Thử nghiệm bảo mật của web và ứng dụng của một số ngân hàng tại VN

TÍCH CỰC

Cao nhân phương nào nếu đã thấy "chuyện bất bình" hãy ra tay tương trợ, chỉ giáo cho mọi người cùng biết, chứ chỉ có vài dòng kiểu đó coi bộ "cao nhân" mới là người làm rối lòng thiên hạ.

Ko kiểm tra được ở đây hiểu đơn giản là bạn thậm chí ko có cơ hội tiếp cận nó để kiểm tra. Vô địch.

tronghoang8705

TÍCH CỰC

8 năm

spsp đã nói: ↑

View attachment 3354226

KLQ nhưng bác nào biết giúp em cái.
Hôm bữa tự dưng có 1 giao dịch lạ như hình.
Em gọi lên ngân hàng họ nó ko tra được.
Thank

theo thông tin rò rỉ của tổ chức bảo mật ngân hàng quốc tế
hiện đang có 1 nhóm tin tặc xuyên quốc gia
chuyên dò tìm và đánh cắp tài khoản ngân hàng
và mình tin chắc bạn là 1 trong những đối tượng của tổ chức này đang nhắm tới.
Để an toàn cho bạn và góp sức cho cảnh sát quốc tế interpol bắt dc nhóm tin tặc này.
mình xin gợi ý cho bạn 2 cách sau để bảo vệ tài khoản của bạn
1 - bạn rút hết tiền trong tài khoản ra và ko sử dụng tài khoản này nữa. => XONG
2- bạn chuyển hết tiền trong tài khoản của bạn vào tài khoản của mình theo stk sau đây
010010101100010010 , vietconbank, chi nhánh HCM ,
chủ tài khoản : NGUYEN VAN KHONG BIET GI HET. 😁
thế nhé, chúc bạn thành công :D

phuclun

ĐẠI BÀNG

8 năm

Vậy mà trước giờ tưởng anh techcombank bảo mật tốt nhất chứ 😆

Triệu Dũng Phú

TÍCH CỰC

8 năm

Đi mở cái TK BIDV ngay thôi ^^

thangna

ĐẠI BÀNG

8 năm

vẫn còn thiều phần xác thực người dùng khi sử dụng ebank & Mobile Banking nữa.
đâu chỉ có bây nhiêu mà attack được người dùng?

kienbk

ĐẠI BÀNG

8 năm

Thông tin tương đối nhiễu loạn, có cao nhân nào có thể vào trợ giúp update thêm phương pháp hoặc thông tin để mọi người theo dõi

longoanhi

TÍCH CỰC

8 năm

đù vegi sig mà vậy ăn cức rồi

x10man

ĐẠI BÀNG

8 năm

Mấy cái test này có sẵn trên mạng, nhập tên host vô và chạy thôi, chả có gì cao siêu.
Gợi ý với tác giả là "Nêu tên đích danh ngân hàng" là dễ dính rắc rối lắm nhé, mấy công ty chuyên nghiệp khi thực hiện test họ không bao giờ nêu tên đích danh của cơ quan nào.

xtmg1

CAO CẤP

8 năm

Thử nghiệm vậy đâu có chính xác, bạn thử hack mới chuẩn chứ

ngoc544

GÀ

8 năm

@xtmg1 Làm theo bạn là mai báo chí có tin mới đăng ầm ầm, mod tinhte lên đĩa 😃

verybeo

TÍCH CỰC

8 năm

Bankplus viettel thì sao ta. Qua otp có dính ko

hoangnguyenkr

ĐẠI BÀNG

8 năm

Ặc đang dùng ACB và giao dịch nhiều trên điện thoại

ĐẠI BÀNG

Mr.Robot

ĐẠI BÀNG

@mrpaint ứng dụng Bankplus của Viettel nữa bác, ứng dụng này kết nối rất nhiều ngân hàng tại VN. máy root rồi dùng ứng dụng bankplus có đảm bảo ko? dùng chuyển tiền theo Ussd của Viettel có an toàn?

thucungcuatoi

TÍCH CỰC

8 năm

Thêm em VPBank đi 😃 TPBank nữa

thanhphat95

TÍCH CỰC

8 năm

ad rảnh thì kiểm tra dùm mình cái Đông Á vớio_O

mrkn

TÍCH CỰC

8 năm

@thanhphat95 Đông Á có siêu cao thủ ủng hộ đằng sau, an toàn nhất trong các ngân hàng đó bác

