Bài tiểu luận năng lực số ứng dụng Học viện Ngân hàng điểm cao Đề tài: Tấn công giả mạo trong lĩnh vực ngân hàng số tại Việt Nam Bài tiểu luận năng lực số ứng dụng Học viện Ngân hàng điểm cao Đề tài: Tấn công giả mạo trong lĩnh vực ngân hàng số tại Việt Nam
Trang 1BÀI TẬP LỚN MÔN NĂNG LỰC SỐ ỨNG DỤNG
Tên đề tài:
TẤN CÔNG GIẢ MẠO TRONG LĨNH VỰC NGÂN HÀNG SỐ TẠI VIỆT NAM
Giảng viên hướng dẫn: Thầy Chu Văn Huy
Nhóm 14:
Hà Nội, tháng 04 năm 2022
Trang 2MỤC LỤC
BẢNG PHÂN CHIA CÔNG VIỆC Error! Bookmark not defined
MỤC LỤC ii
LỜI MỞ ĐẦU 1
1 Mục đích của đề tài 1
2 Nhiệm vụ của đề tài 1
3 Mục tiêu nghiên cứu 1
PHẦN NỘI DUNG 2
CHƯƠNG 1: TỔNG QUAN VỀ TẤN CÔNG GIẢ MẠO TRONG LĨNH VỰC NGÂN HÀNG SỐ 2
1 Tổng quan về tấn công giả mạo 2
2 Tấn công giả mạo trong lĩnh vực ngân số 5
CHƯƠNG 2 THỰC TRẠNG TẤN CÔNG GIẢ MẠO TRONG LĨNH VỰC NGÂN HÀNG SỐ TẠI VIỆT NAM 9
1 Thực trạng tấn công giả mạo trong lĩnh vực ngân hàng số tại Việt Nam 9
2 Ảnh hưởng của tấn công giả mạo trong lĩnh vực ngân hàng số tại Việt Nam 11
3 Thách thức trong quản lý an ninh mạng đối với ngân hàng 12
CHƯƠNG 3: MỘT SỐ ĐỀ XUẤT, GIẢI PHÁP PHÒNG NGỪA TẤN CÔNG GIẢ MẠO TRONG LĨNH VỰC NGÂN HÀNG SỐ 13
1 Giải pháp phòng chống tấn công giả mạo trong ngân hàng số 13
2 Kiến nghị 14
KẾT LUẬN 16
TÀI LIỆU THAM KHẢO 17
Trang 3LỜI MỞ ĐẦU
1 Mục đích của đề tài
Mục đích của bài tập lớn là tìm hiểu về tấn công giả mạo và cụ thể là tấn công giả
mạo trong lĩnh vực ngân hàng số tại Việt Nam hiện nay
2 Nhiệm vụ của đề tài
Sau khi tìm hiểu được tấn công giả mạo là một trong những hình thức của tấn công
mạng và chỉ ra những hình thức tấn công giả mạo nổi trội như: Tấn công giả mạo qua email, tin nhắn, cuộc gọi và giả mạo website
3 Mục tiêu nghiên cứu
Đầu tiên, sẽ nêu tổng quan về tấn công mạng mục đích để chỉ ra được tấn công giả
mạo chính là một hình thức của tấn công mạng Sau đó, sẽ đi tìm hiểu về tấn công mạng và các hình thức của nó Mục đích của nhóm sẽ tập trung vào bốn hình thức chủ yếu của tấn công giả mạo là: Qua Email, qua tin nhắn, qua cuộc gọi và giả mạo website Thứ ba, chúng
em sẽ tìm hiểu tổng quan về ngân hàng số, trả lời được câu hỏi tại sao ngân hàng số luôn là nơi mà các tội phạm mạng ngắm tới và nêu các cách thức mà các hacker thực hiện để tấn công Thứ tư, chỉ ra thực trạng tấn công giả mạo trong lĩnh vực ngân hàng số hiện nay và rút
ra một số hệ lụy Cuối cùng, đề xuất những giải pháp và kiến nghị
Trang 4PHẦN NỘI DUNG CHƯƠNG 1: TỔNG QUAN VỀ TẤN CÔNG GIẢ MẠO TRONG LĨNH VỰC
NGÂN HÀNG SỐ
1 Tổng quan về tấn công giả mạo
1.1 Tấn công mạng là gì? (Đỗ Kiều Trinh)
Tấn công mạng là hình thức tấn công xâm nhập vào một hệ thống máy tính, cơ sở dữ liệu, website hay thiết bị của một một tổ chức, doanh nghiệp, cá nhân nào đó Cụm từ “tấn công mạng” có 2 nghĩa hiểu:
Hiểu theo cách tích cực (positive way): Tấn công mạng (penetration testing) là việc
