Cảnh báo: Đánh cắp tiền trong tài khoản ngân hàng qua khai thác điểm yếu của OTP

Chiều 4/10, báo chí đưa tin một chủ tài khoản Vietcombank phát hiện bị “bốc hơi” 406 triệu đồng trong tài khoản. Theo thông tin được đăng tả...

Chiều 4/10, báo chí đưa tin một chủ tài khoản Vietcombank phát hiện bị “bốc hơi” 406 triệu đồng trong tài khoản. Theo thông tin được đăng tải, tài khoản của nạn nhân được xác định có 4 giao dịch phát sinh, lần lượt chuyển toàn bộ số tiền bị mất nói trên đến các tài khoản thuộc 2 ngân hàng khác trong vòng 7 phút. Chủ tài khoản khẳng định, bản thân không thực hiện các giao dịch trên và cũng không biết người thụ hưởng là ai.
Trai-nghiem-VCB-Digibank-Vietc-6884-8257-1601797482.jpg
Ảnh: Vietcombank
Mấu chốt của vấn đề là, trong khi nạn nhân cho biết không hề nhận được tin nhắn thông báo mã xác thực, biến động số dư bằng SMS qua điện thoại như thông lệ, phía ngân hàng cho biết đã ghi nhận 4 giao dịch chuyển khoản nói trên đều hợp lệ và đã có 8 tin nhắn được gửi đến số điện thoại của chủ tài khoản.
Một điểm đáng lưu ý khác, theo Vietcombank tài khoản trên ứng dụng VCB Digibank của nạn nhân đã được kích hoạt trên một thiết bị khác và thực hiện lệnh chuyển tiền trong khi chủ tài khoản khẳng định không cung cấp, chia sẻ tên truy cập dịch vụ hay mật khẩu VCB Digibank cho bất cứ ai.
Vụ việc như thế này thực tế không phải là duy nhất. Đáng tiếc là chúng xảy ra ngày càng nhiều và tại nhiều ngân hàng khác nhau. Vậy, lỗ hổng của những vụ việc này nằm ở đâu? Bằng cách nào, kẻ xấu đã qua mặt cả chủ tài khoản và sự kiểm soát của ngân hàng để đánh cắp số tiền lớn như vậy? Những nghiên cứu của chúng tôi cho thấy, lỗ hổng ở đây chính là điểm yếu công nghệ trong phương thức xác thực SMS OTP. Kẻ xấu đã lợi dụng điều này để tấn công phishing (tấn công lừa đảo) mà nạn nhân không hề hay biết.
Chúng tôi nhận định có hai kịch bản mà hacker có thể dựng lên để lừa người sử dụng:
Kịch bản đầu tiên, kẻ xấu sẽ lừa nạn nhân nhập mã OTP vào một website giả mạo (ngân hàng, dịch vụ chuyển tiền…) để chiếm mã OTP, từ đó tạo ra giao dịch chuyển tiền giả mạo.
Kịch bản thứ hai là kẻ xấu sẽ lừa nạn nhân cài đặt một phần mềm gián điệp trên điện thoại. Phần mềm này sẽ theo dõi tất cả thông tin, trong đó có tin nhắn SMS chứa mã OTP và các thông tin đăng nhập vào ứng dụng Mobile Banking. Một khi lấy được các thông tin này, hacker sẽ có thể tạo ra các giao dịch chuyển tiền giả mạo.
Liên quan đến điểm yếu bảo mật của phương thức xác thực OTP, mới đây vào tháng 6/2020, Bkav đã đưa ra cảnh báo về một phần mềm gián điệp có tên VN84App. Phần mềm này đánh cắp dữ liệu người dùng Việt Nam, đặc biệt tập trung đánh cắp các mã SMS OTP. Chi tiết bài nghiên cứu tại đây.
MohinhMadocVN84App.jpg
Sơ đồ mô phỏng cách thức VN84App đánh cắp dữ liệu người dùng
Trao đổi với ông Ngô Tuấn Anh, Phó chủ tịch phụ trách an ninh mạng của Bkav, ông Tuấn Anh chia sẻ: “Việc quy trách nhiệm ngân hàng đúng hay khách hàng đúng, sẽ không thể xử lý được triệt để bởi OTP là công nghệ không có tính ‘chống chối bỏ’, nghĩa là không có khả năng xác định chính xác và quy trách nhiệm ai thực hiện giao dịch. Giải pháp duy nhất hiện nay đáp ứng về mặt công nghệ và pháp lý của chống chối bỏ là chữ ký số”.
Tuy nhiên, theo quy định hiện hành của Ngân hàng nhà nước Việt Nam, hạn mức giao dịch trực tuyến ở mức rất cao mới yêu cầu sử dụng chữ ký số, do đó không khuyến khích được các ngân hàng hay khách hàng sử dụng giải pháp đảm bảo này. “Chúng tôi cho rằng Ngân hàng nhà nước nên điều chỉnh hạn mức này thấp hơn để chữ ký số được sử dụng nhiều hơn, các giao dịch được đảm bảo an toàn”, ông Tuấn Anh cho biết thêm.
Các chuyên gia cũng cho biết đối với người sử dụng, cần cảnh giác trước các chiêu thức tấn công lừa đảo của kẻ xấu, đồng thời cài đặt thường trực phần mềm phòng chống mã độc trên máy tính và thiết bị di động của mình.
WhiteHat.vn
Nguồn: https://whitehat.vn/threads/canh-bao-danh-cap-tien-trong-tai-khoan-ngan-hang-qua-khai-thac-diem-yeu-cua-otp.14077/?fbclid=IwAR3y9pa2_y3EDcRuTZcdl2tHw4UDsHtVSMOLB6NTpsftxWx0HL2ySvFO0n0

