Bộ CA c.ảnh b.áo th.ủ đ.oạn mới của h.acker nhằm ch.iếm đ.oạt t.ài s.ản c.á nh.ân, doanh ngh.iệp

Chia sẽ

Theo Bộ CA, bằng việc t.ấn c.ô.ng qua lỗ hổng b.ảo m.ật, h.acker chiếm quyền k.iểm s.oát hàng trăm website, đ.á.nh c.ắp dữ liệu hoặc xâm nhập tr.ái ph.ép hệ thống máy chủ của một số doanh ngh.iệp kinh doanh ví điện t.ử, từ đó th.ực h.iện cá.c giao dịch mua bá.n, ch.iếm đ.oạt nhiều tỷ đồng.

Bộ CA c.ảnh b.áo th.ủ đ.oạn mới của h.acker nhằm ch.iếm đ.oạt t.ài s.ản cá.c c.á nh.ân, doanh ngh.iệp | Bộ CA: h.acker L.ợi d.ụng lỗ hổng website để t.ấn c.ô.ng chiếm quyền điều khiển, l.ừa ch.iếm đ.oạt t.ài s.ản c.á nh.ân, doanh ngh.iệp

Bộ CA nh.ận định, phương thức, th.ủ đ.oạn ph.ạm t.ội mới được th.ực h.iện bởi cá.c đ.ối t.ượng là ng.ười có trình độ cao về CNTT và có sự câu kết, ph.ối h.ợp chặt chẽ với đ.ối t.ượng ng.ười nước ngoài trong quá trình th.ực h.iện hành v.i ph.ạm t.ội (Ảnh minh họa)

Nhằm n.âng cao sự cảnh giá.c của cá.c t.ổ ch.ức, c.á nh.ân và doanh ngh.iệp, tại chuyên mục “c.ảnh b.áo t.ội ph.ạm” mới mở tr.ên c.ổng th.ô.ng tin điện t.ử boc.ongan.gov.vn, Bộ CA đã th.ô.ng báo về th.ủ đ.oạn mới của cá.c h.acker nhằm ch.iếm đ.oạt t.ài s.ản của cá.c c.á nh.ân và doanh ngh.iệp.

Bộ CA cho biết, vừa qua, cá.c đ.ơn v.ị ngh.iệp v.ụ thuộc Bộ đã kịp thời ph.át h.iện, ng.ăn ch.ặn th.ủ đ.oạn ph.ạm t.ội mới của một số đ.ối t.ượng sử d.ụng c.ô.ng nghệ cao nhằm chiếm đoạn t.ài s.ản của cá.c t.ổ ch.ức, c.á nh.ân, doanh ngh.iệp tại Việt n.am.

th.ủ đ.oạn cá.c đ.ối t.ượng thường sử d.ụng là bằng việc t.ấn c.ô.ng xâm nhập qua lỗ hổng b.ảo m.ật của cá.c website, cá.c đ.ối t.ượng đã chiếm quyền k.iểm s.oát admin của hàng trăm trang web, đ.á.nh c.ắp dữ liệu th.ô.ng tin hoặc xâm nhập tr.ái ph.ép hệ thống máy chủ của một số doanh ngh.iệp kinh doanh loại hình dịch v.ụ ví điện t.ử, r.ồi từ đó th.ực h.iện cá.c giao dịch mua bá.n, ch.iếm đ.oạt nhiều tỷ đồng.

Đá.ng chú ý, theo Bộ CA, với những website kh.ô.ng thể tự t.ấn c.ô.ng xâm nhập được, đ.ối t.ượng trong v.ụ á.n đã thuê cá.c h.acker nước ngoài rà quét lỗ hổng website, t.ấn c.ô.ng chiếm quyền điều khiển, để đ.ối t.ượng sử d.ụng vào mục đích ch.iếm đ.oạt dữ liệu.Sau khi chiếm được quyền điều khiển tài khoản quản trị admin của cá.c website, cá.c đ.ối t.ượng tạo khống số dư cho một số tài khoản tạo ra trước đó và sử d.ụng để mua th.ô.ng tin thẻ cào cá.c loại.

Quá trình tiêu thụ thẻ cào Tr.ộm c.ắp được, cá.c đ.ối t.ượng sử d.ụng nhiều số điện thoại “rá.c” l.iên l.ạc với cá.c đại lý mua bá.n thẻ cào, cá.c đại lý “g.ạch thẻ” để bá.n nhanh với tỷ lệ chiết khấu cao hơn so với giá chung trên thị Tr.ường. Sau đó tiền sẽ được cá.c đại lý chuyển về nhiều tài khoản ng.ân hàng khá.c nhau do cá.c đ.ối t.ượng nắm giữ. Cá.c tài khoản ng.ân hàng này được cá.c đ.ối t.ượng mua l.ại tr.ôi n.ổi trên thị Tr.ường.

Để trá.nh sự ph.át h.iện của cơ qu.an ch.ức năng, quá trình rút tiền từ cá.c tài khoản ng.ân hàng, cá.c đ.ối t.ượng đã sử d.ụng nhiều th.ủ đ.oạn để che gi.ấu nh.ận d.ạng ngoại hình, đi rút tiền mặt tại cá.c máy ATM của nhiều ng.ân hàng trên cá.c địa b.àn khá.c nhau.

Bộ CA nh.ận định, đây là loại t.ội ph.ạm có phương thức, th.ủ đ.oạn ph.ạm t.ội mới, điển hình của t.ội ph.ạm c.ô.ng nghệ cao với cá.c đặc trưng như: cá.c đ.ối t.ượng là ng.ười có trình độ cao về CNTT, sử d.ụng cá.c c.ô.ng cụ chuyên d.ụng để rà quét lỗ hổng, t.ấn c.ô.ng xâm nhập tr.ái ph.ép hàng trăm website; có sự câu kết, ph.ối h.ợp chặt chẽ với đ.ối t.ượng ng.ười nước ngoài trong quá trình th.ực h.iện hành v.i ph.ạm t.ội; cá.c đ.ối t.ượng có sự chuẩn b.ị kỹ lưỡng, b.ài bản và sử d.ụng nhiều th.ủ đ.oạn tinh vi để che gi.ấu nhân thân, lý lịch, địa điểm th.ực h.iện h.ành v.i v.i ph.ạm ph.áp l.uật…

Bộ CA khuyến cáo cá.c t.ổ ch.ức, c.á nh.ân, doanh ngh.iệp cần n.âng cao cảnh giá.c, tăng cường b.ảo m.ật th.ô.ng tin trên cá.c website, e.mail và thiết b.ị điện t.ử… x.á.c lập quy trình đăng nhập nhiều bước, nh.ận c.ảnh b.áo sớm, kh.ô.ng để cá.c đ.ối t.ượng L.ợi d.ụng, có những h.ành v.i v.i ph.ạm ph.áp l.uật.

Trao đổi với ICTnews, ô.ng Trần Quang ch.iến, CEO c.ô.ng ty a.n t.oàn th.ô.ng tin CyStack nh.ận định, lỗ hổng b.ảo m.ật trong cá.c ứng d.ụng web, mobile, api hay cá.c hệ thống dịch v.ụ, máy chủ là ng.uyên nh.ân chính d.ẫn đ.ến những cuộc t.ấn c.ô.ng xâm nhập, chiếm quyền điều khiển để l.ừa ch.iếm đ.oạt t.ài s.ản của cá.c c.á nh.ân, doanh ngh.iệp mà Bộ CA mới c.ảnh b.áo.

Theo ô.ng ch.iến, cá.c hệ thống này rất ph.ức t.ạp nên để ph.át h.iện được tất cả cá.c lỗ hổng là điều gần như kh.ô.ng thể, mà cá.c doanh ngh.iệp chỉ có thể cố gắng tìm được nhiều nhất vấn đề để giảm thiểu rủi ro.

Mặt khá.c, hàng trăm thậm chí là nhiều hơn cá.c h.acker cũng đang cố gắng t.ìm k.iếm cá.c lỗ hổng để t.ấn c.ô.ng và chỉ cần kh.ai thá.c thành c.ô.ng 1 lỗ hổng h.acker cũng có thể tạo ra cá.c t.ấn c.ô.ng ngh.iêm trọng. “Dưới góc độ là một ng.ười từng có 5 năm làm kỹ sư a.n n.inh m.ạng, tôi nghĩ cá.c nhà phát triển pH.ải qu.an tâm đến vấn đề lỗ hổng b.ảo m.ật một cá.ch thực sự ngh.iêm túc, kiểm thử b.ảo m.ật – Pentest để phát triển cá.c lỗ hổng b.ảo m.ật song song với quá trình phát triển cá.c tính năng”, CEO CyStack Trần Quang ch.iến chia sẻ.

Ông ch.iến cho rằng, một phương á.n mà cá.c ứng d.ụng lớn trên thế giới và một số ứng d.ụng ở Việt n.am đang sử d.ụng để giảm thiểu rủi ro này là th.ô.ng qua cá.c cộng đồng, nền tảng chuyên gia b.ảo m.ật (h.acker mũ trắng) để cùng t.ìm k.iếm cá.c lỗ hổng b.ảo m.ật và khắc phục trước khi b.ị L.ợi d.ụng. Nói cá.ch khá.c, hàng trăm h.acker tìm cá.ch t.ấn c.ô.ng thì chúng ta cũng cần một l.ực l.ượng tương tự để chống l.ại bằng cá.ch tìm được cá.c vấn đề b.ảo m.ật sớm hơn.

Với ng.ười dùng, chuyên gia CyStack khuyến nghị cần chọn cá.c ứng d.ụng tin cậy, đạt được một số tiêu chuẩn b.ảo m.ật điển hình như PCI DSS, hay cá.c ứng d.ụng có triển kh.ai cá.c chương trình Bug Bounty. Cùng với đó, khi sử d.ụng cá.c ứng d.ụng, ng.ười dùng còn cần phòng trá.nh việc b.ị đ.á.nh c.ắp tài khoản; có thể kể đến một số sơ suất d.ẫn đ.ến việc b.ị m.ất tài khoản như: đăng nhập tài khoản nhầm vào trang l.ừa đ.ảo, tải nhầm apps l.ừa đ.ảo, đăng nhập trên máy tính/mobile nh.iễm mã đ.ộc…

M.T

Nguồn: infonet.vn

Chia sẽ