Vụ nhiều tài khoản ngân hàng bị chiếm dụng: Không quá lo ngại và đừng vội đổ lỗi cho ngân hàng
Việc tài khoản ngân hàng bị đánh cắp trong vụ việc này không đáng lo ngại bằng việc hơn 5 triệu cookie các trang phổ biến như là Facebook, hay hàng chục nghìn tài khoản gmail bị chiếm dụng.
Như chúng tôi đã thông tin, mới đây, trong quá trình tăng cường bảo mật cho hệ thống của công ty, nhóm chuyên gia bảo mật đến từ phòng An toàn thông tin trực thuộc VCCorp đã tình cờ tìm ra và lần theo dấu vết của một đường dây chiếm đoạt thông tin quy mô lớn tại Việt Nam. Bằng cách lợi dụng trình duyệt web, nhóm hacker này đã có trong tay nhiều thông tin tài khoản thuộc hệ thống của nhiều tổ chức lớn.
Cụ thể, theo ông Lê Nguyên Khang, Trưởng phòng An toàn thông tin Công ty VCCorp, ngày 21/6 trên hệ thống nội bộ công ty có phát hiện dấu hiệu bất thường ở tài khoản quản trị một trang web trực thuộc nên bắt đầu truy tìm và phát hiện tài khoản này đã bị tin tặc chiếm quyền điều khiển. Sau khi tiến hành điều tra, họ đã xác định được một lượng lớn thông tin tài khoản bị lấy cắp từ máy tính cá nhân của nhân viên thông qua một mã độc dưới dạng phần mở rộng (extension) trên trình duyệt Chrome. Quan trọng hơn, đây lại là một phần mở rộng nhái lại của chương trình IDM - Internet Download Manager rất phổ biến tại Việt Nam và được sử dụng trên 2 trình duyệt hàng đầu hiện nay là Google Chrome và Cốc Cốc.
Đáng chú ý, đây không phải là hành vi đánh cắp của một cá nhân mà có đến một nhóm người cùng thực hiện. Thống kê sơ bộ, nhóm hacker đã lấy cắp được thông tin đăng nhập (gồm username và password) của khoảng 55.000 tài khoản Facebook, 6.000 tài khoản Gmail, 5.000 tài khoản Yahoo và hơn 5 triệu cookie các trang phổ biến như Facebook, Google Mail, Yahoo Mail, Hotmail hay cả PayPal, trong đó thậm chí có cả danh sách tài khoản thực và email của nhân viên một số ngân hàng tại Việt Nam như là Vietcombank, BIDV…
Đề cập đến việc các tài khoản ngân hàng bị đánh cắp có thể gây ra rủi ro nào cho các chủ tài khoản hay không khi mà các tài khoản ngoài password ra còn có một lớp bảo vệ nữa là OTP, ông Khang cho biết qua xác minh thì chỉ số lượng tài khoản liên quan ngân hàng không lớn. Mỗi ngân hàng chỉ có vài chục đến vài trăm tài khoản bị chiếm dụng. Bộ phận an toàn thông tin của ông cũng chưa có thời gian để kiểm tra từng tài khoản song cơ bản là chưa phát hiện được các dấu hiệu chuyển tiền trong những tài khoản đó. Song ông cũng cho biết có một số lo ngại khi nhiều ngân hàng ở Việt Nam có chức năng gửi OTP cho người dùng qua email. Như vậy hacker chỉ cần truy cập được vào tài khoản là có thể chuyển cách gửi mã xác thực từ OTP qua email.
Về việc tài khoản ngân hàng bị đánh cắp, theo ông Khang, là không đáng lo ngại bằng việc hơn 5 triệu cookie các trang phổ biến như là Facebook, hay hàng chục nghìn tài khoản gmail bị đánh cắp. Bởi vì tất cả các user đó đều là user thực, và chắc chắn các user này dùng ngân hàng và các dịch vụ khác liên quan đến thanh toán như là PayPal. Người dùng thường lưu các thông tin quan trọng trong email, có thể bảo gồm cả password, nên nếu hacker chiếm dụng được thì việc bị mất tiền là khó tránh khỏi. Đặc biệt đối với dịch vụ PayPal khá phổ biến hiện nay nhưng không đòi hỏi OTP, chỉ cần có thông tin đăng nhập là các đối tượng có thể sử dụng mua hàng, thanh toán trên toàn thế giới.
Ông Khang cho biết thêm, sau khi có thông tin về việc nhiều tài khoản bị hacker như vậy, các ngân hàng đã liên hệ với VCCorp để cung cấp danh sách các email cũng như tài khoản bị đánh cắp để họ có khuyến cáo tới các khách hàng trực tiếp cũng như cảnh báo trên toàn hệ thống để ngăn chặn những rủi ro phát sinh.
Liên quan đến vấn đề trách nhiệm thuộc về phía nào khi các tài khoản bị chiếm dụng trong vụ này, ông Khang khẳng định hoàn toàn lỗi của người dùng, do họ truy cập vào các đường link lạ và cài đặt các phần mềm lậu. Vì thế ông khuyến cáo người dùng nên kiểm tra các phần mở rộng đã được cài trong trình duyệt web và xem quyền truy cập máy tính có gì lạ không, nếu nó đang được cấp quyền để vào được nhiều phần trong máy tính thì hãy gỡ bỏ. Đồng thời hãy xóa thông tin truy cập vào các trang web hay các tài khoản đang được lưu trên máy tính và thực hiện thay đổi toàn bộ mật khẩu ở các dịch vụ điện tử đang sử dụng. Với những người không chuyên về công nghệ thông tin thì không nên tự ý cài đặt các chương trình mà cần nhờ người có hiểu biết về công nghệ thông tin hỗ trợ.
Về phía ngân hàng, ông Khang cho rằng cũng rất khó để đòi hỏi họ phải đảm bảo quyền lợi hoàn toàn cho người dùng trong mọi tình huống khi họ vừa phải đảm bảo đơn giản dịch vụ cho người dùng vừa phải bảo mật. Cách mà ngân hàng đang áp dụng là mã OTP để bảo mật đã là khả dĩ nhất. Nhưng để tăng cường bảo mật hơn nữa, ông khuyến cáo nên chuyển xác thực bằng mã OTP sang dạng OTP cứng qua Token key.