Tiền gửi trong tài khoản ngân hàng có bất khả xâm phạm?

Khách hàng than rằng : có tiền thì biết để đâu bây giờ ?

Thứ 7 ngày 22/05/2021, Chị LCT số điện thoại (0933xx9977) nhận được tin nhắn thoại từ Ngân hàng (Brand name) mà Chị LCT thường xuyên giao dịch, cập nhật số dư với nội dung tin nhắn “Tài khoản của quý khách đã bị khóa cần click vô đường link đăng nhập như vậy thì sẽ được cấp lại ID, PASS & OTP”. Hàng ngày Chị LCT vẫn dùng khuôn mặt để đăng nhập, Chị hạn chế dùng pass nên việc nhập sai Pass dẫn đến bị khóa tài khoản là không thể xảy ra, thấy sự việc không bình thường Chị LCT dùng khuôn mặt đăng nhập thì tài khoản vẫn hoạt động bình thường. Chị LCT đã gọi vào đường dây nóng của Ngân hàng thì tiếng tút dài trong vô tận không có hồi âm nào vì hôm 22/05 là ngày thứ 7. Tối ngày 24/05, Chị LCT nhận được cũng từ tin nhắn thoại gắn với Brand name ngân hàng đó với nội dung “Ngân hàng không có yêu cầu gì hết”. Chị LCT gọi cho một số bạn bè thường giao dịch cùng hệ thống ngân hàng này thì rất nhiều trong số đó đã nhận được tin nhắn này và đã có hậu quả xảy ra. Chị LCT là một doanh nhân với số dư trong tài khoản hàng trăm triệu đồng, lại sống ở thành phố với nạn cướp giật hoành hành và đột nhập tư gia phá két lấy tài sản tháng nào cũng có. Nghĩ rằng Ngân hàng là nơi “Bất khả xâm phạm” Chị LCT đã gửi hết số tiền giao dịch thường xuyên và sổ tiết kiệm điện tử của mình trong Ngân hàng nên Chị đã thốt lên trong bất lực “Có tiền thì biết để đâu cho an toàn bây giờ ?”.

Chuyên gia bảo mật ngân hàng nói gì ?

Tạp chí Doanh Nghiệp và Thương hiệu đã cuộc phỏng vấn Chuyên gia Nghiêm Sỹ Thắng (CEO Công ty Cổ phần Công nghệ Sao Bắc Đẩu – Doanh nghiệp cung cấp Giải pháp chuyên nghiệp và Bảo mật hệ thống Ngân hàng).

PV: Ông có thể chia sẻ một số hành vi đột nhập vào hệ thống Ngân hàng gần đây.

Chuyên gia Nghiêm Sỹ Thắng: Cảm ơn Tạp chí đã tin tưởng mời Tôi trao đổi về việc đang là nỗi nhức nhối của các ngân hàng và tổ chức tín dụng. Trong khuôn khổ của bài trả lời phòng vấn Tôi chỉ nêu vấn đề chuyên môn và tránh nêu ra các Band name bởi đây là vấn đề nhạy cảm.

Tôi khẳng định thông tin mà khách hàng phản ánh là đúng sự thật đã diễn ra ở Ngân hàng thuộc loại lớn nhất Việt Nam hiện nay. Bên cạnh đó một số vụ việc diễn ra ở các Ngân hàng khác như: Hacker đột nhập vào lỗ hổng bảo mật để thực hiện hành vi lấy số tiền lẻ hàng “xu” chuyển sang tài khoản khác, lấy thông tin từ thẻ tín dụng tự điều chỉnh hạn mức lên 2 tỷ rồi vào Paypal để chuyển tiền từ thẻ tín dụng ra; Cài Backdoor vào nghe lén được thông tin của Admin rồi thiết lập trang web mang tên Ngân hàng để người dùng khó phân biệt thật giả, hack cổng thiết bị mạng đột nhập vào hệ thống và thực hiện hành vi chuyển tiền với số lượng lớn sang tài khoản khác.

PV: Xin Ông cho biết các thủ đoạn sử dụng công nghệ để đột nhập vào các hệ thống Ebanking hiện nay.

