1 ĐẠI HỌC THƯƠNG MẠI KHOA HTTT KINH TẾ VÀ THƯƠNG MẠI ĐIỆN TỬ BÀI THẢO LUẬN AN TOÀN BẢO MẬT THÔNG TIN Đề tài Trình bày khái niệm, đặc điểm, phân loại và cách phòng chống trong các hệ thống ngân h[.]
Trang 1ĐẠI HỌC THƯƠNG MẠI KHOA HTTT KINH TẾ VÀ THƯƠNG MẠI ĐIỆN TỬ
BÀI THẢO LUẬN
AN TOÀN BẢO MẬT THÔNG TIN
Đề tài: Trình bày khái niệm, đặc điểm, phân loại và cách phòng chống trong các hệ thống ngân hàng trực tuyến (E - banking) và đối với tấn công SQL injection
Hà Nội – 2022
Giáo viên giảng dạy : Trần Thị Nhung
Trang 2DANH SÁCH THÀNH VIÊN NHÓM
Nguyễn Thị Chi – Nhóm trưởng Trình bày khái
niệm, đặc điểm, phân loại và cách phòng chống trong
E – banking
Hoàn thành
Nguyễn Phương Anh Trình bày khái
niệm, đặc điểm, phân loại và cách phòng chống đối với tấn công SQL Injection
Hoàn thành
Trang 3MỤC LỤC
A E – BANKING 4
1 Khái niệm, đặc điểm, phân loại E - banking 4
1.1 Khái niệm: 4
1.2 Đặc điểm: 5
1.3 Ưu điểm và hạn chế của E-banking: 6
1.4 Vai trò của Dịch vụ Ngân hàng điện tử: 8
1.5 Phân loại các dịch vụ của E-banking: 10
2 Cách phòng chống trong các hệ thống ngân hàng trực tuyến (E - banking) 11
2.1 Các mối đe dọa tới E-banking 11
2.2 Một số biện pháp phòng tránh phổ biến 11
3 Liên hệ thực tế 13
Ví dụ 1: Tin nhắn mạo danh các tổ chức tài chính, ngân hàng (TPBank, Sacombank, ACB,… ) 13
Ví dụ 2: Vụ việc VN84App, phần mềm thu thập tin nhắn OTP giao dịch ngân hàng lên đến hàng tỷ đồng, đã lây nhiễm hàng nghìn smartphone tại Việt Nam 17
B SQL INJECTION 24
1 Khái niệm, đặc điểm, phân loại tấn công SQL Injection: 24
1.1 Khái niệm: 24
1.2 Đặc điểm: 26
1.3 Hậu quả của tấn công SQL Injection 26
2 Cách phòng chống đối với tấn công SQL Injection 27
2.1 Các dạng tấn công 27
2.2 Các mối đe dọa chính từ SQL Injection: 28
2.3 Phòng chống tấn công SQL injection: 29
3 Liên hệ thực tế 30
Ví dụ 1: Cuộc khủng hoảng của SONY 30
Ví dụ 2: Yahoo bị tấn công 32
C LIÊN HỆ TẤN CÔNG SQL INJECTION VÀ E – BANKING 34
D TÀI LIỆU THAM KHẢO 36
Trang 4có thể tìm hiểu thông tin hay thực hiện một số giao dịch ngân hàng thông qua phương tiện điện tử (công nghệ thông tin, điện tử, kỹ thuật số, từ tính, truyền dẫn không dây, quang học, điện từ hoặc công nghệ tương tự)
Internet Banking là dịch vụ Ngân hàng điện tử dùng để truy vấn thông tin
tài khoản và thực hiện các giao dịch chuyển khoản, thanh toán qua mạng Internet
Internet Banking cho phép khách hàng thực hiện giao dịch trực tuyến mà không
cần đến Ngân hàng Chỉ cần một chiếc máy vi tính hoặc điện thoại di động có kết
nối Internet và mã truy cập do Ngân hàng cung cấp, khách hàng đã có thể thực
hiện các giao dịch với Ngân hàng mọi lúc mọi nơi một cách an toàn
Dịch vụ ngân hàng điện tử hiểu theo nghĩa trực quan đó là một loại dịch
vụ ngân hàng được khách hàng thực hiện nhưng không phải đến quầy giao dịch
gặp nhân viên ngân hàng Hiểu theo nghĩa rộng hơn đây là sự kết hợp giữa một
số hoạt động dịch vụ ngân hàng truyền thống với công nghệ thông tin và điện tử
viễn thông E-Banking là một dạng của thương mại điện tử ứng dụng trong hoạt
động kinh doanh ngân hàng Cũng có thể hiểu cụ thể hơn, E-Banking là một hệ
thống phần mềm tin học cho phép khách hàng có thể tìm hiểu thông tin hay thực
hiện một số giao dịch ngân hàng thông qua phương tiện điện tử (công nghệ
thông tin, điện tử, kỹ thuật số, từ tính, truyền dẫn không dây, quang học, điện từ
hoặc công nghệ tương tự)
Trang 51.2 Đặc điểm:
a Tính liên tục:
Khách hàng có thể sử dụng dịch vụ trong bất kỳ khoảng thời gian nào trong ngày, thời gian thực hiện giao dịch phụ thuộc vào các điều kiện của giao dịch và cơ chế vận hành của hệ thống
b Tính toàn cầu:
Các kênh phân phối E-Banking đều được tổ chức thành hệ thống mạng, một đầu mạng là thiết bị giao dịch được nối với khách hàng như điện thoại, ATM, máy tính… Các thiết bị này được nối trực tiếp hoặc gián tiếp đến trung tâm của mạng là hệ thống cơ sở dữ liệu và xử lý thông tin của ngân hàng thông qua mạng internet
c Các loại hình dịch vụ E - Banking rất đa dạng và phong phú
Như đã biết, các kênh phân phối truyền thống có danh mục sản phẩm rất đa dạng, nhằm thỏa mãn một cách tốt nhất nhu cầu của khách hàng, đồng thời để phân tán rủi ro
Dịch vụ E- Banking là kênh phân phối song song tồn tại với những kênh phân phối
truyền thống Tùy theo từng giai đoạn phát triển của hoạt động ngân hàng điện tử tại ngân hàng, các sản phẩm dịch vụ được đưa ra ở những mức độ khác nhau, từ dịch vụ giản đơn như xem thông tin tài khoản, lịch sử giao dịch…, đến những sản phẩm ở mức độ cao, đòi hỏi các giải pháp công nghệ hiện đại như thực hiện thanh toán trực tuyến, mở L/C,…Ở giai đoạn phát triển cao nhất, E- Banking, ngân hàng điện tử có thể phân phối đầy đủ các sản phẩm, dịch vụ tương tự như một chi nhánh hay trụ sở ngân hàng Các sản phẩm này cũng hết sức đa dạng và phong phú Bởi việc thiết kế chúng để đưa ra qua các kênh phân phối điện tử là dễ dàng và thỏa mãn được tất cả những nhu cầu riêng biệt của khách hàng
d Đây là hình thức khách hàng tự phục vụ
Đối với kênh phân phối truyền thống, khách hàng nhất thiết phải đến các chi nhánh hoặc trụ sở ngân hàng Tại đây họ sẽ được các nhân viên ngân hàng chỉ dẫn và thực hiện theo yêu cầu của mình như mở tài khoản, thanh toán, chuyển khoản, … Hoạt động ngân hàng điện tử không như vậy Thay vì phải có sự trợ giúp của các giao dịch viên, khách hàng sẽ tự đáp ứng, phục vụ nhu cầu riêng của mình Thông qua việc bấm các phím trên máy ATM, các phím số trên điện thoại…, khách hàng sẽ lựa chọn đúng loại hình dịch vụ phù
Trang 6hợp nhất với yêu cầu của họ Điều này sẽ đem lợi ích cho cả khách hàng và ngân hàng Ngân hàng sẽ không cần tuyển dụng đội ngũ nhân viên đông đảo, đồng thời cũng không phải lo lắng về thái độ phục vụ khách hàng của các nhân viên Còn khách hàng lại có thể tự thỏa mãn nhu cầu của mình bất cứ nơi đâu, bất cứ khi nào họ muốn
e Dịch vụ E- Banking cho phép khách hàng thực hiện yêu cầu một cách chính xác và tức thời
Đối với hoạt động E- Banking, yêu cầu của khách hàng sau khi được truyền về ngân hàng sẽ qua hệ thống server để xử lý: kiểm tra khách hàng về mã số cá nhân, mã tài khoản, các thông tin cần thiết để xác định chính xác có phải là khách hàng của ngân hàng hay không Nếu kết quả trả lại là đúng thì hệ thống sẽ tự động thực hiện lệnh mà khách hàng đưa ra theo đúng hệ thống quy trình đã được lập trình sẵn Tất cả các công đoạn trên chỉ mất một khoảng thời gian ngắn, có thể coi là ngay lập tức, thay vì quá trình xử lý giấy
tờ, in ấn phức tạp và tốn kém về thời gian, chi phí
• Nhanh chóng, tiện lợi: E-Banking giúp bạn có thể liên hệ với ngân hàng để thực
hiện các giao dịch bất cứ thời điểm điểm nào tại bất cứ nơi đâu Việc thực hiện các giao dịch như: đóng tiền điện nước, nạp card, mua sắm, chuyển khoản rất đơn giản và nhanh chóng Điều này vô cùng có ý nghĩa với những khách hàng có ít thời gian để đến các điểm giao dịch trực tiếp với ngân hàng, các khách hàng cá nhân có số lượng giao dịch với ngân hàng không nhiều, số tiền mỗi lần giao dịch
không lớn
• Tiết kiệm chi phí, tăng doanh thu: Dịch vụ ngân hàng điện tử với công nghệ
hiện đại tiết kiệm thời gian và giảm chi phí dịch vụ cho khách hàng Phí giao dịch của E-Banking được đánh giá là ở mức thấp so với giao dịch truyền thống, đặc
Trang 7biệt là giao dịch qua Internet, từ đó góp phần tăng doanh thu cho hoạt động cho ngân hàng