Citibank và HSBC thừa hưởng công nghệ từ tập đoàn mà kết quả vậy thì hơi kỳ. Tiền thì 2 công ty đó đâu có thiếu, policy lại càng bắt buộc phải bảo mật hơn nữa. Khó hiểu quá, hjx

tin_truc22

CAO CẤP

8 năm

Đầu tiên, dựa vào mấy cái này mà bảo là dịch vụ an toàn hay không rồi đưa lên trang chủ của 1 diễn đàn công nghệ *được coi là* nhất VN hiện tại thì có vẻ thiếu thận trọng, vì có thể gây hoang mang dư luận ảnh hưởng đến những người được nêu tên. 1 bài viết nếu chỉ ngày 1 ngày 2 chưa nghiên cứu nhiều, có nhiều khái niệm sai lại ảnh hưởng đến những người đọc theo hướng tiêu cực e dè thì không nên đăng làm gì. Mấy hãng bảo mật như Symantec, kaspersky dẹp đi cho vừa lại ảnh hưởng đến cộng đồng làm bảo mật trong nước.
Sáng giờ làm việc không thời gian viết nhiều giờ viết vài dòng phản biện:
- TLS/SSL là 1 cái nền tảng của bảo mật rồi. Vì vậy nó là cần thiết đánh giá, nhưng để đánh giá được mức độ bảo mật của từng Certificate như thế nào thì không phải đơn giản chỉ là mấy cái thang điểm của 1 trang nào đó (Câu hỏi, bạn tin ssllabs đến mức nào). Ví dụ ssllabs báo nó điểm C, nhưng khi coi kỹ chứng chỉ SSL do Symantec cấp, lý do ssllabs thông báo là do dùng SHA1withRSA của VeriSign, trước đó đã có 1 chữ ký khác của Symantec dùng SHA256withRSA rồi trong chain đã có chẳng cần phải lo. Tên 2 hãng đó các bạn cứ tự hình dung.
Về cảnh báo RC4 thì do có lẽ bọn này muốn support trình duyệt cũ, mới hỗ trợ thêm, chứ mặc định các trình duyệt version mới, lên bản mới đã chuyển sang TLS 1.2, chẳng cần quan tâm tới cái đó. Bạn sẽ quan tâm chuyện khi vào website ngân hàng, máy tính bạn báo không hỗ trợ trình duyệt và không làm gì được, hay nó sẽ hỗ trợ 1 giao thức kém bảo mật hơn 1 chút (do công nghệ cũ) nhưng vẫn có thể xem là vấn đề (RC4 has long been considered problematic)?
Tiếp theo:
- Đã có TLS rồi thì còn sợ gì Man In The Middle? Phải thực hiện mã hoá ở client? Coi như vô nghĩa. Bạn có lấy 1 sợi dây xích xe đạp để buộc cái két sắt của bạn ở nhà lại không? Việc phải thực hiện này không có ý nghĩa gì ngoại trừ chuyện ngay cả server cũng không biết được password của người dùng. Lỗi chỉ có thể xảy ra khi client (web browser, phone, computer) bị compromise (hoặc server bị lộ key, dường như không thể), nhưng đã đánh được ở mức client thì người ta đặt keylog cho nhanh gọn còn dễ hơn là ngồi sniff dữ liệu.
- Pinning certificate là 1 vấn đề mới được đưa ra thảo luận gần đây, không thèm trust luôn certificate của bọn CA (Verisign, Symantec) tuy nhiên mấu chốt ở chỗ ... không nhiều trình duyệt hỗ trợ cái này, các CDN lớn cũng chưa hỗ trợ (mình thử với cloudflare, cuối cùng bọn nó lỗi hệ thống vài ngày sau mới fix được), và thường cái pinning này cũng chỉ có ý nghĩa cho ứng dụng mobile chứ web chẳng ý nghĩa mấy nên các ngân hàng mới chỉ triển khai cho nó. Việc nói chạy webview của citibank mà chèn được mã độc Javascript mình cũng chẳng biết chèn bằng đường nào? Như nói ở trên máy bị root rồi dính mã độc đến nỗi chèn được Javascript vào webview thì nó làm gì cũng được trên cái máy đó 😃

Gates

TÍCH CỰC

8 năm

tin_truc22 đã nói: ↑

Đầu tiên, dựa vào mấy cái này mà bảo là dịch vụ an toàn hay không rồi đưa lên trang chủ của 1 diễn đàn công nghệ *được coi là* nhất VN hiện tại thì có vẻ thiếu thận trọng, vì có thể gây hoang mang dư luận ảnh hưởng đến những người được nêu tên. 1 bài viết nếu chỉ ngày 1 ngày 2 chưa nghiên cứu nhiều, có nhiều khái niệm sai lại ảnh hưởng đến những người đọc theo hướng tiêu cực e dè thì không nên đăng làm gì. Mấy hãng bảo mật như Symantec, kaspersky dẹp đi cho vừa lại ảnh hưởng đến cộng đồng làm bảo mật trong nước.
Sáng giờ làm việc không thời gian viết nhiều giờ viết vài dòng phản biện:
- TLS/SSL là 1 cái nền tảng của bảo mật rồi. Vì vậy nó là cần thiết đánh giá, nhưng để đánh giá được mức độ bảo mật của từng Certificate như thế nào thì không phải đơn giản chỉ là mấy cái thang điểm của 1 trang nào đó (Câu hỏi, bạn tin ssllabs đến mức nào). Ví dụ ssllabs báo nó điểm C, nhưng khi coi kỹ chứng chỉ SSL do Symantec cấp, lý do ssllabs thông báo là do dùng SHA1withRSA của VeriSign, trước đó đã có 1 chữ ký khác của Symantec dùng SHA256withRSA rồi trong chain đã có chẳng cần phải lo. Tên 2 hãng đó các bạn cứ tự hình dung.
Về cảnh báo RC4 thì do có lẽ bọn này muốn support trình duyệt cũ, mới hỗ trợ thêm, chứ mặc định các trình duyệt version mới, lên bản mới đã chuyển sang TLS 1.2, chẳng cần quan tâm tới cái đó. Bạn sẽ quan tâm chuyện khi vào website ngân hàng, máy tính bạn báo không hỗ trợ trình duyệt và không làm gì được, hay nó sẽ hỗ trợ 1 giao thức kém bảo mật hơn 1 chút (do công nghệ cũ) nhưng vẫn có thể xem là vấn đề (RC4 has long been considered problematic)?
Tiếp theo:
- Đã có TLS rồi thì còn sợ gì Man In The Middle? Phải thực hiện mã hoá ở client? Coi như vô nghĩa. Bạn có lấy 1 sợi dây xích xe đạp để buộc cái két sắt của bạn ở nhà lại không? Việc phải thực hiện này không có ý nghĩa gì ngoại trừ chuyện ngay cả server cũng không biết được password của người dùng. Lỗi chỉ có thể xảy ra khi client (web browser, phone, computer) bị compromise (hoặc server bị lộ key, dường như không thể), nhưng đã đánh được ở mức client thì người ta đặt keylog cho nhanh gọn còn dễ hơn là ngồi sniff dữ liệu.
- Pinning certificate là 1 vấn đề mới được đưa ra thảo luận gần đây, không thèm trust luôn certificate của bọn CA (Verisign, Symantec) tuy nhiên mấu chốt ở chỗ ... không nhiều trình duyệt hỗ trợ cái này, các CDN lớn cũng chưa hỗ trợ (mình thử với cloudflare, cuối cùng bọn nó lỗi hệ thống vài ngày sau mới fix được), và thường cái pinning này cũng chỉ có ý nghĩa cho ứng dụng mobile chứ web chẳng ý nghĩa mấy nên các ngân hàng mới chỉ triển khai cho nó. Việc nói chạy webview của citibank mà chèn được mã độc Javascript mình cũng chẳng biết chèn bằng đường nào? Như nói ở trên máy bị root rồi dính mã độc đến nỗi chèn được Javascript vào webview thì nó làm gì cũng được trên cái máy đó 😃

@tin_truc22 Điều bạn nói có nghĩa là:
- Đầu tiên là phải xem dựa trên tiêu chuẩn nào (có đáng tin cậy) để đánh giá TLS của 1 trang nào đó?
- Nếu đã tin cậy thì cũng chỉ cần quan tâm đến TLS thôi, những tiêu chí khác (mã hóa client, pinning,...) ko (thực sự) cần thiết?

Một điều t ko đồng tình với suy nghĩ của bạn ở chỗ sẵn sàng chịu kém bảo mật để hỗ trợ trình duyệt cũ. Trong một số trường hợp nghiêm trọng liên quan đến các TK ngân hàng thì buộc phải luôn cập nhật và chỉ sử dụng các phương thức bảo mật mới nhất. Nếu người sử dụng xài nền tảng cũ thì hãy đến ngân hàng thực hiện giao dịch.

lequocvan

TÍCH CỰC

8 năm

Gates đã nói: ↑

Điều bạn nói có nghĩa là:
- Đầu tiên là phải xem dựa trên tiêu chuẩn nào (có đáng tin cậy) để đánh giá TLS của 1 trang nào đó?
- Nếu đã tin cậy thì cũng chỉ cần quan tâm đến TLS thôi, những tiêu chí khác (mã hóa client, pinning,...) ko (thực sự) cần thiết?

Một điều t ko đồng tình với suy nghĩ của bạn ở chỗ sẵn sàng chịu kém bảo mật để hỗ trợ trình duyệt cũ. Trong một số trường hợp nghiêm trọng liên quan đến các TK ngân hàng thì buộc phải luôn cập nhật và chỉ sử dụng các phương thức bảo mật mới nhất. Nếu người sử dụng xài nền tảng cũ thì hãy đến ngân hàng thực hiện giao dịch.

@Gates Mình nghĩ ngân hàng chỉ quan tâm đến tiền & làm thế nào cho hợp lý với hiện tại. Vì có thể những cảnh báo bảo mật chỉ dừng ở chỗ hacker chưa hiện thật được mà chỉ ở cảnh báo chuyên gia.
Họ nhiều tiền, vì vậy bên cạnh họ cũng buộc phải có chuyên gia bảo mật đẳng cấp nhất nhì.
Còn bảo mật cấp cao để tuyệt đối vấn đề nÀo đó thì họ sẽ ko làm. Vì hướng đến người dùng là chính như vcb biết bao lần thay đổi giao diện.

vumiis

Trứng

8 năm

tin_truc22 đã nói: ↑

Đầu tiên, dựa vào mấy cái này mà bảo là dịch vụ an toàn hay không rồi đưa lên trang chủ của 1 diễn đàn công nghệ *được coi là* nhất VN hiện tại thì có vẻ thiếu thận trọng, vì có thể gây hoang mang dư luận ảnh hưởng đến những người được nêu tên. 1 bài viết nếu chỉ ngày 1 ngày 2 chưa nghiên cứu nhiều, có nhiều khái niệm sai lại ảnh hưởng đến những người đọc theo hướng tiêu cực e dè thì không nên đăng làm gì. Mấy hãng bảo mật như Symantec, kaspersky dẹp đi cho vừa lại ảnh hưởng đến cộng đồng làm bảo mật trong nước.
Sáng giờ làm việc không thời gian viết nhiều giờ viết vài dòng phản biện:
- TLS/SSL là 1 cái nền tảng của bảo mật rồi. Vì vậy nó là cần thiết đánh giá, nhưng để đánh giá được mức độ bảo mật của từng Certificate như thế nào thì không phải đơn giản chỉ là mấy cái thang điểm của 1 trang nào đó (Câu hỏi, bạn tin ssllabs đến mức nào). Ví dụ ssllabs báo nó điểm C, nhưng khi coi kỹ chứng chỉ SSL do Symantec cấp, lý do ssllabs thông báo là do dùng SHA1withRSA của VeriSign, trước đó đã có 1 chữ ký khác của Symantec dùng SHA256withRSA rồi trong chain đã có chẳng cần phải lo. Tên 2 hãng đó các bạn cứ tự hình dung.
Về cảnh báo RC4 thì do có lẽ bọn này muốn support trình duyệt cũ, mới hỗ trợ thêm, chứ mặc định các trình duyệt version mới, lên bản mới đã chuyển sang TLS 1.2, chẳng cần quan tâm tới cái đó. Bạn sẽ quan tâm chuyện khi vào website ngân hàng, máy tính bạn báo không hỗ trợ trình duyệt và không làm gì được, hay nó sẽ hỗ trợ 1 giao thức kém bảo mật hơn 1 chút (do công nghệ cũ) nhưng vẫn có thể xem là vấn đề (RC4 has long been considered problematic)?
Tiếp theo:
- Đã có TLS rồi thì còn sợ gì Man In The Middle? Phải thực hiện mã hoá ở client? Coi như vô nghĩa. Bạn có lấy 1 sợi dây xích xe đạp để buộc cái két sắt của bạn ở nhà lại không? Việc phải thực hiện này không có ý nghĩa gì ngoại trừ chuyện ngay cả server cũng không biết được password của người dùng. Lỗi chỉ có thể xảy ra khi client (web browser, phone, computer) bị compromise (hoặc server bị lộ key, dường như không thể), nhưng đã đánh được ở mức client thì người ta đặt keylog cho nhanh gọn còn dễ hơn là ngồi sniff dữ liệu.
- Pinning certificate là 1 vấn đề mới được đưa ra thảo luận gần đây, không thèm trust luôn certificate của bọn CA (Verisign, Symantec) tuy nhiên mấu chốt ở chỗ ... không nhiều trình duyệt hỗ trợ cái này, các CDN lớn cũng chưa hỗ trợ (mình thử với cloudflare, cuối cùng bọn nó lỗi hệ thống vài ngày sau mới fix được), và thường cái pinning này cũng chỉ có ý nghĩa cho ứng dụng mobile chứ web chẳng ý nghĩa mấy nên các ngân hàng mới chỉ triển khai cho nó. Việc nói chạy webview của citibank mà chèn được mã độc Javascript mình cũng chẳng biết chèn bằng đường nào? Như nói ở trên máy bị root rồi dính mã độc đến nỗi chèn được Javascript vào webview thì nó làm gì cũng được trên cái máy đó 😃

@tin_truc22 10 LIKE cho bác, phân tích của một người hiểu biết về webapp secu. Về biên tập hoặc admin của trang này mình xin góp ý, những báo cáo này là vấn đề nhạy cảm cần được trao đổi thảo luận trước khi bung lụa lên thông tin đại chúng, nó sẽ ảnh hưởng không tốt đến hình ảnh của các ngân hàng. Vậy khi post cần nói rõ kiểm tra thông tin các độ mạnh của protocol hoặc cipher streng của các site bảo mật ngân hàng hơn là độ bảo mật. Admin nên quản lý các bài viết với nội dung này không khéo bị các ngân hàng kiện lại thì khổ cho tinhte. Dự là sau bài này các trình duyệt của XP hoặc các browser slow version sẽ bị thay thế. Các bác chuẩn bị nâng cấp oS lên để cài được trình duyệt mới nhé.

kungfu9

CAO CẤP

8 năm

Mod chưa sành về bảo mật mà đi viết bậy bạ thế này thì....

Duy Luân

VIP

8 năm

@kungfu9 Góp ý có tính xây dựng thì sẽ thuyết phục và mở mang hơn á, như bạn @tin_truc22 nè

tin_truc22

CAO CẤP

8 năm

@kungfu9 mình cũng đâu có chuyên sâu cái này đâu, lâu lâu gặp mấy anh em sysadm với bên vnsec nhậu nhẹt chém gió thôi. vài hôm gặp mấy cái lỗi nho nhỏ bên này nọ trên mạng thì toàn pm anh em với nhau chửi cho vui rồi fix chứ chả có ý gì. Quan điểm mình là thà không nói, nói thì nên đúng, chứ nói sai làm mọi người có định kiến, hoặc sai kiến thức thì còn nguy hiểm hơn nhiều.

Methylamine

VIP

8 năm

ACB là trang web có thiết kế tệ nhất hệ mặt trời

dzungntd

TÍCH CỰC

8 năm

@Methylamine Không dễ như bạn nghĩ đâu =))

Methylamine

VIP

8 năm

@vietdevelop thiết kế UI/UX thôi 😁

Alpaca Ăn Cỏ

VIP

8 năm

@Methylamine 3 triệu USD là toàn bộ việc nhận dạng thương hiệu, không phải 1 mình cái web 😃

rosekiller

ĐẠI BÀNG

8 năm

@Methylamine bác không thể nói thế được, it bên ấy có nhiều bạn thừa sức làm cái web chất như quả đất ấy chứ. nhưng do lợi ích nhóm thì nó thành ra thế này. ai thấy cũng ậm ừ cho qua chuyện thôi, đại loại như " ối nhìn web đúng là đẹp lạ , không giống bất kỳ ngân hàng nào cả, chuẩn thế đấy"

Thử nghiệm bảo mật của web và ứng dụng của một số ngân hàng tại VN

CHỦ ĐỀ TƯƠNG TỰ

Một số tính năng nâng cao bảo mật trên trình duyệt Microsoft Edge

Microsoft "để quên" máy chủ chứa dữ liệu nhân viên cả tháng trời, không có password

Cần sự giúp đỡ từ AE tinh tế

Hạ viện Mỹ cấm sử dụng chatbot Copilot trong các máy tính chạy Windows