Cảnh báo khẩn sau vụ hacker tấn công khách hàng VPBank

Cảnh báo khẩn sau vụ hacker tấn công khách hàng VPBank

Khách hàng bị tấn công như thế nào?

Từ tối ngày 21/7/2018, hàng loạt người dùng là khách hàng VPBank đã nhận được email cảnh báo từ địa chỉ: ebank@ebank.vpbank.com.vn, yêu cầu phải nhập số thẻ tín dụng, ngày hết hạn, tên khách hàng, mã số bí mật CVV.

Qua phân tích, phía công ty an ninh mạng Security Box cho hay nội dung email yêu cầu người dùng thẻ tín dụng truy cập địa chỉ: http://ebank.vpbank.com.vn/security.html để sử dụng hệ thống “SYSTEM ENCRYPTED SSL 256”, tuy nhiên thực tế là truy cập vào website "http://email-dbs1.vpbank.com.vn/link.php?M=15732588&N=2562&L=1482&F=H" để tin tặc lừa đảo thông tin (hiện nay địa chỉ trên không truy cập được nữa - PV).

Quy trình tin tặc tấn công lừa đảo người dùng được thực hiện qua 3 bước như sau:

Cảnh báo khẩn sau vụ hacker tấn công khách hàng VPBank

3 bước người dùng bị tấn công lừa đảo

Thông tin khách hàng nhận cảnh báo bảo mật nhưng thực chất là hành vi lừa đảo chiếm đoạt thông tin thẻ tín dụng:

Cảnh báo khẩn sau vụ hacker tấn công khách hàng VPBank

Ngoài ra, tin tặc lừa đảo khi email có nội dung liên quan tới một thông báo của VPBank tới khách hàng về việc tăng cường bảo mật thông tin thẻ thanh toán VPBank vào cuối tháng 6/2018.

Cảnh báo khẩn sau vụ hacker tấn công khách hàng VPBank

Một số kịch bản tấn công

Với những thông tin thu thập độc lập từ Internet, Security Box chia sẻ một số kịch bản có thể đã xảy ra đằng sau vụ tấn công có chuẩn bị tinh vi này:

Kịch bản 1: Hacker tấn công Man-in-the-middle:

Cảnh báo khẩn sau vụ hacker tấn công khách hàng VPBank

Hacker tấn công Man-in-the-middle

Trong kịch bản này, hacker thực hiện tấn công đứng giữa ngay trong mạng nội bộ của người dùng. Cụ thể các bước:

Bước 1: Hacker có thể đã sở hữu mạng lưới Botnet và mã độc APT ở nhiều nơi.

Bước 2: Hacker thực hiện gửi số lượng lớn email phishing đến người khách hàng của VPBank, trong đó có khách hàng đang trong mạng nội bộ.

Bước 3: Khi người dùng mở email và click và đường link, domain email-dbs1.vpbank.com.vn bị mã độc trong mạng nội bộ giả mạo.

Bước 4: Thay vì người dùng truy cập địa chỉ máy chủ email-dbs1.vpbank.com.vn thật, Hacker chuyển hướng toàn bộ yêu cầu của người dùng đến máy chủ email-dbs1.vpbank.com.vn giả mạo.

Bước 5: Toàn bộ thông tin thẻ tín dụng của người dùng được chuyển đến máy chủ do hacker kiểm soát.

Tuy nhiên, đây là kịch bản khó xảy ra. Nếu người dùng sử dụng 3G sẽ không bị lừa đảo và trong trường hợp này hacker cũng có thể tấn công không chỉ một ngân hàng mà việc này chưa được ghi nhận.

Kịch bản 2: hacker chiếm quyền điều khiển domain

Đây là trường hợp hacker chiếm quyền điều khiển tài khoản quản trị domain. Nếu trường này xảy ra, hacker hoàn toàn có thể dễ dàng thực hiện kịch bản tấn công ở trên.

Tuy nhiên, nếu trường hợp này xảy ra, không chỉ có subdomain email-dbs1.vpbank.com.vn bị ảnh hưởng mà Hacker hoàn toàn có thể tận dụng cả domain chính để thực hiện phá hoại.

Kịch bản 3: hacker tấn công, chiếm quyền điều khiển DNS Server

Trong trường hợp hacker tấn công, chiếm quyền điều khiển của DNS server, hacker hoàn toàn có thể thay đổi các bản ghi DNS để trỏ các máy chủ website email-dbs1.vpbank.com.vn về địa chỉ máy chủ giả mạo do hacker kiểm soát trước khi gửi mail hàng loạt.

Tuy nhiên, nếu kịch bản tấn công này xảy ra, không chỉ có tên miền vpbank.com.vn bị ảnh hưởng mà rất nhiều tên miền khác của những doanh nghiệp khác cũng sẽ bị ảnh hưởng.

Kịch bản 4: một phần máy chủ của VPBank bị tấn công chiếm quyền điều khiển

Một giả định khác có thể xảy ra là máy chủ, mà các domain ebank.vpbank.com.vn và email-dbs1.vpbank.com.vn trỏ đến, có thể bị chiếm quyền điều khiển.

Hiện các domain này đều không thể truy cập nên Security Box không thể chứng minh được việc này. Chúng tôi chỉ có một ít thông tin không đầy đủ tìm kiếm trên Internet để dự đoán đây là một trong những khả năng khả thi: Domain này đã từng được sử dụng trước đây vào một số dịch của của ngân hàng, nhưng đến nay không thể truy cập:

Cảnh báo khẩn sau vụ hacker tấn công khách hàng VPBank

Cache của google lưu lại một dịch vụ từng được cung cấp từ domain

Ngoài ra, hacker đã thực hiện kiểm tra URL phishing trên trang web phishing checking khi đã chiếm quyền điều khiển máy chủ:

Cảnh báo khẩn sau vụ hacker tấn công khách hàng VPBank

Hoạt động check url phishing đã được thực hiện từ ngày 1/7/2018

Tuy nhiên, đặt giả thuyết kịch bản xảy ra và giả sử hacker chiếm được quyền điều khiển hệ thống email thì việc Phishing này phải được thực hiện trên email của khách hàng. Nhưng khi Security Box tìm hiểu, có những trường hợp không phải khách hàng của VPBank nhưng vẫn bị gửi email lừa đảo.

“Chúng tôi chỉ đặt ra một số kịch bản và chưa thể kết luận chính thức đâu là kịch bản tấn công thực sự vì không có đầy đủ thông tin. Hy vọng việc này giúp ích cho không chỉ một mà nhiều tổ chức tài chính có nhận thức tốt hơn về việc thiết lập hệ thống an ninh mạng toàn diện để bảo vệ cho người dùng”, đại diện Security Box cho hay.

Sau sự cố tấn công mạng nghiêm trọng này, Security Box cũng khuyến cáo tất cả người dùng (không chỉ riêng khách hàng của VPBank) cần hết sức lưu ý trước những hành vi yêu cầu cung cấp thông tin cá nhân như số thẻ, số tài khoản, mã thẻ, mật khẩu... khi thực hiện các giao dịch trên mạng Internet.

Người dùng phải chắc chắn đang thực hiện giao dịch có mã hoá HTTPS, tại đúng địa chỉ tổ chức tài chính hoặc đúng trang thương mại điện tử uy tín.

Với những trường hợp nghi ngờ, khách hàng nên gọi tổng đài hỗ trợ để xác thực hoặc không sử dụng dịch vụ khi cảm thấy nghi ngờ.

Cảnh báo khẩn sau vụ hacker tấn công khách hàng VPBank

Chỉ sử dụng các website hỗ trợ HTTPS trong các giao dịch trực tuyến.

Đối với các tổ chức tài chính, cho dù sự kiện này có thể không phải là một cuộc tấn công vào hệ thống của ngân hàng nhưng SecurityBox vẫn khuyến cáo các ngân hàng cần tiến hành rà soát chặt chẽ và tăng cường các biện pháp quản trị an ninh thường xuyên, định kì để bảo vệ hệ thống cũng như bảo vệ khách hàng tốt hơn.

Cập nhật tin tức công nghệ mới nhất tại fanpage Công nghệ & Cuộc sống

Nguồn tin:

 

Tham gia bình luận