Vụ mất tiền này chắc là hot nhất hôm nay và ngày mai về ngân hàng điện tử . VnEx dùng từ bốc hơi cũng hơi quá,. Ai cũng có thể là nạn nhân. Ae lưu ý bảo mật,.
https://vnexpress.net/tai-khoan-ngan-hang-boc-hoi-406-trieu-trong-vai-phut-4171383.html
**Lưu ý: bài viết theo dạng thử đoán và vẽ ra 1 bước tấn công với suy đoán nạn nhân vô tội (loại trừ khả năng ổng và người thân cầm đt tự chuyển..).
https://vnexpress.net/tai-khoan-ngan-hang-boc-hoi-406-trieu-trong-vai-phut-4171383.html
Tài khoản ngân hàng ‘bốc hơi’ 406 triệu trong vài phút
Tài khoản của ông Luận bị kích hoạt ứng dụng VCB Digibank trên thiết bị khác và chuyển 406 triệu cho người thụ hưởng tại MSB, SEABank trong 7 phút.
vnexpress.net
**Lưu ý: bài viết theo dạng thử đoán và vẽ ra 1 bước tấn công với suy đoán nạn nhân vô tội (loại trừ khả năng ổng và người thân cầm đt tự chuyển..).
Tóm tắt
Có một vài điểm đáng chú ý:- Nạn nhân bảo không có cung cấp tên đăng nhập và mật khẩu cho bất kỳ ai.
- Nhà mạng Vinaphone cũng xác nhận ngân hàng gửi tổng cộng 8 tin nhắn xác thực và biến động số dư đến điện thoại ông Luận.
- Sau khi thực hiện thành công hai giao dịch chuyển tiền bằng phương thức xác thực OTP qua tin nhắn điện thoại, tính năng xác thực bằng SmartOTP trên thiết bị mới có thể được sử dụng. Vì thế, lúc 11h07, đối tượng chuyển 317 triệu đồng tới tài khoản Vo Khoa Tuan tại Ngân hàng TMCP Hàng hải Việt Nam (MSB) thông qua hai giao dịch.
trước đây mình đã từng có post gõ về việc VCB sử dụng số đt để làm tên đăng nhập mặc định và nhận không ít gạch đá (ae bảo VCB security chuẩn). Dù nhận định của mình khi đó là dùng số đt làm ID là đã giảm đi 1 nửa sự khó khăn của hacker, chưa kể nhiều người sử dụng chung mật khẩu cho nhiều dịch vụ =).
Scenario có thể xảy ra (tranh thủ quảng cáo bộ film Mr. Robot - kiến thức hack trong film này khá thực tế).
Nhưng với trường hợp này, giả định hacker hack được 1 tài khoản khác và có mật khẩu của 1 dịch vụ khác. Tới đây rõ ràng hacker chỉ cần có thử mật khẩu và sms otp là đã có thể truy cập được ngân hàng điện tử giả dụ với phương thức bên dưới đây:
- Người dùng sử dụng Android, và cài đặt những ứng dụng được quyền truy cập SMS (ứng dụng này có thể gửi thông tin sms cho hacker). Hồi còn dùng Android mình thấy vụ về quyền SMS là lạ lùng nhất, nhiều app nó đòi truy cập quá mà không phải ai cũng rành để bấm NO. Trên bản chất những app đó được quyền đọc SMS và xóa chúng một cách ẩn mà người dùng không thể biết được SMS đó tồn tại. (xem thêm một số app chặn tin nhắn rác tự động).
- Hacker đăng nhập VCB Digital rồi get sms otp từ app ở bước một. Đăng nhập gọn nhẹ, thực hiện 2 giao dịch rồi thẳng tiến active luôn smart OTP và xử luôn lượng tiền còn lại.
- Đương nhiên là mọi SMS từ VCB gửi tới lúc này đều được auto xóa không có notify người dùng.
Một báo cáo vài ngày trước về một app trojan dạng này.
https://www.indiatimes.com/technology/news/android-trojan-alien-bank-otp-fraud-524084.html
Android Trojan Called 'Alien' Can Steal OTPs, And Risk Your Bank Account
A grave threat to financial transactions
indiatimes.com
Một vài app từ Android PlayStore (CHPlay) ngụy trang chất và chôm được SMS OTP.
https://gbhackers.com/malicious-apps-two-factor-authentication/
Malicious Apps from Google PlayStore Bypassing SMS-Based Two-Factor Authentication and Steal OTPs in SMS
Researchers discovered new malicious Android apps from Google Play Store bypassing SMS-based two-factor authentication (2FA).
gbhackers.com
Với iOS, mô hình tấn công này có thể xảy ra không? Trên lý thuyết (trừ iOS đã jailbreak) là không thể vì tới tận iOS 14 Apple vẫn không cho phép bất kỳ một app nào được truy cập SMS. Bên cạnh đó họ còn build tính năng tự động nhận diện OTP để hiện lên trong app khi chúng yêu cầu, cái này là siêu tiện.
Tự bảo vệ?
Vậy làm cách nào để giảm thiểu kiểu tấn công này:
Quảng cáo
- Do VCB không cho đổi user name nên tốt nhất sử dụng 1 số điện thoại riêng để đăng ký với VCB. Đừng sử dụng chung mật khẩu cho app ngân hàng
- Set limit hạn mức tối đa chuyển tiền 1 ngày. (VIB mặc định set tối đa 50 tr/ngày và phải ra quầy mới đổi được hạn mức.. lạy =)) ).
- Đừng cài mấy app bậy bạ, nhất là file APK (nhất là mấy file cr-ack bản quyền xài chùa app) hay bla bla. Và cần kiểm tra coi đã có những app nào được quyền truy cập SMS, xóa hết đi giữ cái app mặc định SMS thôi.
- Đổi qua bank khác (không sử dụng số đt làm id) mà dùng, giờ ngân hàng nào cũng chuyển tiền liên ngân hàng nhanh 24/7 mà chả mất đồng phí nào. Đổi qua bank nào sử dụng token vật lý. Hoặc kích hoạt smartOTP hay xác thực qua ứng dụng
- Đổi qua iPhone =)),
Mình hiện dùng DBS, VP Bank, Timo và HSBC Vietnam. DBS thì là ngân hàng có vẻ xịn nên mọi giao dịch online, hay login khả nghi đều yêu cầu người dùng xác thực cho phép thông qua một tin push yêu cầu xác thực nên khả năng bị mất tiền là không nhiều qua phương pháp tấn công trên. HSBC Vietnam thì sử dụng token vật lý, VPBank cũng không có sử dụng số điện thoại làm id và kích hoạt phải nhắn tin lên cái tổng đài nên cũng tàm tạm.
Anh em bảo mật các app digital banking thế nào? Cùng trao đổi thảo luận.