm các ký tự đặc biệt, ký tự viết hoa, ký tự viết thường, chữ số,...
• Không nhấp vào các trang lừa đảo, liên kết đáng ngờ ngay cả khi các liên kết này được gửi đến từ một người bạn hay một công ty quen thuộc
• Kiểm tra URL, truy cập các trang web sử dụng giao thức https khi nhập mật khẩu, thẻ tín dụng.
• Thường xuyên cập nhật các thông tin về các loại hình tài khoản, dịch vụ mà khách hàng đang sử dụng.

 

Việc thay đổi số điện thoại mà không có mã xác nhận gửi lại không chỉ trên mỗi Uber bị mà trên Facebook hoặc một số ngân hàng cũng có.

Nhưng ít nhất thì Fb còn có email thông báo về.

 

Vì sao Uber chỉ khuyến cáo người dùng mà không đưa ra nguyên nhân nhỉ? Như phân tích của Mod thì cũng có 1 phần lỗi từ Uber mà

 

Mod có thể hướng dẫn cụ thể hơn cách Kiểm tra URL, truy cập các trang web sử dụng giao thức https khi nhập mật khẩu, thẻ tín dụng không?

 

Nếu hacker sử dụng thẻ tín dụng của KH để thanh toán, thẻ KH vẫn giữ => hacker sử dụng hình thức thanh toán online. Như vậy ở đây mình thấy một phần lỗi của KH vì mở khóa thanh toán online 24/24. Các ngân hàng ở VN mình thấy vẫn khuyên khách hàng khi nào có nhu cầu thì mới mở việc thanh toán này.

 

Mod có thể hướng dẫn cụ thể hơn cách Kiểm tra URL, truy cập các trang web sử dụng giao thức https khi nhập mật khẩu, thẻ tín dụng không?

Bạn có thể xem ở bài viết "Tấn công lừa đảo gần như không thể phát hiện trên Chrome, Opera, Firefox"

 

Thứ hai, hệ thống của Uber cũng có điểm yếu. -> Vậy như mod viết thì phải có những cảnh báo đến Uber để họ tăng cường bảo mật cho khách hàng chứ nhỉ. Nếu để thế này thì sẽ còn xảy ra nhiều trường hợp như KH ở trên. Mà từ hôm xảy ra vụ việc mình cũng ko thấy báo nào đề cập đến việc Uber cần kiểm tra lại hệ thống của họ.