Email giả danh đánh cắp thông tin thẻ tín dụng VPBank: Đây là cuộc tấn công lừa đảo đơn thuần hay ngân hàng bị tấn công?

Ngày 22/7, xuất hiện sự kiện nghi ngờ khách hàng của ngân hàng VPBank bị tấn công lừa đảo nhằm chiếm đoạt thông tin thẻ tín dụng. SecurityBox đã thực hiện ngay việc phân tích sự kiện an ninh mạng này.

SecurityBox thực hiện phân tích hoàn toàn độc lập sự kiện này và không có đầy đủ thông tin để kết luận liệu đây là cuộc tấn công lừa đảo đơn thuần hay ngân hàng bị tấn công. Chúng tôi chỉ dựa vào các thông tin thu thập trên Internet để dự đoán các khả năng bị tấn công với mong muốn đóng góp ý kiến cho ngân hàng và nâng cao năng lực bảo vệ người sử dụng các dịch vụ tài chính trên Internet.

Khách hàng bị tấn công như thế nào?

Tối ngày 21/7, hàng loạt người dùng đã nhận được email cảnh báo từ địa chỉ: ebank@ebank.vpbank.com.vn

Nội dung email yêu cầu người dùng thẻ tín dụng truy cập địa chỉ: http://ebank.vpbank.com.vn/security.html để sử dụng hệ thống “SYSTEM ENCRYPTED SSL 256”. Tuy nhiên, thực tế là truy cập website: http://email-dbs1.vpbank.com.vn/link.php?M=15732588&N=2562&L=1482&F=H để tin tặc lừa đảo thông tin (hiện nay địa chỉ trên không truy cập được nữa).

Quy trình tin tặc tấn công lừa đảo người dùng được thực hiện qua 3 bước như sau:

Hình 1. 3 bước người dùng bị tấn công lừa đảo
Hình 1. 3 bước người dùng bị tấn công lừa đảo
Hình 2. Thông tin khách hàng nhận cảnh báo bảo mật nhưng thực chất là hành vi lừa đảo chiếm đoạt thông tin thẻ tín dụng
Hình 2. Thông tin khách hàng nhận cảnh báo bảo mật nhưng thực chất là hành vi lừa đảo chiếm đoạt thông tin thẻ tín dụng

Ngoài ra, tin tặc có sự chuẩn bị nội dung khi email cảnh báo này có nội nội dung liên quan tới một thông báo của VPBank tới khách hàng về việc tăng cường bảo mật thông tin thẻ thanh toán VPBank vào cuối tháng 06/2018.

Hình 3. Khách hàng VPBank nhận được thông báo tăng cường bảo mật thông tin thẻ thanh toán VPBank vào cuối tháng 06 năm 2018
Hình 3. Khách hàng VPBank nhận được thông báo tăng cường bảo mật thông tin thẻ thanh toán VPBank vào cuối tháng 06 năm 2018

Phân tích một số kịch bản tấn công

Với những thông tin thu thập độc lập từ Internet, SecurityBox chia sẻ một số kịch bản có thể đã xảy ra đằng sau vụ tấn công có chuẩn bị tinh vi này:

Kịch bản 1: Hacker tấn công Man-in-the-middle

Trong kịch bản này, Hacker thực hiện tấn công đứng giữa ngay trong mạng nội bộ của người dùng.

Hình: Kịch bản tấn công sử dụng Man-in-the-middle
Hình: Kịch bản tấn công sử dụng Man-in-the-middle

Cụ thể các bước tấn công như sau:

  • Bước 1: Hacker có thể đã sở hữu mạng lưới Botnet và mã độc APT ở nhiều nơi.
  • Bước 2: Hacker thực hiện gửi số lượng lớn email phishing đến người khách hàng của VPBank, trong đó có khách hàng đang trong mạng nội bộ.
  • Bước 3: Khi người dùng mở email và click và đường link, domain email-dbs1.vpbank.com.vn bị mã độc trong mạng nội bộ giả mạo.
  • Bước 4: Thay vì người dùng truy cập địa chỉ máy chủ email-dbs1.vpbank.com.vn thật, Hacker chuyển hướng toàn bộ yêu cầu của người dùng đến máy chủ email-dbs1.vpbank.com.vn giả mạo.
  • Bước 5: Toàn bộ thông tin thẻ tín dụng của người dùng được chuyển đến máy chủ do Hacker kiểm soát.

Tuy nhiên, đây là kịch bản khó xảy ra. Nếu người dùng sử dụng 3G thì sẽ không bị lừa đảo và trong trường hợp này Hacker cũng có thể tấn công không chỉ một ngân hàng mà việc này chưa được ghi nhận.

