Chuyên gia an ninh mạng mổ xẻ việc khách hàng VPBank bị tấn công lừa đảo

Trước việc nhiều khách hàng sử dụng thẻ tín dụng của VPBank nhận được email thông báo yêu cầu cung cấp lại thông tin tài khoản, thẻ, cá nhân nhằm mục đích lừa đảo, ngày 22/7, ngân hàng này đã gửi thông báo khuyến cáo các khách hàng của mình.

Các đối tượng lừa đảo gửi email cho các khách hàng của VPBbank dưới dạng thông báo của VPBank cho biết đã nhận được một báo cáo an ninh công nghệ địa phương và thấy rằng nhiều thẻ tín dụng đã bị đánh cắp bởi người lạ. Đồng thời, yêu cầu khách hàng có thẻ tín dụng sử dụng dịch vụ "SYSTEM ENCRYPTED SSL 256-bit" để bảo vệ thông tin cá nhân tốt hơn. Email còn hướng dẫn cụ thể đường link để sử dụng dịch vụ nói trên.

Quy trình tin tặc tấn công lừa đảo người dùng được thực hiện qua 03 bước như sau:

3 bước người dùng bị tấn công lừa đảo.

Thông tin khách hàng nhận cảnh báo bảo mật thực chất là hành vi lừa đảo chiếm đoạt thông tin thẻ tín dụng

Ngoài ra, tin tặc có sự chuẩn bị nội dung khi email cảnh báo này có nội nội dung liên quan tới một thông báo của VPBank tới khách hàng về việc tăng cường bảo mật thông tin thẻ thanh toán VPBank vào cuối tháng 06/2018.

Khách hàng VPBank nhận được thông báo tăng cường bảo mật thông tin thẻ thanh toán VPBank vào cuối tháng 06 năm 2018.

Hiện chưa thể kết luận đây là cuộc tấn công lừa đảo đơn thuần hay ngân hàng bị tấn công. Ngay sau khi sự việc diễn ra, các chuyên gia an ninh của Công ty An ninh mạng (SecurityBox) đã thực hiện việc phân tích sự kiện an ninh mạng này.

Với những thông tin thu thập độc lập từ Internet, SecurityBox chia sẻ một số kịch bản có thể đã xảy ra đằng sau vụ tấn công có chuẩn bị tinh vi này:

Kịch bản 1: Hacker tấn công Man-in-the-middle

Trong kịch bản này, Hacker thực hiện tấn công đứng giữa ngay trong mạng nội bộ của người dùng.

Kịch bản tấn công sử dụng Man-in-the-middle

Cụ thể các bước tấn công như sau:

Bước 1: Hacker có thể đã sở hữu mạng lưới Botnet và mã độc APT ở nhiều nơi.

Bước 2: Hacker thực hiện gửi số lượng lớn email phishing đến người khách hàng của VPBank, trong đó có khách hàng đang trong mạng nội bộ.

Bước 3: Khi người dùng mở email và click và đường link, domain email-dbs1.vpbank.com.vn bị mã độc trong mạng nội bộ giả mạo.

Bước 4: Thay vì người dùng truy cập địa chỉ máy chủ email-dbs1.vpbank.com.vn thật, Hacker chuyển hướng toàn bộ yêu cầu của người dùng đến máy chủ email-dbs1.vpbank.com.vn giả mạo.

Bước 5: Toàn bộ thông tin thẻ tín dụng của người dùng được chuyển đến máy chủ do Hacker kiểm soát.

Tuy nhiên, đây là kịch bản khó xảy ra. Nếu người dùng sử dụng 3G thì sẽ không bị lừa đảo và trong trường hợp này Hacker cũng có thể tấn công không chỉ một ngân hàng mà việc này chưa được ghi nhận.

Kịch bản 2: Hacker chiếm quyền điều khiển domain

Đây là trường hợp Hacker chiếm quyền điều khiển tài khoản quản trị domain. Nếu trường này xảy ra, Hacker hoàn toàn có thể dễ dàng thực hiện kịch bản tấn công ở trên.

Tuy nhiên, nếu trường hợp này xảy ra, không chỉ có subdomain email-dbs1.vpbank.com.vn bị ảnh hưởng mà Hacker hoàn toàn có thể tận dụng cả domain chính để thực hiện phá hoại.

Kịch bản 3: Hacker tấn công, chiếm quyền điều khiển DNS Server

Trong trường hợp Hacker tấn công, chiếm quyền điều khiển của DNS server, Hacker hoàn toàn có thể thay đổi các bản ghi DNS để trỏ các máy chủ website email-dbs1.vpbank.com.vn về địa chỉ máy chủ giả mạo do Hacker kiểm soát trước khi gửi mail hàng loạt.

Tuy nhiên, nếu kịch bản tấn công này xảy ra, không chỉ có tên miền vpbank.com.vn bị ảnh hưởng mà rất nhiều tên miền khác của những doanh nghiệp khác cũng sẽ bị ảnh hưởng.

Kịch bản 4: Một phần máy chủ của VPBank bị tấn công chiếm quyền điều khiển

Một giả định khác có thể xảy ra là máy chủ, mà các domain ebank.vpbank.com.vn và email-dbs1.vpbank.com.vn trỏ đến, có thể bị chiếm quyền điều khiển. Hiện các domain này đều không thể truy cập nên chúng tôi không thể chứng minh được việc này. Chúng tôi chỉ có một ít thông tin không đầy đủ tìm kiếm trên Internet để dự đoán đây là một trong những khả năng khả thi:

Domain này đã từng được sử dụng trước đây vào một số dịch của của ngân hàng, nhưng đến nay không thể truy cập:

Cache của google lưu lại một dịch vụ từng được cung cấp từ domain.

Ngoài ra, Hacker đã thực hiện kiểm tra URL phishing trên trang web phishing checking khi đã chiếm quyền điều khiển máy chủ:

Hoạt động check url phishing đã được thực hiện từ 01/07/2018

Tuy nhiên, đặt giả thuyết kịch bản xảy ra và giả sử Hacker chiếm được quyền điều khiển hệ thống email thì việc Phishing này phải được thực hiện trên email của khách hàng. Nhưng khi các chuyên gia an ninh mạng của SecurityBox tìm hiểu, có những trường hợp không phải khách hàng của VPBank những vẫn bị gửi email lừa đảo.

SecurityBox chỉ đặt ra một số các kịch bản, và không thể kết luận chính thức đâu là kịch bản tấn công thực sự vì không có đầy đủ thông tin. SecurityBox cũng đưa ra một số khuyến cáo cho người dùng:

Đối với tất cả người dùng (không chỉ riêng khách hàng của VPBank), cần hết sức lưu ý trước những hành vi yêu cầu cung cấp thông tin cá nhân như số thẻ, số tài khoản, mã thẻ, mật khẩu... khi thực hiện các giao dịch trên mạng Internet.

Người dùng phải chắc chắn đang thực hiện giao dịch có mã hoá HTTPS, tại đúng địa chỉ tổ chức tài chính hoặc đúng trang thương mại điện tử uy tín.

Với những trường hợp nghi ngờ, khách hàng nên gọi tổng đài hỗ trợ để xác thực hoặc không sử dụng dịch vụ khi cảm thấy nghi ngờ.

Đối với các tổ chức tài chính, cho dù sự kiện này có thể không phải là một cuộc tấn công vào hệ thống của ngân hàng. Nhưng, SecurityBox vẫn khuyến cáo các ngân hàng cần tiến hành rà soát chặt chẽ và tăng cường các biện pháp quản trị an ninh thường xuyên, định kì để bảo vệ hệ thống cũng như bảo vệ khách hàng tốt hơn.

Cũng trong ngày 22/7, trên trang chủ của ngân hàng, VPBank đã khuyến cáo các khách hàng về tình trạng lừa đảo nói trên.

Ngân Giang