Thứ năm, 19/12/2024
27 C
Ho Chi Minh City

Tấn công mạng ngân hàng sao dễ như vậy?

Song Nghi

Kinh tế Sài Gòn Online

Kinh tế Sài Gòn Online

(KTSG Online) - Theo thông tin được cơ quan chức năng công bố trên báo chí thì vụ tấn công vào hệ thống một ngân hàng chiếm đoạt 10 tỉ đồng có vẻ quá đơn giản. Kể cả khi còn có thêm những “thông tin khó nói, không tiện công bố” thì vụ tấn công này vẫn thật đáng ngại khi nhìn từ góc độ khách hàng của ngân hàng.

Ai cũng biết hệ thống công nghệ ngân hàng thuộc dạng được bảo vệ cẩn mật nhất, muốn làm gì cũng phải qua quy trình nhiều bước phê duyệt. Ngoài hệ thống vòng ngoài, phần ngân hàng lõi (core banking) trên lý thuyết là khu vực bất khả xâm phạm, đặc biệt là việc thay đổi số tiền trong tài khoản khách hàng.

Vậy mà, theo thông tin do công an công bố trên báo chí về một hacker vừa bị bắt, thủ phạm sau khi mở tài khoản tiền gởi và mở sổ tiết kiệm online tại một ngân hàng đã xâm nhập vào hệ thống ngân hàng đó để sửa đổi, nâng số tiền trong tài khoản tiết kiệm.

Sau khi xâm nhập trót lọt, hacker này chỉnh sửa số dư của sổ tiết kiệm từ trị giá chỉ 1 triệu đồng thành 50 tỉ đồng, sau đó dùng sổ tiết kiệm này thế chấp để vay tiền. Chỉ trong vòng hơn hai tuần cuối tháng 5 đầu tháng 6 vừa qua, hacker này đã 7 lần rút tiền từ hệ thống ngân hàng trên, chuyển về tài khoản của mình với tổng số tiền trên 10 tỉ đồng và đã rút ra được 6,5 tỉ đồng rồi mới bị phát hiện(*).

Cách đây hơn 5 năm, nhân viên một công ty cung cấp dịch vụ công nghệ thông tin cho ngân hàng cũng từng dùng cách thâm nhập tương tự sau khi vô tình biết được mật khẩu quản trị hệ thống trong lúc đến ngân hàng làm dịch vụ. Cách của nhân viên này còn thô sơ hơn: bật phần mềm điều khiển từ xa Teamviewer trên một máy tính của ngân hàng rồi về nhà kết nối vào, tự tạo tài khoản ngân hàng, tự “cho tiền” vào tài khoản rồi rút ra tiêu xài nhiều lần.

Thật khó hình dung, ở thời điểm hiện tại mà vụ xâm nhập chiếm đoạt 10 tỉ bằng cách sửa trực tiếp trong hệ thống của ngân hàng vẫn trót lọt và rút tiền được nhiều lần. Cả hai vụ bị tấn công sửa đổi số dư tài khoản này cho thấy, nhiều quy trình kiểm tra lẽ ra phải có đã bị bỏ qua, từ đó dẫn đến những lỗ hổng an ninh nghiêm trọng trong hệ thống ngân hàng.

Những vụ xâm nhập chiếm đoạt tiền xảy ra trong những năm gần đây cho thấy hệ thống của một số ngân hàng và công ty tài chính chưa được bảo vệ tốt. Số liệu công bố tại Diễn đàn ngân hàng bán lẻ 2020 cho thấy, đã có một ngân hàng bị tấn công an ninh mạng đánh cắp 44 tỉ đồng nhưng cơ quan công an đã phát hiện và xử lý kịp(**).

Trước đó, năm 2019, cơ quan công an đã phát hiện và bắt giữ bốn hacker là sinh viên tấn công lỗ hổng website của bốn công ty trung gian thanh toán, xâm nhập và tạo khống số dư cho những tài khoản là ví điện tử, chiếm đoạt nhiều tỉ đồng(***).

Năm 2018, khoảng 400 tài khoản khách hàng của một ngân hàng đồng loạt bị mất tiền trong một đêm. Ngay cả khi khách hàng liên hệ yêu cầu khoá tài khoản và ngân hàng này xác nhận, tiền vẫn tiếp tục bị rút thêm nhiều lần. Ngân hàng này sau đó thừa nhận nguyên nhân khách mất tiền là do hệ thống bị hacker xâm nhập(****).

Dù sau đó ngân hàng này đã hoàn tiền bị mất lại cho khách hàng nhưng việc bị tấn công cùng lúc hàng trăm tài khoản và không thể ngăn chận hacker chuyển tiền dù đã được yêu cầu khoá tài khoản cho thấy lỗ hổng trong hệ thống ngân hàng này rất nghiêm trọng.

Trong những năm gần đây báo chí không ít lần đưa tin về những vụ khách hàng tự nhiên bị mất tiền trong tài khoản. Có trường hợp ngân hàng thừa nhận lỗi và đền bù nhưng cũng có trường hợp ngân hàng cho rằng do lỗi khách hàng, dẫn đến khiếu nại kéo dài mà thường phần thắng nghiêng về phía ngân hàng.

Trong quan hệ với ngân hàng, khách hàng luôn là người yếu thế hơn và khó tự bảo vệ quyền lợi của mình. Một khi hệ thống ngân hàng có lỗ hổng, khách hàng có thể bị thiệt hại nhưng rất khó chứng minh được điều này. Trong một số vụ “bỗng dưng mất tiền”, dù rất ấm ức nhưng khách hàng không thể phản bác được lý lẽ do phía ngân hàng đưa ra là “lỗi do khách hàng thao tác sai”.

Những vụ hệ thống ngân hàng bị tấn công như vừa qua cho thấy vẫn còn lỗ hổng nằm đâu đó trong hệ thống công nghệ của các ngân hàng. Trong một số trường hợp, khách hàng sẽ bị vạ lây khi những "quả bom" hẹn giờ này này phát nổ.

------------------

(*) https://tuoitre.vn/bat-hacker-xam-nhap-he-thong-ngan-hang-chiem-doat-10-ti-dong-20230701201426827.htm

(**) https://nld.com.vn/kinh-te/khoang-4000-vu-tan-cong-mang-lay-cap-tien-trong-tai-khoan-ngan-hang-20201126164935446.htm

(***) https://vietnamnet.vn/bat-giu-nhom-sinh-vien-dh-thai-nguyen-tan-cong-he-thong-cua-4trung-gian-thanh-toan-lay-cap-tien-i32320.html

(****) https://nld.com.vn/kinh-te/agribank-noi-gi-ve-viec-tai-khoan-khach-hang-bi-hack-mat-tien-2018042618305292.htm

3 BÌNH LUẬN

  1. Tại sao ngân hàng thiếu quan tâm tới an ninh mạng, lý do duy nhất đa số khách hàng là người chịu thiệt trong những trường hợp này, còn nếu đầu tư chống hacker thì tốn quá nhiều kinh phí. Trong nhiều trường hợp khác, ngân hàng luôn đấy cái khó về phía khách hàng, nhiều khách hàng vì không hiểu biết nên bị thua thiệt. Nhiều năm về trước, tôi gửi tiền ở một ngân hàng, đến khi tất toán, chi nhánh ngân hàng không cho rút vì con dấu trên sổ tiết kiệm hơi mờ ( con dấu trên sổ là của ngân hàng không phải của tôi ), tôi phải chạy lên trụ sở chính của ngân hàng và làm căng, ngân hàng mới cho rút tiền, mặc dù thông tin có trên máy chỉ cần truy cập là có đầy đủ thông tin.

  2. Nói thật không chủ quan chút nào. Ngân hàng là hệ thống tài chính, có ý thức, khả năng và mức đầu tư lớn nhất, cả tiền của và công sức, nhân lực cho công cuộc chuyển đổi số và bảo mật an toàn dữ liệu. Tuy nhiên, mọi thứ trên đời này đều có nguy cơ rủi ro. Mọi thứ liên quan đến tiền bạc thì nguy cơ rủi ro càng lớn hơn. Quan trọng là xác định được nguyên nhân/ động cơ/ hậu quả của vấn đề nảy sinh. Mọi hệ thống có giao tiếp online ngày nay gần như phải đối mặt 24/7 với hàng loạt cuộc tấn công theo kiểu “thập diện mai phục”. Bởi vậy, phương châm tốt nhất phải là: Rủi ro là vòng xoáy luân hồi không bao giờ có điểm dừng/ Chấp nhận chung sống với rủi ro để luôn luôn có phương án chủ động phòng ngừa/ Tăng cường năng lực kiểm soát rủi ro ngay từ khi chưa phát sinh/ Loại trừ rủi ro ngay từ đầu khi mới bắt đầu phát hiện.

  3. tại sao các ngân hàng nước ngoài hoạt động tại VN tui chưa bao giờ nghe lùm xùm đủ thứ như ngân hàng VN ,bị hack ,lừa đảo ,nội bộ bán thông tin ,khách hàng mất tiền ,cán bộ moi tiền ,cán bộ lừa đảo ….đủ hết !! Tại sao vậy? nếu ngân hàng quản lý yếu kém nhà nước phải ra tay chấn chỉnh chứ

BÌNH LUẬN

Vui lòng nhập bình luận của bạn
Vui lòng nhập tên của bạn ở đây

Tin liên quan

Có thể bạn quan tâm

Tin mới