Kịch bản 2: Hacker chiếm quyền điều khiển domain

Đây là trường hợp Hacker chiếm quyền điều khiển tài khoản quản trị domain. Nếu trường này xảy ra, Hacker hoàn toàn có thể dễ dàng thực hiện kịch bản tấn công ở trên.

Tuy nhiên, nếu trường hợp này xảy ra, không chỉ có subdomain email-dbs1.vpbank.com.vn bị ảnh hưởng mà Hacker hoàn toàn có thể tận dụng cả domain chính để thực hiện phá hoại.

Kịch bản 3: Hacker tấn công, chiếm quyền điều khiển DNS Server

Trong trường hợp Hacker tấn công, chiếm quyền điều khiển của DNS server, Hacker hoàn toàn có thể thay đổi các bản ghi DNS để trỏ các máy chủ website email-dbs1.vpbank.com.vn về địa chỉ máy chủ giả mạo do Hacker kiểm soát trước khi gửi mail hàng loạt.

Tuy nhiên, nếu kịch bản tấn công này xảy ra, không chỉ có tên miền vpbank.com.vn bị ảnh hưởng mà rất nhiều tên miền khác của những doanh nghiệp khác cũng sẽ bị ảnh hưởng.

Kịch bản 4: Một phần máy chủ của VPBank bị tấn công chiếm quyền điều khiển

Một giả định khác có thể xảy ra là máy chủ, mà các domain ebank.vpbank.com.vn và email-dbs1.vpbank.com.vn trỏ đến, có thể bị chiếm quyền điều khiển. Hiện các domain này đều không thể truy cập nên chúng tôi không thể chứng minh được việc này. Chúng tôi chỉ có một ít thông tin không đầy đủ tìm kiếm trên Internet để dự đoán đây là một trong những khả năng khả thi:

– Domain này đã từng được sử dụng trước đây vào một số dịch của của ngân hàng, nhưng đến nay không thể truy cập:

Hình 5: Cache của google lưu lại một dịch vụ từng được cung cấp từ domain
Hình 5: Cache của google lưu lại một dịch vụ từng được cung cấp từ domain

– Ngoài ra, Hacker đã thực hiện kiểm tra URL phishing trên trang web phishing checking khi đã chiếm quyền điều khiển máy chủ:

Hình 6: Hoạt động check url phishing đã được thực hiện từ 01/07/2018
Hình 6: Hoạt động check url phishing đã được thực hiện từ 01/07/2018

Tuy nhiên, đặt giả thuyết kịch bản xảy ra và giả sử Hacker chiếm được quyền điều khiển hệ thống email thì việc Phishing này phải được thực hiện trên email của khách hàng. Nhưng khi chúng tôi tìm hiểu, có những trường hợp không phải khách hàng của VPBank những vẫn bị gửi email lừa đảo.

*** Kết luận: Chúng tôi chỉ đặt ra một số các kịch bản, và không thể kết luận chính thức đâu là kịch bản tấn công thực sự vì không có đầy đủ thông tin. Hy vọng việc này giúp ích cho không chỉ một mà nhiều tổ chức tài chính có nhận thức tốt hơn về việc thiết lập hệ thống an ninh mạng toàn diện để bảo vệ cho người dùng.

Khuyến cáo người dùng

Sau sự cố tấn công mạng nghiêm trọng này, SecurityBox có một số khuyến cáo như sau:

Đối với tất cả người dùng (không chỉ riêng khách hàng của VPBank): cần hết sức lưu ý trước những hành vi yêu cầu cung cấp thông tin cá nhân như số thẻ, số tài khoản, mã thẻ, mật khẩu… khi thực hiện các giao dịch trên mạng Internet. Chúng ta phải chắc chắn đang thực hiện giao dịch có mã hoá HTTPS, tại đúng địa chỉ tổ chức tài chính hoặc đúng trang thương mại điện tử uy tín. Với những trường hợp nghi ngờ, khách hàng nên gọi tổng đài hỗ trợ để xác thực hoặc không sử dụng dịch vụ khi cảm thấy nghi ngờ.

Chỉ sử dụng các website hỗ trợ HTTPS trong các giao dịch trực tuyến
Chỉ sử dụng các website hỗ trợ HTTPS trong các giao dịch trực tuyến

Đối với các tổ chức tài chính: cho dù sự kiện này có thể không phải là một cuộc tấn công vào hệ thống của ngân hàng. Nhưng, SecurityBox vẫn khuyến cáo các ngân hàng cần tiến hành rà soát chặt chẽ và tăng cường các biện pháp quản trị an ninh thường xuyên, định kì để bảo vệ hệ thống cũng như bảo vệ khách hàng tốt hơn.

Nguồn: cafebiz.vn