• Mở rộng phạm vi hoạt động, tăng khả năng cạnh tranh: E-Banking là giải
pháp tốt để các ngân hàng nâng cao chất lượng và hiệu quả hoạt động, qua đó nâng cao khả năng cạnh tranh của ngân hàng Giúp thực hiện chiến lược toàn cầu hóa
mà không cần mở thêm chi nhánh ở trong nước cũng như ngoài nước E-Banking
là công cụ quảng bá thương hiệu của ngân hàng một cách sinh động, hiệu quả
• Nâng cao hiệu quả sử dụng vốn: Thông qua các dịch vụ ngân hàng điện tử, các
lệnh về chi trả, nhờ thu của khách hàng được thực hiện nhanh chóng, tạo điều kiện cho vốn tiền tệ được chu chuyển nhanh Qua đó đẩy nhanh tốc độ lưu thông hàng hóa, tiền tệ
• Tăng khả năng chăm sóc và thu hút khách hàng: E-Banking với mô hình ngân
hàng hiện đại, kinh doanh đa năng sẽ cung cấp cho khách hàng các dịch vụ chăm sóc chất lượng nhất Giúp khách hàng có được sự hài lòng và tin cậy hơn
• Cung cấp các dịch vụ trọn gói: Các ngân hàng có thể liên kết với các công ty bảo
hiểm, công ty chứng khoán, công ty tài chính để đưa ra các sản phẩm tiện ích đồng bộ nhằm đáp ứng các nhu cầu của một khách hàng về các dịch vụ liên quan đến ngân hàng, bảo hiểm, đầu tư, chứng khoán…
1.3.2 Hạn chế
• Khả năng rủi ro cao: Đó là những rủi ro về việc rò rỉ thông tin E-banking giúp
người dùng giao dịch tiện lợi hơn nhưng nền tảng internet cũng đầy rẫy nguy cơ Hacker có thể vượt qua hệ thống bảo vệ để có được tài khoản của bạn để thực hiện những hành vi xấu Mỗi năm luôn có những vụ việc bị lấy mất tiền từ tài khoản ngân hàng thông qua dịch vụ này Số tiền dao động có thể từ vài triệu cho đến trăm triệu Đây là một lời cảnh báo cho cả người dùng và ngân hàng Cả 2 bên cần
nỗ lực để tối ưu bảo mật tài khoản Internet Banking
Tiêu biểu là sự kiện: “Thông tin của 324.000 giao dịch tài chính qua một cổng thanh toán đã bị đánh cắp Đặc biệt dữ liệu bị mất bao gồm cả mã số
an ninh”
Trang 8• Chất lượng dịch vụ thấp: Chất lượng dịch vụ cũng là một điểm hạn chế lớn của
E-banking Nhiều ngân hàng vẫn chưa tạo ra được trải nghiệm mượt mà nhất cho người dùng Câu chuyện lỗi, bảo trì quá thường xuyên không phải là câu chuyện hiếm Điều này ảnh hưởng rất lớn tới người dùng, đặc biệt là khi họ bận rộn hoặc
có nhu cầu chuyển tiền gấp
• Phụ thuộc vào internet: Hoạt động trên nền tảng internet nên rõ ràng dịch vụ này
phụ thuộc hoàn toàn vào đường truyền mạng Tuy rằng với thời đại ngày nay, việc kết nối internet không phải chuyện khó Dù vậy, có rất nhiều thời điểm mạng internet không ổn định khiến người dùng không thể truy cập app hoặc website
1.4 Vai trò của Dịch vụ Ngân hàng điện tử:
1.4.1 Đối với ngân hàng
Đối với bản thân ngân hàng, lan rộng ra những loại dịch vụ ngân hàng điện tử cũng một giải pháp để họ nâng cao chất lượng dịch vụ Và qua đó nâng cao năng lực cạnh tranh cũng như lan rộng ra khoanh vùng phạm vi hoạt động giải trí
Xét về mặt kinh doanh của ngân hàng, thông qua các dịch vụ ngân hàng điện tử Các lệnh về nhờ thu, chi trả của khách hàng được thực hiện nhanh chóng Tạo điều kiện cho vốn tiền tệ chu chuyển nhanh, thực hiện tốt quan hệ giao dịch Trao đổi tiền – hàng hiệu quả hơn so với giao dịch kiểu ngân hàng truyền thống Qua đó đẩy nhanh tốc độ lưu thông hàng hoá, tiền tệ, nâng cao hiệu quả sử dụng vốn…
Một vai trò khác của dịch vụ ngân hàng điện tử là tăng năng lực chăm nom và lôi cuốn người mua Chính sự tiện ích có được từ loại dịch vụ này đã lôi cuốn và giữ người mua sử dụng Phát sinh những quan hệ thanh toán giao dịch Và trở thành người mua truyền thống cội nguồn của ngân hàng Với quy mô ngân hàng văn minh Kinh doanh thương mại đa năng thì năng lực tăng trưởng Đáp ứng những dịch vụ cho nhiều đối tượng người dùng người mua Nhiều ngành kinh doanh thương mại của dịch vụ NHĐT (ngân hàng điện tử) là rất cao
