Thủ đoạn tinh vi trộm tiền trong tài khoản ngân hàng

Mới đây tiến sĩ Nguyễn Trí Hiếu cho biết ông mất hàng trăm triệu đồng trong tài khoản ngân hàng vì tội phạm dùng một điện thoại khác để lấy được OTP.

Trao đổi với Báo Pháp Luật TP.HCM, tiến sĩ Jonathan Crellin, giảng viên cấp cao, Chủ nhiệm Chương trình thạc sĩ an toàn thông tin Đại học RMIT Việt Nam đã giải thích cơ chế đánh cắp theo hình thức này.

Mánh tráo SIM điện thoại

Theo tiến sĩ Jonathan Crellin, mánh tráo SIM điện thoại để cướp quyền quản lý điện thoại của nạn nhân đã trở thành một kỹ thuật rất phổ biến trong những năm gần đây. Kỹ thuật này liên quan đến việc kẻ xấu lừa đảo một công ty mạng di động để phát hành một thẻ SIM điện thoại thay thế, liên kết với cùng một số ban đầu.

Hành vi đó thường được thực hiện với các mục tiêu có địa vị cao như tiến sĩ. Đây là một cuộc tấn công dễ dàng nếu kẻ xấu có được thông tin cá nhân về nạn nhân, có thể đến từ một thị trường web đen. Khi SIM điện thoại mới được cấp lại, SIM điện thoại gốc sẽ ngừng hoạt động.

Một kỹ thuật khác được sử dụng trong quá khứ là sao chép SIM. Ở đây, SIM sao chép được tạo ra có cùng số IMSI (số nhận dạng mạng của SIM), số xác thực (KI) và số điện thoại như SIM gốc.

Kỹ thuật này trở nên khó khăn hơn từ 3G trở đi vì việc khôi phục KI tương đối khó khăn, tuy nhiên nhiều IMSI hay KI có thể được tìm thấy để bán trên các trang web đen.

Vì vậy, nếu tiến sĩ Nguyễn Trí Hiếu không may, IMSI của ông có thể đã được liệt kê trên một trong những thị trường web đen.

Khi ngân hàng nhận ra rằng phiên bản Android của ứng dụng trên một điện thoại Xiaomi, thay vì iPhone với hệ điều hành iOS của Apple mà tiến sĩ Hiếu sử dụng, điều này nghĩa là việc sao chép SIM hoặc đổi SIM điện thoại có thể đã xảy ra.

Tiến sĩ Jonathan Crellin, giảng viên cấp cao, Chủ nhiệm Chương trình thạc sĩ an toàn thông tin Đại học RMIT Việt Nam

Vị chuyên gia Đại Học RMIT cũng cho rằng, tội phạm mạng dùng một điện thoại khác có thể thiết lập xác thực sinh trắc học với ứng dụng ngân hàng, với sinh trắc học của hắn. Từ phía ứng dụng, ứng dụng đang được truy cập bởi đúng người, vì nó phụ thuộc vào hệ thống sinh trắc học của điện thoại để xác nhận danh tính người dùng.

Trong việc sao chép SIM điện thoại, kẻ xấu sẽ cần một số dữ liệu từ SIM điện thoại gốc, sau đó ghi chúng vào một thẻ SIM điện thoại có thể lập trình mới. Sau đó, tội phạm có một chiếc điện thoại với SIM trong đó giả là điện thoại của tiến sĩ Nguyễn Trí Hiếu.

Cả hai điện thoại sẽ hoạt động, nhưng chỉ một cái mỗi lần. Kẻ xấu có thể gửi một tin nhắn từ một điện thoại khác giả danh nhà cung cấp mạng di động yêu cầu tiến sĩ Nguyễn Trí Hiếu tắt điện thoại để cập nhật mạng. Khi điện thoại của ông Hiếu đang tắt, kẻ xấu kết nối với ngân hàng, chuyển tiền và sau đó tắt điện thoại của mình. Tiến sĩ Hiếu thấy điện thoại của mình sẽ kết nối trở lại.

Từ góc độ của ngân hàng, việc ăn cắp có thể xảy ra vì một số lỗi từ phía khách hàng, có thể là rò rỉ quá nhiều thông tin cá nhân. Tội phạm dựa vào sự bất cẩn, tin tưởng và ngây thơ của con người.

Nhiều thủ đoạn khác

Tiến sĩ Jonathan Crellin cho biết, phương pháp xác thực từ thiết bị thứ hai (khi mã xác thực được gửi đến thiết bị thứ hai) an toàn hơn, nhưng không thể đảm bảo tuyệt đối.

Ví dụ, kẻ xấu có thể tạo ra bản mô phỏng của hệ thống đăng nhập ngân hàng, và mô phỏng yêu cầu một mã OTP qua tin nhắn văn bản, hoặc bằng cách sử dụng một ứng dụng ngân hàng.

Khi khách hàng nhập OTP vào bản mô phỏng, tội phạm mạng sau đó có thể sử dụng nó để đăng nhập vào tài khoản ngân hàng thực sự, sau đó kiểm soát tài khoản ngân hàng và những thứ liên quan để làm theo ý chúng.

Kẻ xấu có thể mô phỏng một loại sự cố hệ thống nào đó như “trang web không khả dụng, vui lòng đăng nhập sau”, để khách hàng không thấy khả nghi ngay lập tức.

Đây là một trong những lý do tại sao ngân hàng thường thông báo “... không bao giờ nhấp vào đường dẫn được gửi cho bạn (ví dụ: qua email) ...” vì điều này có thể chứa một URL rất giống trỏ đến một trang web ngân hàng mô phỏng nhằm mục đích giả mạo.

Cách phòng ngừa mất tiền trong tài khoản ngân hàng

Từ góc độ người dùng, hãy luôn sử dụng một liên kết hoặc địa chỉ web hợp lệ cho ngân hàng của bạn. Nếu bạn dùng một ứng dụng ngân hàng, hãy tải nó xuống từ một nguồn chính thống, như Google Play hoặc App Store.

Nếu điện thoại của bạn bị xâm nhập bởi phần mềm độc hại, nó cũng có thể giúp kẻ xấu tiếp cận điện thoại và sử dụng ứng dụng, xem tin nhắn văn bản nhận được, điều khiển điện thoại từ xa, chạy ứng dụng và trích xuất thông tin.

“Bài học ở đây là coi điện thoại và SIM điện thoại của bạn có giá trị tương đương với tất cả số tiền trong tài khoản ngân hàng của bạn.

Để khiến mọi thứ an toàn hơn, bạn có thể sử dụng điện thoại có hai SIM và chỉ sử dụng một SIM điện thoại cho các giao dịch tài chính, và một SIM điện thoại khác cho các hoạt động ít quan trọng hơn.

Hãy cẩn thận khi không chia sẻ số điện thoại bảo mật và thông tin cá nhân chi tiết mà bạn sử dụng cho các giao dịch tài chính ở bất cứ đâu ngoại trừ ngân hàng. Hãy rất thận trọng khi tải ứng dụng từ các nguồn chính thống, có thể cân nhắc sử dụng một chiếc điện thoại bổ sung với một SIM riêng nếu bạn thực sự muốn dùng các ứng dụng có nguy cơ hơn” - tiến sĩ Jonathan Crellin cho biết.

Theo vị chuyên gia Đại học RMIT, xác thực là một trong những thách thức khi sử dụng Internet cho bất kỳ mục đích nào và là một vấn đề cụ thể với các giao dịch tài chính. Trong những năm qua, chúng ta đã thấy nhiều tiến bộ trong việc xác thực và nhiều tiến bộ trong các hoạt động phòng chống tội phạm.

Tuy nhiên, tội phạm sẽ không bao giờ biến mất. Mỗi ổ khóa chúng ta tạo ra, hoặc hệ thống mà chúng ta phát triển sẽ có một số điểm yếu, đặc biệt nếu người dùng không cẩn trọng.

Động lực ăn cắp tiền mạnh mẽ đến mức sẽ luôn có những người tìm cách dạo chơi và đột nhập vào các hệ thống. Thế giới số mang lại nhiều lợi ích và sự thuận tiện, chỉ cần cẩn thận và nhận thức về những gì bạn chia sẻ và sự an toàn của thiết bị mà bạn dùng.

PHƯƠNG MINH