Chuyên gia an ninh mạng Bkav "giải mã" cách tấn công, hack tài khoản Agribank

Một thành viên BQT WhiteHat nhận định trước hết có thể thấy đây là việc chiếm đoạt tiền có chủ đích, kẻ gian đã chọn ngày nghỉ lễ Giỗ Tổ Hùng Vương (tối 25-4, tức 10-3 âm lịch) và thời điểm là chiều tối muộn để lợi dụng sự lơ là của mọi người, đặc biệt là phía ngân hàng, nhằm thực hiện hành vi rút trộm tiền. Vì thông thường, khi bị rút tiền thì thường có tin nhắn báo đến điện thoại của chủ tài khoản. Lúc tối muộn, nếu chủ tài khoản không để ý điện thoại, thì có thể sẽ không phát hiện ra. Còn phía ngân hàng thì vào ngày nghỉ, có thể số người hỗ trợ sẽ ít hơn ngày thường, nếu được thông báo thì cũng mất nhiều thời gian để xử lý. Và do đó kẻ gian có thời gian để thực hiện hành vi ăn trộm.

Thứ hai, để rút được tiền từ máy ATM thì cần có thẻ và mã PIN. Nếu thẻ đang nằm trong tay chủ tài khoản thì chứng tỏ thông tin của thẻ đã bị lấy cắp để tạo thẻ mới. Kẻ gian thường lắp đặt các thiết bị đọc trộm thông tin trên máy ATM mà chúng đã ngắm từ trước để đọc thông tin thẻ. Sau khi có thông tin thẻ, kẻ gian sẽ làm thẻ giả, sau đó rút tiền bằng mã PIN lấy trộm được.

Thứ ba, nếu sau khi chủ thẻ thông báo giao dịch bất thường mà để trễ tới 5 tiếng sau mới khóa được tài khoản thì khả năng mất tiền là rất cao. Đối chiếu theo thông tư số 19/2016/TT-NHNN ngày 30-6-2016, điều 19, mục 2, "Khi nhận được thông báo của chủ thẻ, tổ chức phát hành thẻ (TCPHT) phải thực hiện ngay việc khóa thẻ và phối hợp với các bên liên quan để thực hiện các biện pháp nghiệp vụ cần thiết khác nhằm ngăn chặn các thiệt hại có thể xảy ra, đồng thời thông báo lại cho chủ thẻ. Thời hạn TCPHT hoàn thành việc xử lý thông báo nhận được từ chủ thẻ không quá 5 ngày làm việc đối với thẻ có BIN (Bank Identification Number – mã tổ chức phát hành thẻ) do Ngân hàng Nhà nước cấp hoặc 10 ngày làm việc đối với thẻ có BIN do TCPHT cấp kể từ ngày nhận được thông báo của chủ thẻ." 

Như vậy, nếu đối chiếu quy định này thì thời gian xử lý của ngân hàng kể từ khi tiếp nhận phản ánh của chủ thẻ tính bằng đơn vị ngày. Tính bằng phút thôi đã mất tiền, nếu tính bằng ngày thì đúng là chủ thẻ phải chạy đua với kẻ rút trộm tiền để rút càng nhanh càng tốt!

Thiết bị đọc trộm thông tin thẻ gắn trên máy ATM - Ảnh từ WhiteHat

Trao đổi thêm về vấn đề này, ông Ngô Tuấn Anh, Phó chủ tịch phụ trách an ninh mạng Bkav, nhận định vụ rút tiền này là trường hợp bị tấn công theo cách thức Skimming. Đối tượng bị tấn công là thẻ sử dụng công nghệ thẻ từ.

Theo đó, kẻ tấn công dùng thiết bị đầu đọc giả gắn ngay trước đầu đọc của máy ATM. Khi người sử dụng đưa thẻ vào ATM phải qua thiết bị đầu đọc giả đặt phía trước đầu đọc thật, thiết bị này sẽ ghi lại thông tin dữ liệu thẻ. Dựa trên dữ liệu ăn cắp được, kẻ tấn công mua máy in thẻ từ để tạo ra thẻ giả (máy in này không quá khó mua). Cùng với đó, chúng sẽ cài đặt camera ghi lại hình ảnh người dùng bấm mã PIN khi rút tiền. Như vậy kẻ trộm đã có cả thẻ và mã PIN, chúng sẽ sử dụng thẻ như chủ tài khoản.

Do đó, khách hàng vẫn cầm thẻ trong tay, không giao dịch mà vẫn bị mất tiền trong tài khoản ngân hàng. Số lượng nhiều chủ thẻ cùng bị tấn công, đều là người cùng một cơ quan thì kịch bản là nhiều người cùng rút tại một máy ATM.

Bàn phím giả để đọc trộm mã PIN - Ảnh từ WhiteHat

Theo phản ánh của một số cán bộ Truyền hình Nhân dân (Báo Nhân Dân), nhiều người là chủ tài khoản mở tại Chi nhánh Thủ đô, ngân hàng Nông nghiệp và Phát triển Nông thôn (Agribank) đã bất ngờ nhận được tin nhắn thông báo giao dịch rút tiền vào tối và đêm 25-4. Tại thời điểm đó, chủ tài khoản vẫn giữ thẻ ATM và không thực hiện bất cứ giao dịch nào. Một chỉ tài khoản cho biết trong vòng 6 phút (từ 23 giờ 30 đến 23 giờ 36, tài khoản chị bị rút tiền 8 lần, mất tổng cộng 24 triệu đồng mặc dù ngân hàng đã thông báo khoá tài khoản.

Trả lời trên Bản tin Thời sự của VTV về việc hàng loạt tài khoản Agribank mất tiền, bà Nguyễn Thị Phượng, Phó tổng giám đốc Agribank, cho biết: Thông tin xác minh sơ bộ ban đầu là thẻ bị rút tiền đã sử dụng ở những máy ATM bị cài đặt thiết bị sao chép dữ liệu thông tin thẻ, dẫn đến hiện tượng một số thẻ bị phát hành giả, bị lợi dụng phát hành và sử dụng trong đêm 25-4. Agribank đang tích cực xử lý vụ việc này. Đối với chủ thẻ bị lợi dụng rút tiền tại các máy ATM của Agribank sẽ được ngân hàng nhanh chóng xác minh, có kết quả cuối cùng và trả lời sớm nhất (dự kiến vào ngày 27-4). 

Từ vụ việc này, bà Nguyễn Thị Phượng khuyến cáo chủ tài khoản nên thực hiện bảo mật tất cả thông tin thẻ và lưu ý khi sử dụng thẻ tại thiết bị công cộng và thiết bị quẹt thẻ. Đồng thời khuyến cáo khách hàng đăng ký sử dụng dịch vụ tra cứu số dư của ngân hàng cung cấp, nếu có bất thường cần thông báo ngay cho ngân hàng.

Phía Agribank cũng cho biết ngày 26-4, ngân hàng này đã làm việc với cơ quan công an về sự việc. Đồng thời thực hiện phong toả các máy ATM đã thực hiện giao dịch rút tiền, rà soát danh sách giao dịch để trích xuất camera phục vụ công tác kiểm tra an ninh.