Trước tin tức về các cuộc tấn công của tội phạm mạng vào tài khoản ngân hàng cá nhân gần đây, bài viết sau của Tiến sĩ Crellin giải thích cách thức các vụ tấn công được thực hiện và một số biện pháp phòng ngừa hữu hiệu nhằm ngăn bước kẻ xấu.
Đầu tiên, phương pháp xác thực từ thiết bị thứ hai (mã xác thực được gửi đến thiết bị thứ hai) an toàn hơn, nhưng không thể đảm bảo tuyệt đối. Ví dụ, kẻ xấu có thể tạo ra bản mô phỏng của hệ thống đăng nhập ngân hàng và mô phỏng yêu cầu một mã OTP qua tin nhắn văn bản, hoặc bằng cách sử dụng một ứng dụng ngân hàng. Khi khách hàng nhập OTP vào bản mô phỏng, tội phạm mạng có thể sử dụng nó để đăng nhập vào tài khoản ngân hàng thực sự, sau đó kiểm soát tài khoản ngân hàng và những thứ liên quan để làm theo ý chúng.
Kẻ xấu có thể mô phỏng một loại sự cố hệ thống nào đó (chẳng hạn như “trang web không khả dụng, vui lòng đăng nhập sau”), để khách hàng không thấy nghi ngờ ngay lập tức. Đây là một trong những lý do tại sao ngân hàng thường bảo bạn rằng “... không bao giờ nhấp vào đường dẫn được gửi cho bạn (ví dụ: qua email) ...” vì đường dẫn có thể chứa một URL tương tự chuyển hướng đến một trang web ngân hàng mô phỏng nhằm mục đích giả mạo.
Từ góc độ người dùng, hãy luôn sử dụng một liên kết hoặc địa chỉ web hợp lệ cho ngân hàng của bạn. Nếu bạn dùng ứng dụng ngân hàng, hãy tải xuống từ nguồn chính thống, như Google Play hoặc App Store. Nếu điện thoại của bạn bị xâm nhập bởi phần mềm độc hại, nó cũng có thể giúp kẻ xấu tiếp cận điện thoại và sử dụng ứng dụng, xem tin nhắn văn bản bạn nhận được v.v., điều khiển điện thoại từ xa, chạy ứng dụng và trích xuất thông tin.
Tráo SIM để cướp quyền quản lý điện thoại của nạn nhân đã trở thành một mánh rất phổ biến trong những năm gần đây. Ở mánh này, kẻ xấu thường lừa nhà mạng phát hành SIM thay thế, liên kết với số điện thoại gốc. Mánh tráo SIM thường được dùng để nhắm tới các mục tiêu có địa vị cao hoặc nổi tiếng. Mánh này dễ thực hiện nếu kẻ xấu có được thông tin cá nhân về nạn nhân, có thể mua được từ thị trường web đen. Khi SIM được cấp mới, SIM gốc sẽ bị ngừng hoạt động.
Một kỹ thuật khác được dùng trong quá khứ là sao chép SIM. Theo đó, SIM sao chép có cùng số IMSI (số nhận dạng mạng của SIM), số xác thực (KI) và số điện thoại như SIM gốc. Kỹ thuật này khó thực hiện hơn từ khi nhà mạng nâng cấp lên 3G vì khôi phục KI tương đối khó khăn, tuy nhiên nhiều IMSI hay KI vẫn có thể bị lộ và bán trên các trang web đen. Vì vậy, nếu không may, IMSI của người nào đó bị đăng bán trên một trong những thị trường web đen.
Ngân hàng chỉ xác định ra việc SIM bị sao chép hay hoán đổi khi nhận ra ứng dụng của họ đã được sử dụng trên một loại thiết bị khác thường lệ. Tội phạm mạng dùng một điện thoại khác có thể thiết lập xác thực sinh trắc học với ứng dụng ngân hàng, dùng sinh trắc học của kẻ đó. Từ góc độ ứng dụng, công cụ này xác nhận đúng người đang truy cập ứng dụng vì nó phụ thuộc vào hệ thống sinh trắc học của điện thoại để xác nhận danh tính người dùng.