hacker mũ trắng xâm nhập vào một hệ thống mạng, thiết bị hay website để tìm ra những lỗ hổng bảo mật và các rủi ro tấn công nhằm bảo vệ tổ chức, doanh nghiệp
Hiểu theo cách tiêu cực (negative way): Tấn công mạng (network attack) là việc
hacker mũ đen tấn công vào một hệ thống mạng, thiết bị hay website để thay đổi, phá hoại hoặc tống tiền nạn nhân
Tóm lại, một vụ tấn công có thể được thực hiện nhằm đạt được các mục tiêu khác nhau
1.2 Các hình thức tấn công mạng (Đỗ Kiều Trinh)
Hình thức tấn công mạng bằng phần mềm độc hại (Malware Attack)
Một trong những hình thức tấn công mạng điển hình nhất những năm gần đây là hình
thức tấn công bằng phần mềm độc hại (malware) Các phần mềm độc hại này bao gồm: mã độc tống tiền (ransomeware), phần mềm gián điệp (spyware), virus và worm (phần mềm độc hại có khả năng lây lan với tốc độ chóng mặt) Các tin tặc thường khai thác các lỗ hổng bảo mật để cài đặt malware nhằm xâm nhập và tấn công hệ thống
Hình thức tấn công giả mạo (Phishing Attack)
Tấn công giả mạo (Phishing Attack) là hình thức tấn công trong đó tin tặc giả mạo thành một tổ chức hoặc cá nhân uy tín để lấy lòng tin của người dùng Từ đó, chúng đánh cắp các dữ liệu nhạy cảm như tài khoản ngân hàng, thẻ tín dụng…
Các cuộc tấn công giả mạo thường được thực hiện qua email Cụ thể, người dùng sẽ nhận được email giả mạo một tổ chức/ cá nhân uy tín với thông điệp vô cùng khẩn thiết Thông điệp này yêu cầu người dùng click vào đường link tin tặc tạo ra Nếu click vào, người dùng sẽ được chuyển đến một website giả mạo và được yêu cầu đăng nhập Khi đó, tin tặc sẽ có được thông tin đăng nhập và dữ liệu nhạy cảm khác của người dùng
Trang 5Mục đích của tấn công giả mạo thường là đánh cắp dữ liệu như thông tin thẻ tín dụng, mật khẩu Đôi khi, tấn công phishing là để lừa người dùng cài đặt malware vào thiết bị Lúc này, phishing là một công đoạn trong cuộc tấn công malware
Hình thức tấn công trung gian (Man in the middle attack)
Tấn công trung gian là hình thức tin tặc xen vào giữa phiên giao dịch hay giao tiếp giữa hai đối tượng Khi đã xâm nhập thành công, chúng có thể theo dõi được mọi hành vi của người dùng Tệ hơn, chúng có thể đánh cắp được toàn bộ dữ liệu trong phiên giao dịch
đó Tấn công trung gian dễ xảy ra khi nạn nhân truy cập vào một mạng wifi không an toàn
Hình thức tấn công từ chối dịch vụ (DoS & DDoS)
Một cuộc tấn công từ chối dịch vụ (DoS là viết tắt của từ Denial of Service) hay tấn công từ chối dịch vụ phân tán (DDoS là viết tắt của Distributed Denial of Service) là hình thức tấn công mà tin tặc đánh sập một hệ thống hoặc máy chủ tạm thời bằng cách tạo ra một lượng traffic khổng lồ ở cùng một thời điểm khiến cho hệ thống bị quá tải hoặc sử dụng một mạng lưới các máy tính để tấn công Khi đó, người dùng không thể truy cập vào mạng trong thời gian tin tặc tấn công Hình thức tấn công DDoS chủ yếu nhắm vào các mục tiêu như: website, máy chủ trò chơi, máy chủ DNS… làm chậm, gián đoạn hoặc đánh sập hệ thống
