Tôi bị mất tiền rồi, ngân hàng đền tiền tôi đi!

Đừng để mất bò mới lo làm chuồng! Nếu không muốn "ngủ dậy mất 500 triệu" như nhiều trường hợp báo đài đã đưa tin, anh chị em hãy chủ động bảo vệ tiền của mình đúng cách. Vậy thì, trước hết hãy hiểu các hacker "siêu thực" đang làm gì với tài khoản ngân hàng của bạn nhé!

Chắc hẳn, trong những năm gần đây, những mẩu chuyện dưới đây đã trở nên "lạ mà quen" với tất cả mọi người, nhất là những người có tài khoản ngân hàng:

Đó là những ví dụ thực tế về việc rất nhiều người dùng bị mất tiền trong tài khoản ngân hàng của mình bằng một cách "thần kỳ" nào đó đến nỗi ngân hàng cũng khó lòng giải quyết. Cho dù được đưa tin và cảnh báo rộng rãi trên nhiều phương tiện truyền thông, những trường hợp này vẫn diễn ra thường xuyên, có đợt còn liên tục.

Vậy nguyên nhân của những vụ việc này đến từ đâu? Phải chăng việc chiếm đoạn tiền từ ngân hàng là rất dễ dàng do hệ thống bảo mật của ngân hàng còn yếu? Hay do hacker quá giỏi, có thể làm được những điều "phi thường" như vậy? Hay chỉ đơn giản đến từ chính những chủ nhân của các tài khoản ngân hàng này? 

Để có được câu trả lời thỏa đáng, mới các bạn theo dõi bài viết dưới đây.

Các yếu tố kỹ thuật có phải nguyên nhân chính?

Là một Sunner, chúng ta hãy tiếp cận từ chính cái gốc của một "tài khoản ngân hàng" như:

Hệ thống công nghệ thông tin ngân hàng

Các ngân hàng ngày này đều có hệ thống Công nghệ thông tin (CNTT) được đầu tư khá lớn về cả nhân lực vận hành cũng như chi phí để có thể đảm bảo an toàn cho hệ thống của chính họ. Bởi thế, chẳng dễ dàng gì để có thể "đột nhập" hệ thống ngân hàng giống như trên các bộ phim ta thường xem. 

Tôi đã từng làm việc ở ngân hàng T - một ngân hàng lớn ở Việt Nam nên tôi hiểu được rằng: để có thể tấn công được vào hệ thống CNTT của họ cũng không đơn giản chút nào. Ở đó họ có hệ thống giám sát liên tục 24/24 (được gọi là SOC), hệ thống máy chủ cũng như mạng được bảo vệ nhiều lớp, hệ thống sử dụng rất nhiều những sản phẩm giúp bảo vệ an toàn cho hệ thống của họ. Chưa kể đến nhân sự về an toàn bảo mật của họ cũng là những người có kỹ thuật chuyên môn và kinh nghiệm lâu năm trong ngành bảo mật. Vì vậy, việc hệ thống ngân hàng bị hacker tấn công chiếm đoạt tiền của khách hàng là khá khó, dĩ nhiên, không có gì là tuyệt đối. 

Chưa kể đến, nếu bạn có đủ giỏi để làm được việc đó thì tôi tin các ngân hàng cũng có thể đủ năng lực để lần tìm ra bạn là ai, hay chậm chí là tìm đến tận nhà để đòi tiền hay bắt bạn phải chịu trách nhiệm với hành vi của mình.

Nhưng cũng không phải những ngân hàng lớn này đã an toàn tuyệt đối, thi thoảng đâu đó chúng ta vẫn nghe những thông tin về việc ngân hàng X, ngân hàng Y bị lộ dữ liệu người dùng. Ví dụ như vụ việc đình đám:

Trong năm 2019, trên diễn đàn hacker nổi tiếng Raidforum, một tài khoản đã đăng tải bài viết khẳng định đang nắm giữ thông tin của 2 triệu khách hàng tại một ngân hàng T***. Xem thêm tại đây. Những thông tin này là thông tin của khách hàng cần được bảo vệ, và thực sự đã có vấn đề ở đây. Nhưng nó cũng chưa thể khiến chúng ta mất tiền ngay được.

Khi thực hiện các giao dịch

Tiếp đến chúng ta xem khi thực hiện các giao dịch chúng ta cần những gì? 

Thứ nhất, tài khoản đăng nhập vào các ngân hàng để dùng các dịch vụ internet banking, mobile banking,... là do ngân hàng cấp và đương nhiên là chỉ chủ tài khoản ngân hàng đó biết. Một số ngân hàng còn yêu cầu mật khẩu của khách hàng phải đủ mạnh và thực hiện đổi định kỳ, không chia sẻ với người khác.

Thứ hai, khi thực hiện các thao tác hay giao dịch, chúng ta cần thêm 1 yếu tố là xác thực 2 bước 2FA, thường sẽ là mã gửi về điện thoại di động (ĐTDĐ) của khách hàng tới số ĐTDĐ mà bạn đăng ký trước đó với ngân hàng dưới hình thức SMS hoặc soft-token (Mã sẽ được tạo ra trong ứng dụng và gửi về trên ứng dụng trên điện thoại). Các đoạn mã này có độ dài 6-8 ký tự, được tạo ra ngẫu nhiên và chỉ có hiệu lực trong một khoảng thời gian ngắn (1-3 phút). Và chỉ khi nhập đúng mã này thì giao dịch của các bạn mới có thể thực hiện thành công.

Trong khi đó, tài khoản chỉ mình tôi biết, điện thoại tôi cầm trong tay, vậy ai có thể lấy được tiền của tôi chứ? Chính xác, điều đó hoàn toàn đúng. Nhưng nó chỉ đúng khi bạn không tiết lộ nó cho ai, và không ai xem được nó. Như vậy, có thể khẳng định một điều rằng: Các yếu tố kỹ thuật trong bảo mật thông tin của một tài khoản ngân hàng không hề "đểu" như ta vẫn nghĩ.

Vậy tại sao tài khoản của khách hàng vẫn vị mất tiền?

Đó chính là Social engineering - tấn công kỹ thuật!

Câu trả lời là đây, hacker sử dụng kỹ thuật social engineering để thực hiện các cuộc tấn công đánh cắp tiền của khách hàng. 

Social Engineering (hay tấn công phi kỹ thuật) là gì? 

Social Engineering là thuật ngữ phổ biến trong lĩnh vực bảo mật thông tin, mô tả kiểu tấn công sử dụng các hình thức thao túng hành vi của con người thay vì tập trung khai thác các lỗ hổng bảo mật của máy móc, thiết bị. Qua đó, kẻ tấn công có thể đạt được các mục đích của mình như xâm nhập vào hệ thống, truy cập thông tin quan trọng,… mà không cần phải thực hiện những kỹ thuật tấn công quá phức tạp.
(Nguồn ảnh: CafeF)

Phân tích quá trình tấn công

Có rất nhiều kịch bản tấn công khác nhau, nhưng phổ biến nhất vẫn là: lợi dụng lòng tham của các nạn nhân, hacker sẽ thực hiện lừa đảo người dùng trúng các phần thưởng có giá trị lớn và yêu cầu người dùng xác nhận bằng tài khoản ngân hàng, từ đó chiếm đoạt tài khoản và lấy cắp tiền. Hoặc, hacker giả danh thành các đơn vị như công an, cảnh sát, nhân viên ngân hàng để lừa đảo người dùng cung cấp thông tin tài khoản ngân hàng.

Dưới đây là một ví dụ minh họa:

Bước 1: Dụ người dùng truy cập vào website lừa đảo

Lợi dụng lòng tham của nạn nhân, hacker gửi đến khách hàng một đoạn tin nhắn hoặc email với nội dung:

Chúc mừng bạn X, bạn là một trong 100 người may mắn nhất trong chương trình "Tri ân khách hàng" của nhãn hàng Y. Phần quà của bạn là phần thưởng tiền mặt trị giá 500 triệu đồng. Để nhận thưởng, mời bạn truy cập vào link: http://nhanthuongtrian-vietcombank.com.vn để xác nhận tài khoản trả thưởng.

Đây là website được hacker tạo ra trước đó với giao diện giống hệt của VCB nhưng tên miền thì không phải của VCB. Hacker có thể sử dụng các công cụ để tạo ra một website y hệt với giao diện giống website thật như: SEtoolkit trong Kali Linux (tham khảo thêm tại đây). Dĩ nhiên được trúng thưởng ai mà chẳng mừng, nạn nhân sẽ click ngay vào trang website đó. Khi mở website ra, một website với giao diện y hệ của ngân hàng vietcombank được mở ra. Và không nghi ngờ gì, người dùng sẽ nhập tài khoản và mật khẩu để đăng nhập. Vậy là hacker có thể chiếm đoạt tài khoản nhờ bước này.

Bước 2: Lấy mã OTP thực hiện giao dịch

Ngay sau khi người dùng nhập vào tài khoản ngân hàng user/password của website giả mạo, người dùng sẽ thấy một pop-up hiện ra yêu cầu nhập vào đó mã OTP. 

Thực chất là sau khi chiếm được tài khoản, hacker cũng thực hiện ngay lập tức một giao dịch chuyển tiền vào tài khoản ngân hàng của hacker, và mã OTP thật được gửi về điện thoại của khách hàng cùng lúc, rất khớp về mặt thời gian. 

Khách hàng nhập mã OTP nhận được này vào ô popup của website giả mạo. Và hacker sẽ nhận được đoạn mã này, nhập ngay vào yêu cầu mã OTP của ngân hàng thật mà hắn đang cần. Vậy là hacker đã hoàn tất giao dịch. 

Vậy là chả cần có được điện thoại của nạn nhân, hacker vẫn có được mã OTP một cách đơn giản!
Hoặc một kịch bản khác ở đây, hacker sẽ lấy điện thoại (dĩ nhiên không phải số điện thoại của ngân hàng) để gọi cho nạn nhân và lừa nạn nhân cung cấp mã OTP để hoàn tất giao dịch. (Nguồn ảnh: CafeF)

Bước 3: Mất tiền

Đến đây thì bạn nhận được một thông báo rẳng tài khoản của ngân hàng của bạn đã bị trừ một số tiền và dĩ nhiên cũng chả có 500 triệu nào được chuyển về tài khoản hết. Tiền chính thức không cánh mà bay. Hacker thì sung sướng vì lừa bạn quá dễ dàng, còn bạn thì ắt hẳn sẽ hoang mang tột độ, và bắt đầu tìm cách cầu cứu ngân hàng.

Tiền mất rồi, trách nhiệm thuộc về ai?

Đến đây, việc làm của khách hàng đầu tiên sẽ là kêu với ngân hàng. Người nào hiểu biết kỹ thuật và quan tâm tin tức một chút thì sẽ hiểu và nhanh chóng thông báo tới ngân hàng để khóa tài khoản cũng như nhờ ngân hàng hỗ trợ để tìm ra kẻ lừa đảo. Người nào suy nghĩ "quá nhạy bén" sẽ kêu trời rằng: ngân hàng bị hack rồi, tôi không làm gì mà tài khoản của tôi bị mất tiền.

(Nguồn ảnh: CafeF)

Vậy ngân hàng có phải chịu trách nhiệm ở đây không? Câu trả lời là không các bạn nhé. 

Trách nhiệm của ngân hàng là họ đã thực hiện việc cảnh báo tới khách hàng liên tục qua nhiều kênh thông tin khác nhau để tránh các gian lận lừa đảo. Và dĩ nhiên việc bị lừa là do nhận thức của khách hàng chưa đủ hoặc khách hàng đã phớt lờ những cảnh báo. Ngân hàng ở đây chỉ có thể hỗ trợ bạn để tìm ra kẻ chủ mưu lừa đảo thông qua việc phối hợp với cơ quan chức năng. Tuy nhiên, đây là khi bạn mất một khoản tiền lớn. Còn nếu với một số tiền quá nhỏ, thì đến 96,69 % là bạn sẽ không thế lấy lại được tiền của mình. Đương nhiên, bạn cũng chẳng thể kiện ngân hàng việc này, vì ngân hàng không hề làm sai điều gì cả.