COMMENTS

Tên

.:: Connect Trojan ::.,111,.htaccess,2,0-day,3,2017,2,Add-on,16,Affiliate,1,Anotador,1,AutoIT,17,BackDoor,1,Bán Sách,13,banhangonline,1,Bảo Mật,169,Bất Động Sản Tại Tiền Giang,5,Bestsellers,13,Binder,1,blog,31,Blogger,4,Blogger Template,1,Botnet,3,Brute,1,Bug Bounty,1,Bypass,10,camera,1,ceh,1,Châu Tinh Trì,2,Checked,6,Chrome,21,Code,5,coin hive,1,Coin-Hive,2,CoinHive,1,Connect Trojan,342,Connect Trojan ::.,1,Cổ Tích,2,Crack,3,Crypto,5,CSRF,5,CSS,2,Cuộc Sống,1,Dau tu,8,DDoS,6,Designer,1,Dich vụ,1,DNS,4,Download,2,du-an,3,DVD LUMION Tiếng Việt của anh Dũng Già Pro,1,Đam Mỹ,1,điện,1,Đồ Họa,215,Đô Thị,16,e11.me,1,ebook,16,ebook free,295,eBook Phệ Hồn Nghịch Thiên,1,eBook Thịnh Thế Địch Phi,1,Encrypt,1,Encryption,1,epub,76,epub [Tiên hiệp],1,ET-Logger,1,exploit,23,Exploitation,1,Extractor,2,facebook,69,FireFox,15,Flood,2,Forensic,7,full prc,2,game,177,Gerador,3,Gerenciador,1,Get Root,3,GHDB,3,Giả Tưởng,1,giaitri,1,Google,15,H&Y Shop,2,Hacker,3,Hacking,16,Hacking and Security,6,Hacking Tools,36,Hành Động,3,He Thong Site Phim,25,Hijacking,6,Hình Sự,1,hivecoin.hive coin,1,Hỏi Xoáy Đáp Xoay Trên VTV3,1,HTML,1,Huyền Ảo,92,Hướng dẫn Internet cơ bản,1,IFTTT,703,Imgur,2,Infographic,1,Information Disclosure,1,Internet Explorer,3,IT News,39,J2TeaM,29,J2TeaM Tools,9,JavaScript,6,Javascript Injection,3,Juno_okyo's Blog,23,Khóa Học,32,Khóa Học kiếm tiền online với accesstrade,5,khoá học miễn phí,16,Khóa học Photoshop,19,Khóa học sử dụng mã độc và phòng chống mã độc,2,Khoa Huyễn,6,khuyến mãi,16,kiemhiep,9,Kiếm Hiệp,20,Kiếm Tiền MMO,34,kiếm tiền rút gọn link,1,KilerRat,1,Kinh Dị,24,Kinh Dị - Ma,4,Kinh Doanh,73,kinhdi,1,kinhdoanh,5,KRACK Attacks,1,Lãng mạn,1,lazada,1,Lập trình,2,Lịch Sử,5,Linux,1,Local Attack,2,Logins/Cadastro,1,Lỗi Web,1,Lược Sử Hacker,2,Mã Giảm Giá,2,Mã Hóa,48,Malware,3,Master-Code,31,Máy Tính,1,Metasploit,2,Microsoft,4,mobile hacking,2,monero,1,Movie,25,MySQL,1,NEW PRODUCTS,19,NGHỆ THUẬT ẨN MÌNH,13,ngontinh,10,Ngôn Tình,151,nhà đất,1,Nhà Đất Gò Công,1,Nhân Vật Lịch Sử,2,Nhật Bản,1,Nhựt Trường Group,1,NjRat,5,Nước,1,open redirect,1,Oracle,1,Path Disclosure,2,pdf,76,Pen-Test,6,Pentest Box,9,Phan mem Internet,1,phanmem,23,phanmemdienthoai,3,phanmemmaytinh,10,phần mềm,11,Phim 18,2,Phim 2012,1,Phim 3D,1,Phim Âm Nhạc,2,Phim Bộ,39,Phim Chiến Tranh,5,Phim Dã Sử - Cổ Trang,6,Phim Đài Loan,6,Phim Đề Cử,4,Phim Hài Hước,26,Phim Hàn Quốc,33,Phim HD Chất Lượng Cao,5,Phim Hoạt Hình,2,Phim Hot,1,Phim Hồng Kông,20,Phim HQ,2,Phim Kinh Dị,8,Phim lẻ,4,Phim Mới 2011,2,Phim Mới 2012,1,Phim Mới 2015,1,Phim Nhật Bản,4,Phim SD,3,Phim Thái Lan,6,Phim Thần Thoại,4,Phim Tình Cảm,35,Phim Trung Quốc,37,Phim Truyền Hình,19,Phim Viễn Tưởng,1,Phim Võ Thuật,36,Phim Xã Hội Đen,1,Phishing,5,PHP,16,Plugin,1,Port,1,post mẫu,1,prc,77,Programming,15,Python,1,Quảng Cáo,1,rat,457,Recovery,3,Remote Code Execution,1,Remote Desktop,1,Reverse Engineering,6,review,3,rút gọn link,1,sach,47,Sách,35,Sách Nghệ Thuật Sống,12,sách nói,1,Sách Tâm Linh,1,Sách Tiếng Anh,2,sachiep,2,Sản Phẩm,1,Sắc Hiệp,16,Scam,1,Scanner,10,Security,66,SEO,5,share,1,Shell,5,shop,1,Social Engineering,4,Software,22,Source Unity,1,SQL injection,21,Sức Khỏe,1,Symlink,3,Tài Chính,1,Tài chính cá nhân,2,Tài Liệu,1,Tản mạn,7,Taudio,2,Tâm lý xã hội,1,tấn công,1,Testador,1,Thái Lan,2,Tham Khảo,3,thamkhao,11,them,1,Thiệp Cưới,1,Thiết Kế Web,30,Thời Trang,2,Thủ Thuật Hacking,53,Thuyết Minh,1,tienhiep,5,Tiên Hiệp,123,Tiểu Thuyết,94,tiki,3,TIL,8,Tin Tức,52,Tips,39,tool,1,Tool Hack,14,Tools,9,Tổng Hợp,1,Tricks,26,Trinh thám,1,trojan original,48,Trọng sinh,11,Trộm mộ,1,Trung Quốc,1,Truyện,1,Trương Định,110,Tu Chân,2,TUTORIALS,124,Twitter,1,Ung_Dung,4,Upload,1,usb,1,vanhoc,11,văn học,6,vBulletin,7,video,16,Vietsub,1,Việt Nam,4,Virus,4,Võ Thuật,3,Võng Du,5,Vulnerability,19,Web Developer,15,webmau,5,WHMCS,3,WiFi,2,wiki lỗi máy tinh,1,wiki lỗi NTG,3,Windows,12,WordPress,43,Write-up,11,XSS,16,Yahoo,1,yeah1offer,1,youtube,11,
ltr
item
Nhựt Trường - Chia sẻ kiến thức miễn phí: Cảnh báo: Đánh cắp tiền trong tài khoản ngân hàng qua khai thác điểm yếu của OTP
Cảnh báo: Đánh cắp tiền trong tài khoản ngân hàng qua khai thác điểm yếu của OTP
https://whitehat.vn/attachments/trai-nghiem-vcb-digibank-vietc-6884-8257-1601797482-jpg.7456/
Nhựt Trường - Chia sẻ kiến thức miễn phí
https://www.nhuttruong.com/2020/10/canh-bao-anh-cap-tien-trong-tai-khoan.html
https://www.nhuttruong.com/
https://www.nhuttruong.com/
https://www.nhuttruong.com/2020/10/canh-bao-anh-cap-tien-trong-tai-khoan.html
true
7607280272436897486
UTF-8
Loaded All Posts Not found any posts VIEW ALL Readmore Reply Cancel reply Delete By Home PAGES POSTS View All RECOMMENDED FOR YOU LABEL ARCHIVE SEARCH ALL POSTS Not found any post match with your request Back Home Sunday Monday Tuesday Wednesday Thursday Friday Saturday Sun Mon Tue Wed Thu Fri Sat January February March April May June July August September October November December Jan Feb Mar Apr May Jun Jul Aug Sep Oct Nov Dec just now 1 minute ago $$1$$ minutes ago 1 hour ago $$1$$ hours ago Yesterday $$1$$ days ago $$1$$ weeks ago more than 5 weeks ago Followers Follow THIS PREMIUM CONTENT IS LOCKED STEP 1: Share to a social network STEP 2: Click the link on your social network Copy All Code Select All Code All codes were copied to your clipboard Can not copy the codes / texts, please press [CTRL]+[C] (or CMD+C with Mac) to copy Table of Content