Trang 91.4.2 Đối với người dùng
Có thể nói, so với người mua ưu điểm lớn nhất của dịch vụ ngân hàng điện tử dành cho họ Chính là sự tiện lợi và luôn sẵn sàng chuẩn bị Khách hàng hoàn toàn có thể sử dụng dịch vụ ngân hàng ở bất kể nơi đâu và tại bất kể thời gian nào
Đặc biệt, so với những người dùng cá nhân, người dùng vừa và nhỏ Có số lượng thanh toán giao dịch với ngân hàng không nhiều Số tiền trên mỗi lần thanh toán giao dịch không lớn Thì việc sử dụng mô hình dịch vụ này sẽ giúp họ thuận tiện hơn Đây là lợi ích mà những thanh toán giao dịch kiểu ngân hàng truyền thống khó có thể đạt được với vận tốc nhanh, đúng mực so với dịch vụ NHĐT
Với đặc trưng là sử dụng công nghệ hiện đại Dịch vụ ngân hàng điện tử đã giúp khách hàng tiết kiệm được thời gian và giảm chi phí dịch vụ Họ hoàn toàn có thể thực hiện một số các giao dịch thông thường Mà không cần trực tiếp đến ngân hàng giao dịch
Do đó tiết kiệm được chi phí đi lại Đối với doanh nghiệp có thể sử dụng dịch vụ NHĐT
để chuyển khoản trả lương cho nhân viên Giúp doanh nghiệp tiết kiệm thời gian và chi phí đi lại
1.4.3 Đối với nền kinh tế tài chính
Dịch vụ ngân hàng điện tử giúp tăng quy trình lưu thông tiền tệ và sản phẩm & hàng hóa trong nền kinh tế tài chính Nó được cho phép người mua giảm lượng thanh toán giao dịch tiền mặt Giúp cho quy trình thanh toán giao dịch nhanh gọn hơn, thuận tiện hơn Các dịch vụ giao dịch thanh toán trực tuyến giúp thôi thúc vòng xoay của vốn Luân chuyển vốn đến những nơi cần đến một cách tốt hơn Làm tăng hiệu suất cao của quy trình sử dụng vốn Qua đó, những nhu yếu về vốn trong nền kinh tế tài chính được cung ứng một cách hiệu suất cao
Thông qua các dịch vụ NHĐT, các lệnh chi trả, nhờ thu của khách hàng được thực hiện nhanh chóng Tạo hiệu quả cho quá trình thương mại Đẩy nhanh tốc độ chu chuyển hàng – tiền – hàng, tiền – hàng – tiền Nâng cao hiệu quả sử dụng vốn Dịch vụ NHĐT giúp hiện đại hóa hệ thống thanh toán Chi phí giao dịch được giảm bớt đáng kể và tính
an toàn được đảm bảo hơn Việc thanh toán trở nên thuận tiện hơn nhiều
Trang 101.5 Phân loại các dịch vụ của E-banking:
• Internet banking: Theo hertzum & ctg, internet banking đề cập đến các dịch vụ ngân hàng cung cấp qua viễn thông
• Mobile banking: Là ứng dụng cung cấp cho điện thoại cho phép khách hàng có tài khoản E-banking giải quyết bao gồm: truyền dữ liệu phải được bảo mật, ứng dụng
và quyền truy cập phải được kiểm soát, tính toàn vẹn của dữ liệu phải được bảo
vệ, việc mất thiết bị phải có tác động hạn chế và kiểm soát ngay tức thì Một số tiện ích mà Mobile banking cung cấp cho khách hàng như cung cấp các thông tin liên quan đến hoạt động tài khoản, thông báo số dư tài khoản khi có sự thay đổi, truy vấn thông tin tài khoản, chuyển khoản…
• Hệ thống home banking: Home banking là hệ thống phân phối dịch vụ ngân hàng kết nối tại nhà với nhiều tiện ích thông qua đường truyền kết nối internet với cổng thông tin của ngân hàng Một số dịch vụ tiện ích thông qua homebanking như: chuyển khoản, thanh toán hóa đơn, xem số dư tài khoản …
• Hệ thống thẻ, máy ATM, máy POS: Là công cụ hỗ trợ tiêu dùng không cần tiền mặt cho khách hàng, đa dạng về hình thức và tính năng: thẻ nội địa, thẻ quốc tế, thẻ ghi nợ, thẻ tín dụng…Với các loại thẻ, khách hàng có thể thanh toán mà không cần sử dụng tiền mặt
• Call centre: Là dịch vụ ngân hàng điện thoại, khách hàng có tài khoản bất kỳ chi nhánh nào đều có thể gọi điện thoại đến trung tâm này để được cung cấp thông tin
và giải đáp thắc mắc tuy nhiên dịch vụ này hiện chưa có mặt tại Việt Nam
• Kiosk banking: Là sự phát triển của dịch vụ ngân hàng hướng tới việc phục vụ khách hàng chất lượng cao nhất và thuận tiện nhất Trên đường phố sẽ đặt các trạm làm việc với đường truyền internet chất lượng cao, khi khách hàng thực hiện giao dịch hoặc yêu cầu giao dịch họ chỉ cần truy cập, cung cấp số chứng nhận cá nhân và mật khẩu để sử dụng dịch vụ
Trang 112 Cách phòng chống trong các hệ thống ngân hàng trực tuyến (E - banking)
2.1 Các mối đe dọa tới E-banking
• Lừa đảo tài chính quốc tế: Trò lừa thường bắt đầu bằng một bức thư hoặc email
có hình thức như được gửi trực tiếp tới người nhận nhưng thực tế đã được phát tán cho nhiều người để đưa ra đề xuất, theo đó người nhận sẽ nhận được một khoản tiền lớn nhưng thực tế thì người nhận sẽ không thể nhận được
• Trộm danh tính: Là hành vi của cá nhân, tổ chức thu thập các thông tin cá nhân
của khách hàng để kiếm các lợi ích tài chính, chủ yếu là trộm thông tin thẻ tín dụng, tạo ra một món nợ lớn cho khách hàng
• Virus: Là những chương trình hay đoạn mã được thiết kế để tự nhân bản và sao
chép chính nó vào các đối tượng lây nhiễm khác
• Phishing (tấn công lừa đảo): đây là cách tấn công chiếm tỷ lệ lớn nhất hiện nay,
sử dụng như một tên website giả mạo để đánh lừa khách hàng đăng nhập vào để từ
đó lợi dụng, xâm phạm tài chính và thông tin của khách hàng, đặc biệt là thông qua việc phát tán các link giả mạo qua email, tin nhắn mạng đầu số ngân hàng khiến khách hàng nhầm lẫn Tội phạm mạng tận dụng cơ hội này vì các doanh nghiệp và truyền thông hoàn toàn phụ thuộc vào mạng internet
• Hacking: Truy cập bất hợp pháp vào máy tính khách hàng bằng Internet Đối với
hacker thì việc tấn công vào hệ thống ngân hàng rất khó khăn, nên xu hướng của hacker sẽ có xu hướng tiến tới tấn công người tiêu dùng song song với đó như giả mạo công an, tấn công vào lòng sợ hãi, lòng tham … Đánh cắp mã OTP hiện là cách tấn công phổ biến nhất của hacker, nhắm vào giao dịch, thanh toán có liên quan tới tài khoản ngân hàng Chiêu thức thường được bọn tội phạm sử dụng là lừa người dùng cài đặt phần mềm ứng dụng được chúng nhúng mã độc vào
smartphone để lấy trộm tin nhắn OTP từ ngân hàng hay nơi cung cấp dịch vụ gửi tới khi có giao dịch
2.2 Một số biện pháp phòng tránh phổ biến
• Trí tuệ nhân tạo (Arificial Intelligence - AI): có thể cải thiện Tri thức an ninh
mạng (Threat Intelligence - TI), cải thiện khả năng dự doán nguy cơ và bảo đảm
Trang 12an ninh mạng Trí tuệ nhân tạo có thể học hỏi từ các nhà phân tích bảo mật và cải thiện hiện quả của nó theo thời gian, điều này giúp tiết kiệm thừoi gian và đưa ra quyết định tốt hơn Điều này rất cần thiết cho các ngân hàng khi các cuộc tấn công mạng tiếp tục phát triển về số lượng và mức độ tinh vi
• Mã OTP (hay còn gọi là mật khẩu dùng một lần - One Time Password): là
loại mã được tự động sinh ra và gửi đến cho khách hàng qua tin nhắn điện thoại (SMS OTP) hoặc ngay trên ứng dụng (Smart OTP) mỗi khi tài khoản ngân hàng điện tử phát sinh giao dịch Mã OTP giúp hạn chế việc tài khoản bị tấn công từ xa
Dù đánh cắp được thông tin tài khoản, kẻ xấu không có thiết bị chứa mã OTP để thực hiện giao dịch trái phép
• Đăng nhập bằng sinh trắc học (dấu vân tay, Face ID): Tính năng này được áp
dụng cho các ứng dụng di động của ngân hàng và chỉ hoạt động trên các thiết bị di động có trang bị cảm biến vân tay và nhận diện khuôn mặt Đây là một trong những cách thức bảo mật có độ an toàn cao nhất hiện nay đối với ngân hàng điện tử Điều này dựa trên đặc điểm mỗi người có một dấu vân tay riêng và rất khó để sao chép hoặc đánh cắp
Một số ngân hàng đã hợp tác thành công với các Fintech để đưa công nghệ mới vào hoạt động thanh toán trên thiết bị di động như áp dụng sinh trắc học, sử dụng QR code, Tokenization, công nghệ mPOS, ví điện tử Các ngân hàng như BIDV,
Techcombank, Vietcombank, TPBank, VPBank, …đã hoàn thiện hệ thống giao dịch tự động, ứng dụng một phần dữ liệu lớn MB, Techcombank, … đã ứng dụng công nghệ trí tuệ nhân tạo AI, máy tự học (learning machine) và đưa ra các dịch vụ tư vấn tự động 24/7 qua các hộp hội thoại (chat box) tự động trên website ngân hàng hoặc các kênh mạng xã hội Các dịch vụ như kiểm tra số dư, thanh toán hóa đơn, chuyển khoản, đặt vé máy bay với giao diện người dùng thân thiện, dễ sử dụng và không ngừng nâng cấp như iFast của Techcombank, E-mobile banking của Agribank, BIDV với SmartBanking… Ðầu năm
2017, TPBank ra mắt ứng dụng TPBank LiveBank Ðầu năm 2018, OCB giới thiệu nền tảng hợp kênh (Omni - channel) Vietcombank với không gian giao dịch công nghệ số Digital Lab và dự án chuyển đổi số quy mô lớn với tư vấn PwC Vietcombank xác định 3
Trang 13mức độ trưởng thành của ngân hàng số là 1.0, 2.0 và 3.0 Theo đó, định hướng đến năm
2025, Vietcombank sẽ tiệm cận 3.0, năm 2030 sẽ là ngân hàng số 3.0 thực sự
VietinBank xây dựng Corebank thế hệ mới với hiệu suất cao; tháng 9/2018
VPBank triển khai ứng dụng ngân hàng số Yolo sau mô hình ngân hàng số Timo
MBBank cho phép khách hàng chuyển tiền qua ứng dụng Facebook và tạo ra một kênh giao tiếp mới với khách hàng trẻ qua ứng dụng eMBee fanpage BIDV đưa ra sản phẩm BUNO - chuyển tiền chỉ với số điện thoại của người nhận, không cần nhớ số tài khoản…
3 Liên hệ thực tế
Ví dụ 1: Tin nhắn mạo danh các tổ chức tài chính, ngân hàng (TPBank, Sacombank, ACB,… )
• Khái quát vụ việc
Đối tượng lừa đảo đã sử dụng thiết bị phát sóng di động giả mạo để phát tán tin nhắn rác lừa đảo nhắm vào người dùng của các tổ chức tài chính, ngân hàng như TPBank, Sacombank, ACB, Zalopay, … gửi các nội dung giả mạo, lừa đảo nhằm chiếm đoạt tiền của người dân
Đây là các thiết bị có nguồn gốc từ nước ngoài, được các đối tượng mua bán, sử dụng trái phép nhằm mục đích thực hiện các cuộc tấn công phát tán tin nhắn rác lừa đảo người dùng, đặc biệt là người dùng tại các khu vực đô thị
• Cách thức thực hiện của nhóm lừa đảo
Bước 1: Thực hiện phát tán tin nhắn rác lừa đảo
Đối tượng tấn công sử dụng các thiết bị phát sóng giả mạo (IMSI Catcher/SMS Broadcaster) để thực hiện gửi tin nhắn rác trực tiếp vào điện thoại mà không thông qua mạng viễn thông di động
Các tin nhắn này bị các đối tượng thay đổi thông tin nguồn gửi (số điện thoại, đầu
số hoặc tên định danh) nhằm mục đích tạo lòng tin, đánh lừa người dùng
Nội dung tin nhắn thường là quảng cáo, hướng dẫn hoặc chứa đường link tới website giả mạo giống như các website chính thống của các tổ chức tài chính, ngân hàng
để dẫn dụ và đánh cắp thông tin của người dùng như tài khoản, mật khẩu, mã OTP,… Bước 2: Người dùng cung cấp thông tin cá nhân
Trang 14Người dùng không nhận biết được website giả mạo nên sẽ cung cấp thông tin cá nhân truy cập vào tài khoản ngân hàng như điền tên tài khoản, mật khẩu Sau khi người dùng cung cấp thông tin, website giả mạo sẽ điều hướng sang website khác hoặc thông báo đề nghị người dùng chờ đợi
Đối tượng dùng thông tin cá nhân của người dùng để đăng nhập vào website chính thức của các tổ chức tài chính, ngân hàng để lấy mã xác thực OTP (nếu cần)
Bước 3: Lấy mã OTP của người dùng
Sau khi điện thoại người dùng nhận được mã xác thực OTP, website giả mạo sẽ được điều hướng sang trạng thái yêu cầu người dùng cung cấp mã xác thực OTP Người dùng mà không cảnh giác sẽ cung cấp thông tin mã OTP để đối tượng hoàn tất quá trình chiếm đoạt tiền trong tài khoản