Hình thức tấn công cơ sở dữ liệu (SQL Injection)
SQL Injection là hình thức tấn công trong đó tin tặc chèn một đoạn mã độc hại vào server sử dụng ngôn ngữ SQL để đánh cắp những dữ liệu quan trọng Hậu quả lớn nhất của SQL Injection là làm lộ dữ liệu trong database Thông tin dữ liệu khách hàng sẽ bị lộ toàn bộ dẫn đến sự lo lắng, mất niềm tin của khách hàng đối với cá nhân/doanh nghiệp, từ đó ảnh hưởng nghiêm trọng thậm chí dẫn đến phá sản
Khai thác lỗ hổng Zero Day (Zero Day Attack)
Lỗ hổng Zero Day thực chất là những lỗ hổng bảo mật của phần mềm hoặc phần cứng
mà người dùng chưa phát hiện ra Chúng tồn tại trong nhiều môi trường khác nhau như: Website, Mobile Apps, hệ thống mạng doanh nghiệp, phần mềm – phần cứng máy tính, thiết
bị IoT, Cloud, … Chưa có bản vá chính thức cho các lỗ hổng này Nói cách khác, các vụ tấn công Zero Day xảy ra một cách bất ngờ mà các nhà phát triển phần mềm không thể dự liệu trước Đó là lý do hậu quả của các vụ tấn công Zero Day thường vô cùng nặng nề
Các loại hình tấn công khác:
Ngoài ra, còn rất nhiều hình thức tấn công mạng khác như: Tấn công chuỗi cung ứng, tấn công Email, tấn công vào con người, tấn công nội bộ tổ chức
Trang 61.3 Tấn công giả mạo là gì? (Cao Thị Lan Anh)
Tấn công giả mạo là một hình thức tấn công mạng phổ biến, là hình thức mà các tội
phạm mạng thường hay thực hiện nhất Cụ thể, các nạn nhân thường bị các hacker giả mạo một tổ chức, cá nhân uy tín như cơ quan Nhà nước, ngân hàng, các nhà mạng Mục đích lợi dụng sự nhẹ dạ cả tin, sự thiếu hiểu biết để thực hiện hành vi chiếm đoạt tài sản, chiếm đoạt thông tin, dữ liệu quan trọng của người dùng
1.4 Các hình thức của tấn công giả mạo (Cao Thị Lan Anh)
Hiện nay, các hacker sử dụng các kỹ thuật lừa đảo rất tinh vi để thực hiện các vụ tấn công giả mạo Phương thức tấn công này thường được thực hiện qua email, web, tin nhắn, điện thoại…
Giả mạo email:
Giả mạo mail là một hình thức tấn công email mà trong đó các hacker tấn công thường giả mạo một tổ chức, cá nhân uy tín để thực hiện các kế hoạch lừa đảo trong email người dùng, khiến họ tin tưởng và cung cấp các thông tin tài khoản cá nhân, hoặc click vào các liên kết có chứa mã độc, nhằm xâm nhập vào hệ thống người dùng
Các hacker này có thể sẽ tạo ra những nội dung email gần giống với giao diện email của các tổ chức, cá nhân để lừa đảo người dùng khiến họ tin tưởng rằng đó là email thực sự được gửi từ các tổ chức mà họ đang có giao dịch Kẻ giả mạo sẽ gửi email dưới tư cách của một tổ chức uy tín, nếu như không tinh ý thì người dùng khó có thể nhận ra được và khả năng cao sẽ dễ dàng “sập bẫy” Email giả mạo thường rất giống với email chính chủ, chỉ khác những chi tiết rất nhỏ, khiến cho người dùng dễ bị nhầm lẫn, không đề phòng và trở thành nạn nhân
Giả mạo website
