Sáng
sớm nay, trên tường của đại diện nhóm hacker Rabbithax có đăng tải một
một vụ kỳ án mà thiệt hại về vật chất là không hề nhỏ có liên quan đến
Vietcombank và Đột Kích.
Để cùng hiểu thêm về Rabbithax mời các bạn theo dõi các bài viết sau:
Theo
đó, Hacker có tên thường gọi Vô Tâm - thuộc team Rabbithax đã tag phóng
viên Game8 và một số bạn bè để thông tin về vụ việc 45 triệu đồng trong
tài khoản Vietcombank (VCB) của người bạn cậu ta không cánh mà bay.
Theo
đó, Vô Tâm đăng ảnh thông báo tài khoản VCB của người bạn cậu ta đã
thanh toán thành công 45 triệu đồng để nạp mua một đơn vị tiền tệ trong
game.
Thủ
đoạn được mô tả là hacker kia (kẻ trộm tiền) lấy được quyền điều khiển
mà nhiều khả năng do nạn nhân tự đưa, nhờ quyền điều khiển Teamview, kẻ
trộm đã thanh toán hóa đơn Vcoin sau đó thực hiện giao dịch trót lọt 45
triệu đồng.
Kỳ án này ngay lập tức thu hút bạn bè và giới hacker cùng quan tâm, bàn luận:
Facebooker Phạm A.Q phỏng đoán:
1,
Login bằng account internetbanking của victim. Chiếm luôn cả mail xác
nhận của nạn nhân ( nghi vấn trùng pass mail và acc hoặc vét ở saved
pass). Sau khi login thì chủ động làm động tác thay đổi số điện thoại
nhận otp ở bank ( xác thực bằng mail ) để đẩy otp về SDT mới trong khi
nạn nhân không biết gì.
2,
XSS khi đến đoạn gửi otp về sđt. Cũng có thể đoạn này có bugs khi thủ
phạm edit dãy số đt gửi otp bằng số khác thì ngân hàng vẫn gửi OTP bình
thường. Lúc này victim cũng không biết gì."
Ngay sau khi Phạm A.Q comment, Vô Tâm cho hay:
-
Phía nạn nhân trình bày rằng kẻ trộm có quen biết (có thể bạn trên
mạng) teamview giúp nạn nhân. Sau đó có yêu cầu nạn nhân lắp SIM đã đăng
ký mã OTP với Vietcombank vào DCOM. Từ đây, rất có thể hắn đã có tài
khoản và mật khẩu đăng nhập Vietcombank từ trước đó sau đó làm treo máy
tính hoặc giả tình trạng treo máy tính để hình ảnh của máy bị đứng và
nạn nhân cũng không thể can thiệp được vào. Trong lúc máy treo "ảo", kẻ
trộm nghiễm nhiên thực hiện giao dịch nhờ mã OTP gửi thẳng về DCOM mà
hắn có thể nhận qua phần mềm quản lý DCOM trên máy tính.
Bên
cạnh đó, Facebooker có tên N.M.H cũng đưa ra dự đoán, rất có thể người
quen chính là thủ phạm. Mượn smartphone của nạn nhân có chứa APP
Vietcombank Smart OTP có tính năng sinh ra mã OTP mà không cần nhận tin
nhắn như tính năng SMS từ đó việc lấy cắp tiền là tương đối dễ dàng.
Ngoài
ra, giới hacker cũng không loại trừ một khả năng tương đối dễ bị phát
hiện nhưng vẫn có "gà" dính bẫy. Đó là làm trang web fake trang web
chính thức của Ngân hàng Ngoại Thương Việt Nam - Vietcombank, từ đó dụ
nạn nhân đăng nhập, thực hiện một giao dịch ảo để cướp mã OTP, tài
khoản, mật khẩu rồi đường hoàng đăng nhập tài khoản Vietcombank thực của
nạn nhân và cướp tiền.
Hiện
tại, chưa biết vụ việc sẽ diễn tiến ra sao, nhưng nhiều khả năng nạn
nhân chỉ có thể cầu cứu lực lượng cảnh sát công nghệ cao. Vì phía ngân
hàng thực hiện đúng hoàn toàn mọi nguyên tắc giao dịch. Có trách là
trách sự bất cẩn cũng như ngờ nghệch của nạn nhân mà thôi.
Diễn tiến tiếp theo của vụ việc sẽ liên tục được Game8 cập nhật và chuyển tải tới độc giả, mời các bạn đón đọc.
Lưu ý và 
0 nhận xét: