Khách hàng của VPBank có thể bị tấn công theo cách nào?

Nghi vấn khách hàng của ngân hàng VPBank bị tấn công lừa đảo nhằm chiếm đoạt thông tin thẻ tín dụng qua hình thức email "mồi" đang khiến người dùng xôn xao, e ngại về độ bảo mật của các ngân hàng tại Việt Nam nói chung cũng như VPBank nói riêng.

Cụ thể, bắt đầu từ chiều 21/7/2018, nhiều người dùng đã nhận được email từ địa chỉebank@ebank.vpbank.com.vn với tiêu đề: Nguy cơ thẻ tín dụng và cách cải thiện hơn nữa tính bảo mật của thẻ tín dụng. Nội dung thư điện tử này như sau:

Như trong ảnh, email này hướng dẫn các khách hàng truy cập vào địa chỉ http://ebank.vpbank.com.vn/security.html để sử dụng hệ thống “SYSTEM ENCRYPTED SSL 256”.

Tuy nhiên, theo các chuyên gia SecurityBox, thực tế là họ sẽ bị dẫn đến website http://email-dbs1.vpbank.com.vn/link.php?M=15732588&N=2562&L=1482&F=H để tin tặc lừa đảo thông tin (hiện nay địa chỉ trên không truy cập được nữa).

Đại diện SecurityBox cho biết, nhận thấy những dấu hiệu lừa đảo từ sự kiện an ninh mạng này, các chuyên gia của công ty đã thực hiện phân tích hoàn toàn độc lập, và không có đầy đủ thông tin để kết luận liệu đây là cuộc tấn công lừa đảo đơn thuần hay ngân hàng bị tấn công. "Chúng tôi chỉ dựa vào các thông tin thu thập trên Internet để dự đoán các khả năng bị tấn công với mong muốn đóng góp ý kiến cho ngân hàng và nâng cao năng lực bảo vệ người sử dụng các dịch vụ tài chính trên Internet", đại diện đơn vị này cho biết.

Theo đó, các chuyên gia đã mô tả quy trình tin tặc (hacker) tấn công lừa đảo người dùng qua 3 bước như sau:

Tiếp đến, là những thao tác mà nếu khách hàng thực hiện thì sẽ cung cấp thông tin thẻ tín dụng cho tin tặc:

Ngoài ra, thông tin còn có vẻ rất đáng tin cậy nhờ nội dung liên quan tới một thông báo của VPBank tới khách hàng về việc tăng cường bảo mật thông tin thẻ thanh toán VPBank vào cuối tháng 06/2018.

Thông báo tăng cường bảo mật thông tin thẻ thanh toán VPBank vào cuối tháng 6/2018

Với những thông tin thu thập độc lập từ Internet, các chuyên gia bảo mật từ SecurityBox cho rằng có thể có 3 kịch bản tấn công đằng sau vụ việc có sự chuẩn bị kỹ càng này.

Kịch bản 1: Hacker tấn công Man-in-the-middle

Trong kịch bản này, Hacker thực hiện tấn công đứng giữa ngay trong mạng nội bộ của người dùng.

Kịch bản tấn công sử dụng Man-in-the-middle

Cụ thể các bước tấn công như sau:
● Bước 1: Giả định Hacker có thể đã sở hữu mạng lưới Botnet và mã độc APT ở nhiều nơi.
● Bước 2: Hacker thực hiện gửi số lượng lớn email phishing đến người khách hàng của VPBank, trong đó có khách hàng đang trong mạng nội bộ.
● Bước 3: Khi người dùng mở email và click và đường link, domain  email-dbs1.vpbank.com.vn bị mã độc trong mạng nội bộ giả mạo.
● Bước 4: Thay vì người dùng truy cập địa chỉ máy chủ email-dbs1.vpbank.com.vn thật, Hacker chuyển hướng toàn bộ yêu cầu của người dùng đến máy chủ email-dbs1.vpbank.com.vn giả mạo.
● Bước 5: Toàn bộ thông tin thẻ tín dụng của người dùng được chuyển đến máy chủ do Hacker kiểm soát.

Tuy nhiên, theo SecurityBox, đây là kịch bản khó xảy ra. Nếu người dùng sử dụng 3G thì sẽ không bị lừa đảo và trong trường hợp này Hacker cũng có thể tấn công không chỉ một ngân hàng mà việc này chưa được ghi nhận.