Với thủ đoạn sao chép SIM, kẻ xấu sẽ cần một số dữ liệu từ SIM gốc, sau đó ghi chúng vào một thẻ SIM mới có thể lập trình. Tiếp theo, tội phạm dùng một chiếc điện thoại với SIM sao chép để giả làm điện thoại của nạn nhân. Cả hai điện thoại sẽ đều hoạt động, nhưng mỗi lần chỉ có một máy chạy. Kẻ xấu có thể gửi tin nhắn từ một điện thoại khác giả danh nhà mạng yêu cầu nạn nhân tắt điện thoại để cập nhật mạng lưới. Khi nạn nhân tắt máy, kẻ xấu kết nối với ngân hàng, chuyển tiền và sau đó tắt điện thoại. Khi nạn nhân bật máy lên lại, thiết bị sẽ kết nối mạng lại mà không cho thấy bất kỳ dấu hiệu nào về việc vừa bị tấn công.
Từ góc độ của ngân hàng, việc ăn cắp có thể xảy ra vì một số lỗi từ phía khách hàng, có thể do họ rò rỉ quá nhiều thông tin cá nhân. Hệ thống ngân hàng thường chặt chẽ nhất có thể (mà hầu hết khách vẫn có thể sử dụng được), song tội phạm vẫn lách được do sự bất cẩn, tin tưởng và ngây thơ của người dùng.
Bài học ở đây là hãy coi điện thoại và SIM điện thoại của bạn có giá trị tương đương với tất cả số tiền bạn có trong tài khoản ngân hàng. Nhằm gia tăng bảo mật, bạn có thể sử dụng điện thoại hai SIM và chỉ sử dụng một SIM cho các giao dịch tài chính và SIM còn lại cho các hoạt động ít quan trọng hơn. Hãy cẩn thận không chia sẻ số điện thoại bảo mật và chi tiết thông tin cá nhân mà bạn dùng cho các giao dịch tài chính ở bất cứ đâu ngoại trừ ngân hàng. Hãy hết sức cẩn trọng khi tải các ứng dụng, đảm bảo rằng chúng đến từ những nguồn chính thống, có thể cân nhắc sử dụng một chiếc điện thoại bổ sung với một SIM riêng nếu bạn thực sự muốn dùng các ứng dụng kém an toàn hơn.
Xác thực trong các hoạt động mạng là một bước đầy thách thức, đặc biệt là với các giao dịch tài chính. Theo thời gian, việc xác thực đã tiến bộ lên rất nhiều, và hoạt động của tội phạm mạng cũng thế. Các chương trình đào tạo về công nghệ thông tin và an toàn thông tin tại nhiều trường đại học ở Việt Nam cung cấp cho sinh viên kỹ năng và kiến thức về điểm mạnh và yếu của các hệ thống xác thực hiện tại. Các bạn sẽ là những người tiên phong phát triển và sử dụng thế hệ công nghệ tiếp theo.
Tại Đại học RMIT, chúng tôi hiện đang triển khai các chuyên ngành chính và phụ về An toàn thông tin trong chương trình Cử nhân Công nghệ thông tin và các chương trình Thạc sĩ An toàn thông tin, cũng như Chứng chỉ sau đại học (từ học kỳ 1 năm 2025). Những chương trình này nhằm cung cấp cho sinh viên và các chuyên gia công nghệ thông tin kỹ năng cấp tiến trong thiết kế các hệ thống xác thực chặt chẽ cũng như chuyên môn pháp y trong hệ thống thông tin.
Tội phạm sẽ không bao giờ biến mất. Mỗi ổ khóa chúng ta tạo ra hoặc hệ thống chúng ta phát triển đều sẽ có điểm yếu, đặc biệt nếu người dùng không cẩn trọng. Động lực chiếm dụng tiền của người khác mạnh đến mức sẽ luôn có người tìm cách lách luật và đột nhập vào các hệ thống. Thế giới số mang lại nhiều lợi ích và thuận tiện, hãy cẩn thận và ý thức về những gì bạn chia sẻ cũng như tính an toàn của các thiết bị mà bạn đang sử dụng.
Tiến sĩ Jonathan Crellin (Giảng viên cấp cao, Chủ nhiệm chương trình Thạc sĩ An toàn thông tin, Đại học RMIT Việt Nam )
