Ngày 21/7, một số khách hàng của VPBank cho biết đã nhận được e-mail cảnh báo bảo mật từ ngân hàng này, địa chỉ gửi là [email protected]. Bên gửi yêu cầu người dùng truy cập link http://email-dbs1.vpbank.com.vn/link.php?M=… và sẽ được chuyển đến http://ebank.vpbank.com.vn/security.html.
Đường link trong e-mail đưa khách hàng đến một website có tên miền ebank.vpbank.com.vn. |
Tại trang đích (đã không còn hoạt động), khách hàng phải nhập rất nhiều thông tin như số thẻ tín dụng, ngày hết hạn, tên khách hàng và cả mã số bí mật CVV (code card). Ngày 22/7, VPBank đó cho biết thông tin trong e-mail là lừa đảo, giả danh ngân hàng để lấy thông tin thẻ của khách hàng.
“Không tính lỗi chính tả hay câu chữ, e-mail lừa đảo gửi đến khách hàng VPBank cho thấy nó đã được chuẩn bị kỹ lưỡng và nghiên cứu từ trước”, ông Tống Văn Toàn, chuyên gia bảo mật của SecurityBox, nhận xét. “Tin tặc tạo sự chú ý với khách hàng bằng cách đề cập đến việc ‘nhiều thẻ tín dụng đã bị đánh cắp bởi người lạ’, đồng thời nó cũng liên quan đến e-mail khác mà VPBank gửi từ tháng 6/2018 về việc tăng cường bảo mật thông tin thẻ thanh toán”.
Ba bước người dùng bị tấn công lừa đảo. |
Với những thông tin thu thập được, các chuyên gia tại đây đưa ra một số kịch bản có thể xảy ra đằng sau vụ tấn công tinh vi này. Trong đó, giả định khả thi nhất là máy chủ mà các tên miền ebank.vpbank.com.vn và email-dbs1.vpbank.com.vn trỏ đến có thể bị chiếm quyền điều khiển.
Cụ thể, dữ liệu từ Google Cache cho thấy domain này từng được sử dụng trước đây vào một số giao dịch của của ngân hàng, nhưng đến nay không thể truy cập. Ngoài ra, hacker còn tiến hành kiểm tra URL phishing (lừa đảo) trên trang web phishing checking từ 1/6, trong đến 21/7 thì e-mail lừa đảo mới được gửi đi.
Việc kiểm tra URL phishing đã được tiến hành từ 1/6. |
“Kẻ tấn công tỏ ra khá cẩn thận bởi đã tiến hành kiểm tra URL phishing trước khi gửi e-mail tới người dùng”, ông Bùi Quang Minh, một chuyên gia bảo mật khác của SecurityBox, đánh giá. “Sở dĩ hacker làm vậy để đảm bảo rằng người dùng bấm vào link trên thì sẽ không bị chặn hoặc bị cảnh báo phishing từ trình duyệt. Thông tin này đồng thời cho thấy có thể kẻ tấn công đã chiếm được quyền điều khiển từ lâu”.
Các chuyên gia bảo mật còn đưa ra các trường hợp tấn công khác, như tấn công Man-in-the-middle, trong đó hacker đứng giữa ngay trong mạng nội bộ của người dùng, kẻ tấn công có thể chiếm quyền điều khiển domain hay hacker tấn công, chiếm quyền điều khiển của DNS server… Tuy nhiên, các tình huống này được đánh giá ít có nguy cơ xảy ra hơn.
Theo VPBank, một số khách hàng của ngân hàng này đã nhận được e-mail chứa link phishing có tên miền VPBank, tuy nhiên chưa ghi nhận báo cáo nào về ảnh hưởng của người dùng liên quan đến e-mail trên. “Một địa chỉ e-mail dùng cho mục đích tiếp thị mà VPBank đặt tại đối tác bị tấn công, dẫn đến khách hàng nhận được email lừa đảo từ địa chỉ đó. Các hệ thống sử dụng tên miền chính và các tên miền phụ khác không nằm trong mạng của đối tác vẫn hoạt động bình thường”, đại diện ngân hàng cho biết. “VPBank đã phối hợp với đối tác khắc phục lỗi này”.
Các chuyên gia bảo mật khuyến cáo người dùng cần thận trọng khi cung cấp các thông tin nhạy cảm, đặc biệt là liên quan đến thẻ tín dụng, ngân hàng trực tuyến… Xác định chính xác mình thực hiện giao dịch có mã hoá Https, tại đúng địa chỉ tổ chức tài chính hoặc đúng trang thương mại điện tử uy tín – thể hiện bằng phần màu xanh trên trình duyệt. Không đăng nhập hay giao dịch trực tuyến khi thấy có dấu hiệu bất thường.
Từ cuối tháng 7/2018, Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) đã ghi nhận nhiều hình thức tấn công có chủ đích của tin tặc nhắm vào hệ thống thông tin của một số ngân hàng và hạ tầng quan trọng quốc gia. Tin tặc đã tìm hiểu kỹ về đối tượng tấn công và thực hiện các thủ thuật lừa đảo, kết hợp với các biện pháp kỹ thuật cao để qua mặt các hệ thống bảo vệ an toàn thông tin nhằm chiếm quyền điều khiển máy tính của người dùng, thông qua đó tấn công các hệ thống máy tính nội bộ chứa thông tin quan trọng khác.