Chuyên gia Nghiêm Sỹ Thắng: Để có thể xâm nhập trái phép vào một hệ thống Ebanking đa phần Hacker sẽ thực hiện dò tìm thông tin về hệ thống và khai thác các lỗ hổng cho phép thực thi được câu lệnh hệ thống (Remote Code Execution - RCE) trên máy chủ Ebanking. Tuỳ vào các công tác giám sát an ninh mạng trong Bank việc phát hiện và đánh chặn kịp thời các cuộc tấn công RCE là rất quan trọng trước khi Hacker có thể chiếm quyền máy chủ.

PV: Vừa qua có Ngân hàng bị Hacker đột nhập vào hệ thống tin nhắn báo biến động số dư và gửi đường link hướng dẫn khách hàng đổi mật khẩu đăng nhập. Thủ đoạn rất tinh vi, vì sao Hacker có thể làm được như vậy?

Chuyên gia Nghiêm Sỹ Thắng: Để có thể thực hiện được kịch bản trên Hacker rõ ràng đã chiếm quyền được một hoặc một số các máy chủ trong Ngân hàng. Việc này dẫn đến thông tin của khách hàng đã bị Hacker thu thập. Khi đã có đầy đủ thông tin cũng như khả năng tương tác với khách hàng từ hệ thống nhắn tin dựa trên tên thương hiệu (Brand name) thì việc thực hiện một loạt các thủ đoạn lừa đảo tinh vi (Phishing) hoàn toàn có thể xảy ra. Hiện nay trên thị trường đen đã xuất hiện các thiết bị công nghệ cho phép chặn sóng và chèn sóng điện thoại để gửi tin nhắn đã chỉnh sửa nội dung đến điện thoại người dùng trong bán kính gần, tuy nhiên phương thức này khó khả thi trong thực hiện.     

Một kịch bản khác đã từng xảy ra ở ít nhất 3 Ngân hàng trong thời gian qua là các hành vi thực hiện xuất phát từ chính nhân sự có mối quan hệ nội bộ với Ngân hàng thông qua các khe hở về việc quản lý các tài khoản quản trị đặc quyền, các kết nối liên kết ra ngoài không nghiêm ngặt, việc cấp phát và thu hồi các tài khoản này cho nhân sự nội bộ hoặc các đối tác liên kết thanh toán có khe hở. Đối với các kịch bản này việc chiếm quyền điều khiển, xoá nhật ký hệ thống và thao tác ngay trên cổng gửi tin nhắn để xử lý các tin nhắn xác thực là rất dễ dàng. Ngoài ra với kịch bản này Hacker có thể dễ dàng tạo các trang web thu thập tài khoản khách hàng với tên miền nội bộ một cách chính thống rất khó phát hiện.

PV: Về phía Ngân hàng và khách hàng nên áp dụng các biện pháp gì để hạn chế rủi ro?

Chuyên gia Nghiêm Sỹ Thắng: Để hạn chế các rủi ro trong môi trường giao dịch Ngân hàng hiện tại về phía Ngân hàng cần phải xây dựng đội ngũ cán bộ nhân viên có trình độ chuyên môn cao về bảo mật hệ thống, được đào tạo bài bản về năng lực cũng như đạo đức nghề nghiệp. Đồng thời xây dựng các chính sách bảo mật chặt chẽ, nghiêm ngặt và liên tục cung cấp thông tin về tình hình ANTT trong hệ thống, nâng cao nghiệp vụ phòng chống lừa đảo cho nhân viên, cảnh giác với các hành vi bất thường từ hệ thống Email công ty.

Đối với khách hàng chúng ta cần nên đề phòng bất kỳ các tin nhắn, cuộc gọi thoại liên quan đến việc cung cấp, thay đổi thông tin xác thực với Ngân hàng. Coi trọng tính bảo mật các thông tin liên quan đến tài khoản. Không nên sử dụng các kết nối bảo mật kém an toàn, tên đường dẫn có dấu hiệu không chính thống, hoặc thiết bị công cộng để đăng nhập tài khoản, v.v...

Người dùng luôn lưu trữ các thông tin tổng đài hỗ trợ 24/7 của Ngân hàng để có thể cập nhật, tra cứu và báo động khẩn cấp khi có bất kỳ dấu hiệu sự cố nào.

Đây chính là cách tốt nhất giúp chúng ta giảm thiểu các nguy cơ bị tấn công và chiếm đoạt tiền trong tài khoản Ngân hàng.

PV: Trân trọng cảm ơn Ông đã trả lời phỏng vấn.