• Hậu quả: Rất khó đo lường, tính toán thiệt hại cho một vụ lừa đảo Lừa đảo ảnh hưởng đến thiệt hại người dùng nếu họ có trình báo thì ghi nhận được Tổng thiệt hại của những vụ tấn công trên khoảng 100 tỷ đồng, trong đó vụ một ngân hàng bị hacker tấn công có chủ đích gây thiệt hại 44 tỷ đồng Tuy nhiên, con số 100 tỷ đồng đó mới chỉ được ghi nhận và xử lý còn những sự vụ khi xảy ra tấn công những người dùng ít biết thông tin trình báo để xử lý
• Nguyên nhân:
- Người dùng chủ quan, không có kiến thức về an toàn và bảo mật thông tin Khi các tin nhắn, cuộc gọi không xuất phát từ đầu số điện thoại lạ, mà từ một doanh nghiệp có thương hiệu, một công ty có tiếng, từ một ngân hàng, thậm chứ từ nhà mạng viễn thông hoặc sử dụng tin nhắn có thương hiệu gần giống của các đơn vị như ngân hàng, nhà mạng viễn thông thì người dùng thường không
từ chối cuộc gọi và thường sẽ bấm vào link trong tin nhắn để kiểm tra tài
khoản
- Dịch vụ giao dịch trực tuyến phát triển nhanh cùng với chủ trương của Chính phủ về đẩy mạh chuyển đổi số và thực hiện giao dịch không tiền mặt Đặc biệt trong thời kỳ dịch bệnh Covid-19, các dịch giao dịch trực tuyến, thanh toán online, quét mã QR… đã dần phổ biến hơn với người dùng Các ngân hàng đã
Trang 15liên kết với các đơn vị để thực hiện các dịch vụ này Với đặc thù của các giao dịch trực tuyến có thể thực hiện bất kỳ thời điểm nào, ở bất kỳ nơi đâu đã trở thành môi trường thuận lợi để những đối tượng có hành vi lừa đảo dễ dàng thực hiện hơn
- Nhiều ngân hàng cho biết các nhà mạng không xử lý tin nhắn mạo danh lừa đảo, VNBA cho rằng kẻ gian đã dựa vào lỗ hổng bảo mật của một số nhà mạng
để gửi tin nhắn brandname tới khách hàng của nhiều ngân hàng để lừa đảo , chiếm đoạt tiền trong tài khoản của ngân hàng, vấn nạn trên diễn ra rất nhiều nhưng đến nay các nhà mạng chưa thông báo rõ về nguyên nhân sự việc cúng như chưa phối hợp với các tổ chức tín dụng và cơ quan nhà nước để xử lý
- Những năm gần đây ngân hàng đã đầu tư, trang bị các giải pháp bảo vệ hệ thống nên việc hacker tấn công vào ngân hàng là rất khó khăn Vì vậy, các hacker sẽ chọn con đường khác dễ dàng hơn thông qua chuyển hướng tấn công sang người dùng
• Hướng giải quyết
Hiện tại, các ngân hàng vẫn chưa đưa ra giải pháp cụ thể cho sự cố này Việc cần làm này là gửi cảnh báo đến tất cả người dùng để tránh bị lừa đảo Các doanh nghiệp khác cũng tăng cường cảnh giác để hạn chế rủi ro bị giả mạo; gây ảnh hưởng đến uy tín thương hiệu
(1) Kiểm tra, xác minh kỹ các website, ứng dụng (app) trong các tin nhắn mà người dùng nhận được, kể cả các tin nhắn thương hiệu, tin nhắn từ các đầu số ngắn; tuyệt đối không truy cập vào các website, ứng dụng có nguồn gốc, nội dung không rõ ràng
(2) Khi nhận được tin nhắn có nội dung lừa đảo, giả mạo, đề nghị phản ánh với Cục An toàn thông tin (Trung tâm VNCERT/CC) qua đầu số tin nhắn 5656 hoặc qua Website https://thongbaorac.ais.gov.vn/ để Cục An toàn thông tin kịp thời điều phối, phối hợp với các đơn vị liên quan xử lý
(3) Thông báo cho cơ quan công an hoặc Cục An toàn thông tin khi phát hiện các đối tượng sử dụng, mua bán, trao đổi các thiết bị phát sóng giả mạo (IMSI Catcher/SMS Broadcaster) qua số đường dây nóng của Cục An toàn thông tin 0339035656
Trang 16(4) Trung tâm Giám sát an toàn thông tin mạng quốc gia (NCSC) cung cấp tính năng
“Tra cứu tài khoản” cho phép người dùng tra cứu 1 tài khoản ngân hàng là tài khoản lừa đảo hay an toàn dựa trên danh sách các tài khoản đã được báo cáo và kiểm duyệt nghiêm ngặt bởi đội ngũ của Trung tâm
(5) Không công khai các thông tin cá nhân như: ngày sinh, số chứng minh nhân dân/căn cước công dân, số điện thoại, số tài khoản ngân hàng… lên các trang mạng xã hội để tránh bị các đối tượng lợi dụng khai thác, sử dụng để lừa đảo Khi chia sẻ thông tin trên mạng xã hội cần chọn lọc những thông tin có thể chia sẻ công khai