Kịch bản 2: Hacker chiếm quyền điều khiển domain

Đây là trường hợp Hacker chiếm quyền điều khiển tài khoản quản trị domain. Nếu trường hợp này xảy ra, Hacker hoàn toàn có thể dễ dàng thực hiện kịch bản tấn công ở trên. Và như vậy,  không chỉ có subdomain email-dbs1.vpbank.com.vn (như hình ở Kịch bản 1) bị ảnh hưởng mà Hacker hoàn toàn có thể tận dụng cả domain chính để thực hiện phá hoại.

Kịch bản 3: Hacker tấn công, chiếm quyền điều khiển DNS Server

Trong trường hợp Hacker tấn công, chiếm quyền điều khiển của DNS server, Hacker hoàn toàn có thể thay đổi các bản ghi DNS để trỏ các máy chủ website email-dbs1.vpbank.com.vn về địa chỉ máy chủ giả mạo do Hacker kiểm soát trước khi gửi mail hàng loạt.

Nếu kịch bản tấn công này xảy ra, không chỉ có tên miền vpbank.com.vn bị ảnh hưởng mà rất nhiều tên miền khác của những doanh nghiệp khác cũng sẽ bị ảnh hưởng.

Kịch bản 4: Một phần máy chủ của VPBank bị tấn công chiếm quyền điều khiển

Một giả định khác có thể xảy ra là máy chủ, mà các domain ebank.vpbank.com.vn và email-dbs1.vpbank.com.vn trỏ đến, có thể bị chiếm quyền điều khiển.

Tuy nhiên, hiện các domain này đều không thể truy cập nên các chuyên gia SecurityBox không thể kiểm chứng giả thuyết này. Dựa vào các thông tin thu thập được, họ dự đoán như sau

- Domain này đã từng được sử dụng trước đây vào một số dịch của của ngân hàng, nhưng đến nay không thể truy cập:

Cache của google lưu lại một dịch vụ từng được cung cấp từ domain VPBank

- Ngoài ra, Hacker đã thực hiện kiểm tra URL phishing trên trang web phishing checking khi đã chiếm quyền điều khiển máy chủ:

Hoạt động check url phishing đã được thực hiện từ 1/6/2018

Tuy nhiên, đặt giả thuyết kịch bản xảy ra và giả sử Hacker chiếm được quyền điều khiển hệ thống email thì việc Phishing này phải được thực hiện trên email của khách hàng VPBank. Mà theo tìm hiểu của SecurityBox, có những trường hợp không phải khách hàng của VPBank nhưng cũng vẫn bị gửi email lừa đảo.

"Chúng tôi chỉ đặt ra một số các kịch bản, và không thể kết luận chính thức đâu là kịch bản tấn công thực sự vì không có đầy đủ thông tin. Hy vọng việc này giúp ích cho không chỉ một mà nhiều tổ chức tài chính có nhận thức tốt hơn về việc thiết lập hệ thống an ninh mạng toàn diện để bảo vệ cho người dùng", đại diện SecurityBox cho biết.

Đồng thời, công ty an ninh mạng này cũng khuyến cáo tất cả người dùng chứ không chỉ riêng khách hàng VPBank, cần hết sức lưu ý trước những hành vi yêu cầu cung cấp thông tin cá nhân như số thẻ, số tài khoản, mã thẻ, mật khẩu... khi thực hiện các giao dịch trên mạng Internet. Theo đó, cần phải chắc chắn đang thực hiện giao dịch có mã hoá HTTPS, tại đúng địa chỉ tổ chức tài chính hoặc đúng trang thương mại điện tử uy tín. Với những trường hợp nghi ngờ, khách hàng nên gọi tổng đài hỗ trợ để xác thực hoặc không sử dụng dịch vụ.  Ngoài ra, lưu ý chỉ sử dụng các website hỗ trợ HTTPS trong các giao dịch trực tuyến.

Đối với các tổ chức tài chính, các ngân hàng, SecurityBox cho rằng các đơn vị này cần tiến hành rà soát chặt chẽ và tăng cường các biện pháp quản trị an ninh thường xuyên, định kì để bảo vệ hệ thống cũng như bảo vệ khách hàng tốt hơn.

Nhịp Sống Số sẽ tiếp tục gửi đến bạn đọc các thông tin tiếp theo của vụ việc này!