An toàn thông tin đối với các dịch vụ tài chính ngân hàng trên mạng viễn thông di động

11:00 | 13/01/2020 | HACKER / MALWARE

Các dịch vụ tài chính ngân hàng trên mạng di động như thông báo thay đổi số dư, tra cứu thông tin, lịch sử giao dịch,… đã mang tới rất nhiều tiện ích cho người dùng. Tuy nhiên, các dịch vụ này cũng tồn tại những nguy cơ mất an toàn thông tin do tin tặc khai thác lỗ hổng, từ đó lấy được thông tin tài chính của khách hàng và đánh cắp tiền khỏi tài khoản. Bài viết sẽ trình bày về những nguy cơ mất an toàn thông tin đối với dịch vụ này và đưa ra một số khuyến nghị cho các đơn vị cung cấp dịch vụ tài chính ngân hàng.

Một số vấn đề đối với các dịch vụ tài chính ngân hàng trên mạng di động

Hiện nay, mạng viễn thông di động ngày càng được tích hợp mạnh mẽ với các dịch vụ tài chính ngân hàng, từ việc thông báo thay đổi số dư, đến chủ động tra cứu thông tin về hạn mức tín dụng, lịch sử giao dịch, chuyển tiền, nạp thẻ, thanh toán hóa đơn,… đều có thể được thực hiện bằng SMS/USSD. Với các giao dịch, thủ tục quan trọng hơn, cần bảo vệ nâng cao như kích hoạt tài khoản, đặt lại mật khẩu, chuyển tiền, thì SMS/USSD sẽ được dùng để thực hiện mã xác thực 2 lớp OTP. Đây là các tiện ích mà người dùng đã quen thuộc khi sử dụng các dịch vụ như SMS Banking, Internet Banking, ví điện tử, ví di động, ví tiền ảo, chứng khoán trực tuyến,…

Tuy nhiên khi khảo sát thực tế, nhóm nghiên cứu Viettel đã nhận thấy một số vấn đề như sau:

- Nhiều tổ chức tài chính ngân hàng cho phép khách hàng truy vấn thông tin mà không cần mật khẩu. Điều này có nghĩa là chỉ cần nhắn tin SMS từ thuê bao di động đã được đăng ký trước, thì có thể tra cứu số dư của khách hàng đó và xem được thông tin, sao kê tài khoản.

- Một số dịch vụ SMS Banking không bật tính năng chống tấn công vét cạn (brute-force) giúp tin tặc có thể chuyển tiền thành công khỏi tài khoản người dùng.

- Đa phần mã PIN, mật khẩu của các dịch vụ SMS Banking, ví điện tử ở dạng dễ nhớ, chỉ gồm 6-8 ký tự và nhiều khi chỉ là số. Điều này mang lại sự thuận tiện cho khách hàng nhưng lại là lỗ hổng khiến tin tặc dễ dàng khai thác.

- Các dịch vụ tài chính ngân hàng phần lớn đang phụ thuộc vào khả năng bảo mật của các hạ tầng mạng viễn thông di động bên dưới. Có thể lấy ví dụ, đối với dịch vụ truy vấn thông tin qua SMS banking, việc xác thực hoàn toàn dựa trên khả năng xác thực thuê bao của nhà mạng viễn thông. Mật khẩu và OTP gửi đi qua SMS đa phần là không được mã hóa.

Những nguy cơ tin tặc tấn công đối với dịch vụ

Thực tế là không phải mạng di động nào cũng thực sự an toàn. Gần đây, tại các diễn đàn và hội thảo bảo mật lớn, cũng như trong nội bộ cộng đồng Hiệp hội Hệ thống thông tin di động toàn cầu (Global System for Mobile Communications - GSMA) và Liên minh Viễn thông Quốc tế (International Telecommunication Union - ITU), đã có nhiều cảnh báo về các lỗ hổng ở tầng ứng dụng viễn thông trong mạng báo hiệu giữa các nhà mạng di động trên toàn thế giới. Đây là các lỗ hổng mà tường lửa truyền thống, hệ thống IDS, IPS cho các hệ thống công nghệ thông tin thông thường và các mạng TCP/IP phổ biến không thể phát hiện và ngăn chặn được.

Khi khai thác được các lỗ hổng này, tin tặc có thể thực hiện được một số hoặc tất cả những tấn công sau và từ đó có thể lấy được thông tin tài chính hoặc đánh cắp tiền khỏi tài khoản, ví điện tử của người dùng:

- Tra cứu thông tin thuê bao: Tin tặc có thể lấy trộm được thông tin về vị trí, tình trạng tắt/mở máy của thuê bao để lựa chọn thời điểm tấn công vào tài khoản tài chính ngân hàng, hoặc làm cơ sở để thực hiện các tấn công lừa đảo phi kỹ thuật. Đây cũng là bước lấy các thông tin khác cần thiết của thuê bao để thực hiện các tấn công leo thang.

- Nghe trộm cuộc gọi hoặc đọc trộm tin nhắn SMS: Sau khi tấn công và thu thập được những thông tin cần thiết, tin tặc có thể lấy được mật khẩu mà người dùng nhắn đi qua SMS hoặc lấy được OTP từ SMS hoặc cuộc gọi xác thực.

- Giả mạo thuê bao: Nếu khai thác lỗ hổng thành công, tin tặc còn có thể giả mạo số điện thoại đã đăng ký dịch vụ tài chính ngân hàng để thực hiện giao dịch với các tổng đài dịch vụ.

Tin tặc có thể khai thác các lỗ hổng để đọc tin nhắn nhằm lấy mật khẩu SMS banking, lấy mã OTP xác thực giao dịch hoặc có thể giả mạo SMS/USSD từ ngân hàng để lừa lấy mật khẩu Internet Banking như Hình 1.

An toàn thông tin đối với các dịch vụ tài chính ngân hàng trên mạng viễn thông di động

Hình 1. Tin tặc giả mạo USSD từ ngân hàng để lừa lấy mật khẩu Internet Banking

Các tấn công trong thực tế đối với dịch vụ

Trong một báo cáo mới đây của ITU có tên “Báo cáo kỹ thuật về lỗ hổng mạng báo hiệu SS7 và các biện pháp xử lý cho các giao dịch của các dịch vụ tài chính”, khi thực hiện khảo sát tại Châu Âu, chỉ có chưa đến 30% nhà mạng có ý thức về nguy cơ bị tấn công và khoảng 5% nhà mạng đã triển khai giải pháp bảo vệ.

Vào tháng 01/2019, một số khách hàng tại ngân hàng Metro Bank, Anh đã bị đánh cắp tiền khỏi tài khoản. Metro Bank đã xác nhận sự cố và cho biết các tin tặc đã khai thác lỗ hổng trong mạng viễn thông để đánh cắp mã xác thực của các thuê bao gắn với các tài khoản ngân hàng. Trước đó vào tháng 05/2017, các thuê bao của nhà mạng O2-Telefonica tại Đức cũng đã bị tấn công tương tự và bị đánh cắp tiền khỏi tài khoản ngân hàng.

Tại Việt Nam, người dùng có thể tra cứu thông tin thuê bao của một số mạng chỉ với chi phí không đáng kể thông qua một dịch vụ trực tuyến hoàn toàn công khai. Chỉ cần nhập vào số điện thoại và hệ thống sẽ cho biết nhà mạng của thuê bao, số định danh thuê bao di động quốc tế IMSI để tấn công leo thang và tổng đài di động (MSC) đang phục vụ để tấn công leo thang hoặc biết vị trí mức quận huyện, tỉnh thành.

Tuy nhiên, khi nhập vào số thuê bao của nhà mạng Viettel, trang web sẽ không trả lại thông tin nào. Đó là nhờ hệ thống Telecom Anomaly Detection (TAD) mà Viettel đã nghiên cứu phát triển và triển khai vào mạng lưới từ năm 2015 để bảo vệ các thuê bao cũng như đảm bảo an toàn cho các dịch vụ tài chính ngân hàng trên đó. Hệ thống TAD giám sát toàn bộ lưu lượng báo hiệu ra/vào mạng Viettel, từ đó phát hiện và ngăn chặn các tấn công có thể phát sinh. Hiện tại, hàng tháng, hệ thống TAD đã ngăn chặn hàng trăm nghìn tấn công vào mạng lưới và thuê bao Viettel. Con số này đã giảm đi nhiều so với trước đây do nhiều tin tặc sau khi tấn công không thành công đã từ bỏ mạng Viettel. Năm 2015, khi mới triển khai, hệ thống TAD còn ghi nhận thời gian cao điểm lên đến hơn 50.000 tấn công chỉ trong vòng 1 giờ.

Một số khuyến nghị đối với các đơn vị cung cấp dịch vụ tài chính ngân hàng

Đối với các đơn vị cung cấp dịch vụ tài chính ngân hàng, nhóm nghiên cứu đưa ra một số khuyến nghị như sau:

- Cho phép khách hàng được lựa chọn phương thức bảo vệ các truy vấn thông tin bằng mật khẩu và mã PIN, hay thậm chi OTP.

- Đảm bảo tính năng chống tấn công vét cạn được bật.

- Giới hạn hạn mức chuyển tiền cho các dịch vụ ưu tiên sự thuận tiện nên đã giảm bớt tính bảo mật.

- Cảnh báo khách hàng phải bảo vệ mật khẩu của mình, không dùng hay để lộ mật khẩu của dịch vụ này trên một kênh dịch vụ khác. Ví dụ, không gửi mật khẩu Internet Banking khi dùng SMS/USSD Banking hay Telephone Banking.

- Sử dụng cảnh báo đa kênh. VD, có thể cảnh báo qua cả SMS và email.

- Xem xét việc sử dụng các OTP token cứng cho các giao dịch lớn hay cho các khách hàng quan trọng, đặc biệt khi nghi ngờ khách hàng đang sử dụng kênh truyền không đảm bảo an toàn.

- Triển khai các hệ thống phát hiện bất thường để nhanh chóng phát hiện ra các sự cố nhằm giảm thiểu hoặc xử lý hoàn toàn các thiệt hại có thể phát sinh. Các đơn vị có thể hợp tác với các nhà mạng để phát triển và triển khai các hệ thống này.

Nguyễn Văn Thành - Viettel

‹ › ×

Tin liên quan

An toàn hệ thống viễn thông di động toàn cầu

13:34 | 26/11/2012

Hệ thống viễn thông di động toàn cầu (Universal Mobile Telecommunications Systems - UMTS) là hệ thống thế hệ thứ ba (3G - Third Generation) của Châu Âu. Vai trò chính của UMTS là cùng với IMT-2000 tạo ra một cơ sở hạ tầng cho thông tin di động, bằng việc phân phối nội dung số và các dịch vụ truy nhập thông tin, bổ sung cho thông tin thoại thông thường trong môi trường vô tuyến.

Ứng dụng vẫn là hướng tấn công thiết bị di động phổ biến của tin tặc

08:00 | 27/02/2020

Theo Pradeo Labs, tấn công các ứng dụng di động là hướng tấn công chiếm gần 80% các cuộc tấn công nhắm vào thiết bị di động. Theo sau đó là các cuộc tấn công thông qua mạng và hệ điều hành.

Viettel thực hiện cuộc gọi 5G đầu tiên tại Việt Nam

08:00 | 21/06/2019

Nhà mạng Viettel cùng với Tập đoàn Ericsson Thụy Điển vừa thực hiện kết nối chính thức lần đầu tiên trên mạng 5G di động tại Việt Nam. Hoạt động nằm trong chương trình thử nghiệm kỹ thuật do Viettel thực hiện, nhằm đánh giá mọi mặt về khả năng ứng dụng công nghệ thực tiễn tại Việt Nam.

Xu hướng tấn công mạng vào ngân hàng và các tổ chức tài chính

08:00 | 09/10/2020

Theo dự báo của các chuyên gia, tấn công có chủ đích vẫn là xu thế về an ninh mạng trong năm 2020. Đặc biệt, ngân hàng và các tổ chức tài chính sẽ là mục tiêu hấp dẫn của giới tội phạm mạng, nhằm đánh cắp dữ liệu và tống tiền người dùng.

Viettel chính thức cung cấp 4G và tuyên bố ra gói cước rẻ hơn 3G tới 60%

16:48 | 18/04/2017

Với 36.000 trạm thu phát sóng, Viettel là nhà mạng đầu tiên trên thế giới có vùng phủ 4G rộng khắp toàn quốc ngay khi bắt đầu cung cấp dịch vụ. Viettel cho biết sẽ cung cấp các gói cước 4G đa dạng theo từng đối tượng khách hàng với mức giá dự kiến rẻ hơn 3G từ 40 - 60%

Những vấn đề về an toàn, an ninh mạng 4G/LTE

08:00 | 12/03/2020

Hệ thống thông tin di động 4G/LTE đã được triển khai và ứng dụng hiệu quả trong thực tế. Bằng việc cung cấp dịch vụ tốt hơn, sử dụng linh hoạt các băng tần hiện có và băng tần mới, 4G/LTE cho phép truyền tải dữ liệu với tốc độ tối đa trong điều kiện lý tưởng lên tới 1.5Gbps [1]. Tuy nhiên, việc đảm bảo an ninh mạng khi triển khai thế hệ mạng thứ tư này vẫn đang là bài toán cần nhiều lời giải. Bài báo dưới đây sẽ trình bày những vấn đề về an toàn, an ninh mạng 4G/LTE.

Dự đoán các mối đe dọa đối với hệ thống công nghệ 5G năm 2020

10:00 | 11/05/2020

Sự gia tăng mạnh mẽ về số lượng và tốc độ truyền của các thiết bị được kết nối sẽ mở rộng phạm vi và khuếch đại các mối đe dọa đối với hệ thống 5G.

Tin cùng chuyên mục

Khám phá Trojan ngân hàng Coyote

07:00 | 11/03/2024

Mới đây, các nhà nghiên cứu của hãng bảo mật Kaspersky (Nga) đã phát hiện một Trojan ngân hàng tinh vi mới đánh cắp thông tin tài chính nhạy cảm có tên là Coyote, mục tiêu là người dùng của hơn 60 tổ chức ngân hàng, chủ yếu từ Brazil. Điều chú ý là chuỗi lây nhiễm phức tạp của Coyote sử dụng nhiều kỹ thuật tiên tiến khác nhau, khiến nó khác biệt với các trường hợp lây nhiễm Trojan ngân hàng trước đó. Phần mềm độc hại này sử dụng trình cài đặt Squirrel để phân phối, tận dụng NodeJS và ngôn ngữ lập trình đa nền tảng tương đối mới có tên Nim làm trình tải (loader) trong chuỗi lây nhiễm. Bài viết này sẽ phân tích hoạt động và khám phá khả năng của Trojan ngân hàng này.

Phân tích phần mềm độc hại mới đánh cắp ví tiền điện tử trong các ứng dụng bẻ khóa trên macOS

14:00 | 22/02/2024

Các nhà nghiên cứu của hãng bảo mật Kaspersky đã phát hiện ra một dòng phần mềm độc hại mới được phân phối một cách bí mật thông qua các ứng dụng, phần mềm bẻ khóa (crack), nhắm mục tiêu vào ví tiền điện tử của người dùng macOS. Theo các nhà nghiên cứu, mối đe dọa mới này có những tính năng nổi trội hơn so với việc cài đặt trái phép Trojan trên các máy chủ proxy đã được phát hiện trước đó.

Giải mã biến thể mới của phần mềm độc hại Bandook

09:00 | 29/01/2024

Các nhà nghiên cứu đến từ hãng bảo mật Fortinet (Mỹ) phát hiện một biến thể mới của Trojan truy cập từ xa có tên Bandook đang được phân phối thông qua các cuộc tấn công lừa đảo nhằm mục đích xâm nhập vào các máy tính Windows. Bài viết sẽ phân tích hành vi của Bandook, cung cấp thông tin chi tiết về các thành phần được sửa đổi trong biến thể mới và giải mã một số ví dụ về cơ chế giao tiếp máy chủ ra lệnh và điều khiển (C2) của phần mềm độc hại này.

Hãng viễn thông lớn nhất Ukraine bị tấn công mạng

15:00 | 18/12/2023

Ngày 12/12, Kyivstar - nhà mạng lớn nhất Ukraine hứng chịu một cuộc tấn công mạng lớn, khiến hàng triệu người dùng mất kết nối di động và Internet. Đáng chú ý sự cố gây ảnh hưởng đến hệ thống cảnh báo không kích của nước này.