(6) Người dân cũng cần thường xuyên thay đổi mật khẩu đăng nhập tài khoản Internet Banking, Smart Banking và có biện pháp để quản lý, bảo mật các thông tin này; tuyệt đối không cung cấp thông tin tài khoản, mật khẩu, mã OTP cho bất kỳ ai dưới bất kỳ hình thức nào Không truy cập vào các đường dẫn (link) giả mạo ngân hàng khi chưa kiểm chứng Xác minh kỹ các thông tin trao đổi trên mạng xã hội, đặc biệt với các giao dịch liên quan đến tài chính
Cần ghi nhớ các trang web chính thức của các tổ chức tài chính, ngân hàng được đăng ký với các cơ quan thẩm quyền ở Việt Nam thường được đăng ký tên miền vn hoặc com.vn, còn các đuôi khác thường là giả mạo nên người dân cần kiểm tra kỹ khi thấy các đuôi như vip, top, cc…
• Giải pháp từ phía ngân hàng
Các ngân hàng cần cảnh giác cao độ nên lựa chọn những nhà cung cấp dịch vụ tin nhắn thương hiệu uy tín, thường xuyên nhắc nhở người dùng nâng cao ý thức bảo vệ, một số ngân hàng đã chuyển sang thông báo mã OTP trực tiếp trên app (Smart OTP) để gia tăng bảo mật
Chủ tịch Hội đồng quản trị Ngân hàng Thương mại cổ phần Bưu điện Liên Việt
(LienVietPostBank) Huỳnh Ngọc Huy cũng cho biết, đơn vị đang tăng cường các giải pháp như xây dựng, tuân thủ chặt chẽ các quy định, tiêu chuẩn về an toàn thông tin, nâng cấp hệ thống ngân hàng lõi thế hệ mới với các quy trình được số hóa, quản trị thông minh, dựa trên công nghệ trí tuệ nhân tạo, phân tích dữ liệu lớn và tự động hóa để hỗ trợ công tác quản lý, điều hành, kinh doanh, hạn chế rủi ro
Trang 17Các ngân hàng khác như Vietcombank, BIDV, Vietinbank, Sacombank, ACB, TPBank, VPBank… đều thông tin tới khách hàng về các hiện tượng lừa đảo, nguyên tắc an toàn giao dịch để phòng ngừa Đồng thời, các ngân hàng cũng hướng dẫn nếu đã bấm vào đường link và tiết lộ thông tin, khách hàng cần chủ động thực hiện các biện pháp khóa dịch vụ khẩn cấp
(7) Một số ngân hàng đã sử dụng yếu tố bảo mật hai lớp trên ứng dụng ngân hàng điện thoại, chuyển đổi sử dụng xác thực giao dịch tài chính qua các ứng dụng thay vì qua tin nhắn điện thoại SMS
Ví dụ 2: Vụ việc VN84App, phần mềm thu thập tin nhắn OTP giao dịch ngân hàng lên đến hàng tỷ đồng, đã lây nhiễm hàng nghìn smartphone tại Việt Nam
• Khái quát vụ việc
Đầu tháng 5/2020, Hệ thống giám sát an ninh của Bkav phát hiện một website có địa chỉ: http://bocongan113.com Đây là điều không bình thường vì website của các cơ quan Nhà nước bắt buộc phải sử dụng tên miền “.gov.vn” chứ không thể là “.com” Nhận định đây là một website giả mạo cơ quan công an và kiểm tra thêm, họ phát hiện một ứng dụng được ẩn trên website có tên VN84App.apk Ứng dụng này khi cài đặt sẽ thực hiện các hành vi âm thầm thu thập trái phép thông tin người dùng
Dựa vào việc đối tượng đặt tên cho ứng dụng là VN84App.apk thì “VN” có thể là viết tắt của “Việt Nam” và “84” là mã vùng quốc tế của Việt Nam (+84) Như vậy có lẽ hacker đang thực hiện một chiến dịch tấn công có tổ chức nhắm trực tiếp vào Việt Nam
Họ tiến hành kiểm tra nhanh thông tin liên quan đến website
http://bocongan113.com thì không nằm ngoài dự đoán, thông tin đăng ký tên miền không phải chủ quản là Bộ Công An mà do một người nước ngoài có tên “Laike Lee” đứng tên, đăng ký ngày 19/04/2020
Trang 18Giao diện của website
• Cách thức thực hiện của đối tượng lừa đảo
Từ kết quả phân tích, các chuyên gia chỉ ra phần mềm gián điệp VN84App được phát tán thông qua các website giả mạo cơ quan chức năng, một trong số đó là trang giả mạo Bộ Công an Thực hiện kiểm tra theo domain http://bocongan113.com, họ phát hiện thêm một số tên miền tương tự nhau như sau: