Phân tích về việc tài khoản Vietcombank bị hack 500 triệu

Bài viết lấy từ FB

Thiệt tình vụ một chị bị Hack mất 500 triệu từ tài khoản Vietcombank có vài chỗ khá thú vị :v

Theo như chị Hương (nạn nhân) thì chị ấy dùng SMS Token. Chị ấy nói là không nhận được SMS báo OTP Token. Vậy mà tiền vẫn chuyển :v vậy thì có vài kịch bản sau.

+ Kịch bản 1:
Chị Hương không mất username / password mà VCB bị hack :v chuyển khoản hẳn trong hệ thống, nên trường hợp này chả thể nào có OTP token gì được gửi tới khách hàng.
Kịch bản này chắc chờ điều tra chớ VCB chối là cái chắc dù có bị :v

Cứ cho là chị Hương bị mất user / password VCB là thật đi.
+ Kịch bản 2:
Chị Hương vẫn bị mất tiền nếu hacker login vô web VCB xong kích hoạt tính năng VCB-Mobile B@nking. Cái app mobile này của VCB chuyển khoản không cần OTP :v . Thế nhưng có 1 điểm là lần đầu kích hoạt app này cần 1 mã được gửi từ VCB qua SMS tới số dt đăng ký dịch vụ ( thay được trên web luôn ). Chỗ này có điểm là làm sao để mất cái SMS đó :vvấn đề là làm sao mất được thì mình nói ở dưới

Kịch bản 3:
Chị Hương bị mất tiền do hacker chuyển thằng từ web VCB. Lúc này thì 1 là chị ấy dùng OTP Token qua SMS thì hacker sẽ phải lấy được cái OTP Token được gửi qua SMS. Chỗ này có điểm là làm sao để mất cái SMS đó :v vấn đề là mất được nói ở dưới :v
Trường hợp khác là chị ấy chuyển qua dùng SmartOTP tức là qua app trên điện thoại ( mà theo như chị ấy nói thì chị ấy vẫn dùng SMS OTP ), nếu mà SmartOTP thì có thể OTP đã bị disable bởi VCB trong 1 sự cố gì đó ngày 5/8 (http://genk.vn/khach-hang-vietcombank-bat-ngo-bi-dung-dich-…)
Thế nhưng dùng SmartOTP và SmartOTP không bị ngưng như bài báo trên thì nạn nhân vẫn chết vì cái SmartOTP này là app, mà lần đầu kích hoạt cũng qua 1 tin nhắn SMS. Và SMS thì vẫn có thể bị mất :v

SMS bị mất như thế nào ? Sự thực là SMS không hề an toàn, ở nước ngoài người ta khai tử SMS OTP token lâu rồi vì sự thiếu an toàn của nó, nó lỗi từ giao thức cơ :v . Có mấy cách mà hacker thường dùng để lấy cắp 1 SMS

1. Nạn nhân dùng smartphone nên bị dính trojan (hay RAT) trên smartphone. Máy iOS mà jailbreak là 100% cài được, Máy android thì thoy khỏi nói :v thích là cài :v . Mấy con Banking Trojan ở nước ngoài như Zeus … làm trò này được mấy năm rồi, kiếm mấy trăm triệu đô oy.

2. Hacker tấn công qua lỗi giao thức SS7 của hệ thống SMS. Nếu điều này xảy ra thì đây là lỗi của nhà mạng Telco (Viettel, Mobi, Vina…), lỗi này được công bố năm ngoái giúp hacker có thể chuyển hướng SMS bất kỳ của bất kỳ ai :v cách hack được public đầy trên mạng, vd:https://www.youtube.com/watch?v=2c_leumdi7o tool cũng đầy. Hiện không có thống kê chính thức, nhưng có anh em pentester cho mình biết là VN bị 😉

3. Hacker clone SIM của nạn nhân :v vụ này nghe ảo mà thực ra có

3a. Dễ nhất là tiếp cận nạn nhân 1 lúc nào đó lấy cái sim ra cắm vô 1 thiết bị đọc sim rồi clone ra 1 sim trắng. Hồi xưa iPhone 2G đời đầu được unlock bằng trò này đó :v lấy dữ liêu Sim của VN ghép vô dữ liệu Sim của AT&T để unlock :v

3b. Dùng thiết bị tấn công từ xa để hack thẳng vô giao thức GSM để sniff SMS hay nghe lén điện thoại ngon lành, trò HackRF này nhiều người chơi lắm :v mền cũng từng chơi 😉 https://www.evilsocket.net/…/how-to-build-your-own-rogue-g…/
Hồi cách đây vài năm bọn hacker nga còn bán thiết bị đứng trên tòa nhà cao tầng, scan 1 phát clone được toàn bộ SIM trong bán kính gần cây số. Mền từng được cho coi rồi :v rất đã.
Giao thức GSM lỗi thời rồi và lỗi rất rất nhiều.
Chả phải khi không mà Edward Snowden cảnh báo là nếu muốn nói chuyện an toàn thì nên dùng các công nghệ gọi điện thoại, gửi tin qua nền Internet mà có mã hóa 2 chiều chớ đừng có tin vô mạng GSM :v

3c. Cướp Sim bằng cách Social Engineering trung tâm chăm sóc khách hàng của nhà mạng. He he vụ này dễ lắm :v
Quy trình xác minh khi khách hàng làm lại Sim ở các trung tâm chăm sóc khách hàng khá lỏng lẻo. Họ chỉ yêu cầu CMND và 5 số điện thoại gần nhất mà số dt cần khôi phục liên lạc gần đây :v

Check CMND thì bypass khá dễ nếu chủ Sim mua Sim ngoài tiệm và không đăng kí chính chủ, thường thì nhân viên cskh cũng không care mà chỉ scan lại để lưu và qua bước check thứ hai. Dĩ nhiên bạn hacker nào trẻ trâu quá có thể làm giả mọe CMND thì bypass tất =))) 500 triệu thì dám nó cũng chơi lắm :v

Check 5 số dt thì siêu dễ, chỉ việc đi vòng vòng mượn bạn bè, thậm chí giả khổ ngồi lề đường mượn dt nhá máy, nhắn tin cho số cần lấy. tầm mỗi số dt gọi 2-3 cuộc, nhắn 1-2 tin là đẹp

Xong rồi đó, vại là bạn mất mọe Sim :v Dĩ nhiên với case này thì nạn nhân sẽ phát hiện là Sim của mình bị hủy do tự dưng mất sóng và máy báo lỗi “Unable Register Network”

3d. Hacker thọt nhà mạng hay là kiếm được người cung cấp dịch vụ (có nha) :v thông qua hệ thống quản lý nhà mạng để tạo thêm 1 Sim thứ 2 nhưng cùng 1 số dt :v Vụ này về lý thuyết là work vì mình từng chứng kiến cái Sim của cũ mình sau khi đổi qua Sim 4G để thử nghiệm, thì mất 5 tiếng sau mới mất sóng :v trước lúc mất sóng thì SMS vô là bị clone làm 2, cuộc gọi vô 2 máy đều rung :v tiếc bữa đó bận với ấp ủ là nhà mạng chắc nó quên mình để mình xài 2 sim 1 số ( đã vãi ) nên mình ko chụp lại vụ đó :vNghe đồn là có vài bạn cung cấp dịch vụ này nữa cơ :v

Kịch bản 4: ông anh hắc cờ Lê Nguyên Khang mới nhắc :v cái trang phishing lừa chị Hương nạn nhân nó yêu cầu chị nhập cả OTP luôn :vnhưng thực ra là nó viết auto bot ở dưới auto login vô VCB web rồi kích hoạt VCB-MobileB@nking (để hack theo kịch bản 2). Lúc này nạn nhân lầm cái mã VCB gửi là Token :v

Kịch bản 5: thằng bạn bán táo gợi ý :v chị ấy đồng bộ SMS vô macbook rồi để macbook ở đâu đó. id và pass thi safari lưu sẵn. lúc đó chuyển bao nhiêu cũng được :))

Để tự bảo vệ ?

Cá nhân mình thì toàn bộ các OTP của ngân hàng mình dùng thiết bị phần cứng sinh OTP Token 🙂 chả dùng SMS :v , còn các dịch vụ mạng như gmail này nọ có dùng OTP cho xác thực 2 lớp thì dùng Google Authentication như bộ sinh OTP chuẩn và an toàn, máy cài app Google Authentication thì cũng không jailbreak gì cập nhật thường xuyên :v cũng như dấu rất kỹ chỉ dùng để sinh OTP :v ( he he vụ này mình hơi bị paranoid )

Mà còn 1 điểm nữa, mền thắc mắc là chuyển khoản trực tuyến mà VCB để hạn mức chuyển khoản trong ngày cao dữ vậy 🙁 mấy bank khác thường là mấy chục triệu, thậm chí ko quá 20 triệu là hạn mức tối đa. ACB mình đang dùng muốn chuyển mấy trăm triệu buộc phải dùng Hardware OTP generator chứ không software hay SMS gì ráo và chúng bắt mua 1 cục OTP token generator hết 500 ngàn :v