Là webste mà kẻ tấn công tạo ra, giả mạo các trang web mạng xã hội, ngân hàng, giao dịch trực tuyến, ví điện tử…để lừa người dùng chia sẻ các thông tin cá nhân Đây cũng là một phương thức giả mạo phổ biến hiện nay khi người dùng có thể bị lừa bởi những trang web giả mạo Cụ thể để đánh lừa nạn nhân, các trang web lừa đảo sẽ được thiết kế hoàn toàn giống với trang web thật, từ màu sắc, bố cục cho đến nội dung Nếu xem lướt qua, người dùng sẽ khó nhận ra đây là trang web giả mạo Thông thường, trang web giả mạo sẽ có khung điền thông tin để lấy thông tin của người dùng Để kích thích người dùng điền thông tin nhanh chóng, tin tặc sẽ đưa ra các ưu đãi, quà tặng với giá trị hấp dẫn
Hoặc các đối tượng giả mạo bạn bè,người thân, đối tác cung cấp đường link giả mạo, sau khi người dùng truy cập và cung cấp thông tin đối tượng sẽ nắm được toàn bộ thông tin
Trang 7người dùng Hơn nữa, còn sử dụng đường link chỉ khác một ký tự duy nhất khiến người dùng khó phát hiện ra và đánh lừa người dùng
Giả mạo tin nhắn
Tương tự như lừa đảo qua email, nhưng được thực hiện qua tin nhắn văn bản Nhiều người tinh ý có thể nhận ra được email lừa đảo, nhưng lại ít người nghi ngờ về tin nhắn SMS, điều này khiến cho kẻ giả mạo có thể lừa đảo thành công Tinh vi hơn, hiện nay còn có rất nhiều tin nhắn giả mạo được lưu trữ cùng thư mục với các tin nhắn thương hiệu “thật” của ngân hàng, điện lực, thương hiệu uy tín… trên điện thoại di động của người dùng, do đó khách hàng sẽ rất dễ nhầm tưởng đây là thông báo chính thức từ tổ chức đó
Giả mạo cuộc gọi
Đây cũng là một hình thức tấn công giả mạo rất nguy hiểm và được sử dụng rất nhiều
để lừa người dùng Kẻ giả mạo sẽ sử dụng công nghệ cao, điện thoại mạo danh các tổ chức,
cá nhân nhằm chiếm đoạt tài sản Mục tiêu của mánh khóe này là lừa nạn nhân cung cấp thông tin cá nhân quan trọng qua điện thoại Nếu nạn nhân “mắc bẫy”, tin tặc có thể truy cập vào tài khoản tài chính hoặc đánh cắp danh tính của nạn nhân
2 Tấn công giả mạo trong lĩnh vực ngân số
2.1 Tổng quan về ngân hàng số (Đào Huyền Trang)
Ngân hàng số là việc tích hợp số hóa và công nghệ số vào mọi lĩnh vực ngân hàng
truyền thống Hiểu một cách nôm na, ngân hàng số giúp mọi giao dịch của khách hàng với ngân hàng được thuận tiện và nhanh chóng hơn so với ngân hàng truyền thống rất nhiều Nếu như trước đây, ở các ngân hàng truyền thống, khách hàng sẽ phải đến ngân hàng để trực tiếp làm các thủ tục như rút tiền, nộp tiền vào tài khoản, gửi tiết kiệm, vay tiền,…khiến khách hàng tốn rất nhiều thời gian, các thủ tục phức tạp,…thì ngân hàng số ra đời đã khắc phục được mọi nhược điểm đó Ngân hàng số có thể thực hiện hầu hết các giao dịch ngân hàng bằng hình thức trực tuyến thông qua Internet
Từ khi áp dụng chuyển đổi số vào trong hoạt động ngân hàng, đã đem lại những kết quả tích cực đối với khách hàng, ngân hàng và với nền kinh tế Cụ thể, những lợi ích đem lại cho khách hàng như: Tiết kiệm thời gian, chi phí; Thực hiện các giao dịch ngân hàng tại bất