Rất may là nhiều ngân hàng sẽ hạn chế được việc mất số tiền quá lớn bằng cách nếu bạn thực hiện giao dịch với một số tiền quá lớn, giao dịch sẽ không thực hiện ngay mà sẽ có xác nhận từ phía ngân hàng cho giao dịch này. Nếu là giao dịch của chính bạn, nó sẽ được thực hiện. Còn nếu là do bạn nhầm hoặc bị lừa đảo, thì ngay lập tức số tiền đó sẽ được phong tỏa và bạn sẽ không mất số tiền đó.

Vậy trong trường hợp nào thì tôi được ngân hàng đền bù? Đương nhiên nếu thực tế hệ thống CNTT ngân hàng có lỗ hổng bảo mật hoặc bị tấn công dẫn đến khách hàng bị mất tiền thì họ sẽ có trách nhiệm giải quyết và đền bù thiệt hại cho khách hàng.

Tóm lại, trong trường hợp bị lừa đảo như trên, ngân hàng sẽ không có trách nhiệm phải trả lại tiền bạn, vì lỗi không phải do họ, họ chỉ có trách nhiệm giúp bạn tìm ra thủ phạm và hỗ trợ bạn các vấn đề liên quan. Còn dĩ nhiên, nếu bạn may mắn, bạn sẽ tìm ra được thủ phạm hoặc biết đâu ngân hàng vẫn giúp bạn lấy lại số tiền đã mất, dù khả năng tìm thấy rất hiếm hoi nhưng cũng không phải không có ngoại lệ.

(Nguồn ảnh: CafeF)

Vậy chúng ta cần làm gì để bảo vệ chính mình?

  1. Ngưng tham lam: Đừng vì lòng tham mà tin vào mấy cái thông báo trúng thưởng trên mạng, nó không dễ dàng như chúng ta tưởng. Vì nếu có trúng thưởng thật cũng cần vô vàn các bước, thủ tục giấy tờ, xác nhận các kiểu thì bạn mới còn nhận được phần thưởng đó.
  2. Nâng cao cảnh giác: Hãy luôn nghi ngờ với các trang website có giao diện giống với ngân hàng (Kiểm tra thật kỹ URL website có đúng là địa chỉ website chính xác của ngân hàng hay không).
  3. Không cung cấp thông tin: Tuyệt đối không cung cấp tài khoản, mật khẩu, OTP cho bất kỳ ai kể cả đó là nhân viên ngân hàng vì bản thân ngân hàng không bao giờ yêu cầu điều này.
  4. Tăng cường bảo mật: Đặt mật khẩu mạnh, thường xuyên cập nhật mật khẩu tài khoản ngân hàng để tránh việc lộ thông tin tài khoản.
  5. Cập nhật tin tức: Luôn nâng cao ý thức cảnh giác đối với bản thân và người xung quanh, cập nhật tin tức thường xuyên để tránh trở thành nạn nhân các cuộc tấn công.
  6. Luôn nhớ một điều: đồng tiền đi liền khúc ruột, nếu bản thân không có trách nhiệm tự giữ cho mình thì không trông mong vào người khác.

Hy vọng những chia sẻ trên sẽ giúp ví tiền của bạn luôn an toàn trong thời đại công nghệ ngày càng phát triển như hiện nay.

Nguồn: Ngô Văn Thiện, "Tôi bị mất tiền rồi..., ngân hàng đền tiền tôi đi !!!", đăng tải trên https://viblo.asia/ ngày 10/7/2020

Ngo Van Thien

#bảo mật thông tin

#kinh nghiệm hay

#tài khoản ngân hàng

0 Bình luận