cứ thời gian, địa điểm nào; Thực hiện các giao dịch với độ chính xác cao, nhanh chóng, thuận tiện;…Lợi ích đem lại cho ngân hàng như: Giảm chi phí kinh doanh; Tăng tốc độ giao dịch, năng suất làm việc; Quy trình được tự động hóa, giảm lượng nhân sự tại quầy giao dịch; Giúp ngân hàng mở rộng phạm vi và nâng cao vị thế cạnh tranh;…Từ đó cũng gián tiếp đem lại những lợi ích cho nền kinh tế như: Giảm lượng tiền mặt trong lưu thông; Tạo sự
Trang 8liên thông giữa các đơn vị tài chính; Giúp các cơ quan Nhà nước có được những con số chính xác khi xác định nguồn thuế thu nhập;…
Mặc dù đạt được một số kết quả nhất định, song, phát triển ngân hàng số ở Việt Nam vẫn còn một số trở ngại như: Thói quen sử dụng dịch vụ ngân hàng thông qua các kênh truyền thống của một bộ phận khách hàng còn cao đặc biệt ở các khách hàng lớn tuổi; Hành lang pháp lý chưa đầy đủ; Hạ tầng công nghệ thông tin và hạ tầng an toàn, an ninh thông tin còn hạn chế; Nguồn chi phí đầu tư đổi mới công nghệ và chuyển đổi số là rất tốn kém;…
2.2 Tại sao ngân hàng số là đích ngắm của tấn công giả mạo? (Đào Huyền Trang)
Đầu tiên, phải kể đến hình thức kinh doanh đặc thù của ngân hàng – kinh doanh tiền tệ
Do vậy, ngân hàng luôn là mục tiêu hấp dẫn của các tổ chức hacker từ trước đến nay
Bên cạnh đó, kết hợp giữa hạ tầng công nghệ thông tin, an ninh thông tin còn hạn chế
và nhận thức, hiểu biết của người sử dụng ngân hàng số còn thấp, khả năng xử lý các tình huống công nghệ còn chưa cao và sự nhẹ dạ cả tin đã khiến cho ngân hàng số trở thành không gian mà các tội phạm mạng ngắm tới Nếu như trước đây, ở các ngân hàng truyền thống việc cướp nhà băng của các đối tượng rất khó khăn, hơn nữa khả năng các đối tượng
bị cơ quan chức năng bắt sau khi phạm tội là tuyệt đối thì khi áp dụng việc chuyển đối số, các đối tượng có thể chiếm đoạt một cách dễ dàng hơn và các cơ quan chức năng gặp rất nhiều cản trở, khó khăn khi truy tìm đối tượng
2.3 Cách thức tấn công giả mạo trong lĩnh vực ngân hàng số tại Việt Nam (Đào Huyền Trang)
a Tấn công qua tin nhắn, email
Bước 1: Thu thập thông tin
Đối tượng thu thập thông tin cá nhân của người bị hại Những thông tin này có thể bị lộ lọt do sự bất cẩn của nạn nhân, hoặc thông tin bị giao bán,…
Bước 2: Nạn nhân cung cấp thông tin
Các đối tượng gửi tin nhắn tới số điện thoại/ email của nạn nhân với những nội dung mang tính khẩn cấp như: tài khoản của họ đã đăng nhập trên thiết bị lạ, tài khoản bị khóa, cảnh báo lừa đảo…Hoặc các nội dung khác như: nhận được trúng thưởng, quà tặng,…và gửi một đường link đính kèm theo đó nội dung có yêu cầu nạn nhân click vào đường link đó để xác nhận
VD:…
Trang 9Với sự nhẹ dạ cả tin, nạn nhân nhanh chóng ấn vào đường link mà các đối tượng đã gửi Đường link đó dẫn nạn nhân đến một trang đăng nhập, trong đó yêu cầu nạn nhân nhập username, password Tinh vi hơn, username có thể được các đối tượng nhập sẵn để tăng độ tin cậy, đề phòng trường hợp nạn nhân cố tình nhập sai, các đối tượng đã lập trình để khi nạn nhân nhập lần đầu sẽ bị báo nhập sai mật khẩu (dù các nạn nhân nhập chính xác mật khẩu thì cũng không nghi ngờ nhiều vì họ có thể nghĩ họ đã nhập sai, và quan trọng khi nhập password không cho nạn nhân xem trước mật khẩu) và dễ lấy được sự tin tưởng từ các nạn nhân Khi nạn nhân đăng nhập thành công, sẽ chuyển hướng nạn nhân tới một website khác hoặc hệ thống báo vui lòng đợi trong giây lát
Bước 3: Lấy mã OTP và hoàn tất hành vi lừa đảo
Sau khi có được password của nạn nhân, các đối tượng đăng nhập vào tài khoản ngân hàng của nạn nhân để thực hiện các hành vi lừa đảo của mình Tuy nhiên, ngân hàng sẽ yêu cầu nhập mã OTP để xác nhận các giao dịch Khi đó, điện thoại của nạn nhân sẽ báo về mã OTP cùng lúc đó tại website mà nạn nhân đang thực hiện cũng yêu cầu cung cấp mã OTP, nạn nhân sẽ không cảnh giác cung cấp mã OTP và các đối tượng hoàn tất được hành vi lừa đảo của mình
Tuy nhiên, hoạt động lấy mã OTP phải được diễn ra rất nhanh chóng và khéo léo vì đa phần các mã OTP mà ngân hàng cung cấp thường chỉ có hiệu lực trong vòng 30s
b Giả mạo Website
Bước 1: Tạo trang web giả mạo
Các đối tượng tạo ra một trang web giống trang web chính thống của ngân hàng
Theo đó, trang web giả mạo giống trang web chính thống tới 99% cụ thể thiết kế giao diện bao gồm logo, màu sắc, đăng tải các nội dung, sản phẩm dịch vụ…y hệt như trang web chính thức của ngân hàng Và các trang web này luôn yêu cầu người dùng đăng nhập
Bước 2: Thực hiện hành vi lừa đảo
Các trang web giả mạo được các tối tượng tạo ra chủ yếu để gián tiếp phục vụ hành vi
lừa đảo của mình như đánh cắp lấy thông tin, dữ liệu người dùng và kết hợp gửi đường dẫn trang web giả mạo với một hình thức giả mạo như qua tin nhắn, mail, điện thoại
c Tấn công giả mạo qua cuộc gọi
Bước 1: Thu thập thông tin
Đối tượng thu thập thông tin cá nhân của người bị hại Những thông tin này có thể bị lộ lọt do sự bất cẩn của nạn nhân, hoặc thông tin bị giao bán…
Trang 10Bước 2: Thực hiện hành vi lừa đảo
Các đối tượng dựa vào nguồn dữ liệu thông tin thu thập được, đặc biệt là thông tin cá nhân, số điện thoại, tài khoản ngân hàng Tiến hành thực hiện các cuộc gọi cho nạn nhân để thực hiện hành vi lừa đảo
Nội dung cuộc gọi, các đối tượng thường đóng giả nhân viên ngân hàng để thông báo tới nạn nhân các vấn đề nghiêm trọng, khẩn cấp, trúng thưởng, tri ân Để tăng độ tin cậy, các đối tượng có thể đọc tài khoản của nạn nhân và yêu cầu họ đọc tiếp 6 số còn lại Sau đó, yêu cầu nạn nhân đọc password và trong giây lát sẽ có mã OTP gửi về điện thoại của họ Các đối tượng tiếp tục thực hiện hành vi lừa đảo của mình tương tự như qua hình thức tin nhắn và email
Ngoài các hình thức như trên, các đối tượng có thể khéo léo thực hiện kết hợp các hình thức với nhau Như thông qua cuộc gọi, đối tượng gửi thông tin tới tin nhắn điện thoại hoặc mail của nạn nhân để yêu cầu họ đăng nhập vào hệ thống giả mạo
