“Ngân hàng chúng tôi xin thông báo: hiện tại tình hình tài chính của ngân hàng đang gặp một số vấn đề, có thể sẽ phải... đóng cửa trong vòng 15 ngày tới. Mời quý khách hàng click vào link gửi kèm e-mail này để đọc thông tin chi tiết...". Thông báo "chết người" này hoàn toàn giả mạo, nhưng nó được gửi từ địa chỉ e-mail chính thức của một ngân hàng tạm gọi là X, và link đính kèm chứa trong đó chương trình trojan nhằm đánh cắp thông tin khách hàng.
Thật bất ngờ khi tài khoản e-mail đăng chính thức trên website của một ngân hàng lớn như X lại có mật khẩu quá đơn giản mà một hacker "tay mơ" cũng có thể lần ra. Điều gì sẽ xảy ra nếu nội dung e-mail trên không chỉ được hacker dùng để... test, mà có ý đồ phá hoại hoạt động ngân hàng, hay để khai thác thông tin từ các đối tác của X ? Một hacker tiết lộ thông tin: "Phần mềm Mdaemon 6.7.x mà ngân hàng X dùng làm webmail bị lỗi ở phần World Client. Không ít hacker VN hiện có thể sử dụng lỗi này để khống chế máy chủ. Hacker cũng có thể dùng tài khoản e-mail bị lộ mật khẩu trên để lên kế hoạch từng bước hack sâu vào hệ thống mạng của ngân hàng...".
Điều đáng lo là một số ngân hàng hiện vẫn chủ quan chưa "cài then chốt cửa" cẩn thận cho hệ thống mạng, website của mình. Ví dụ như trường hợp trang web của ngân hàng nhà nước Y: tài khoản FTP (File Transfer Protocol) của website có thể dễ dàng bị tìm thấy cho phép hacker sửa nội dung, thay đổi ứng dụng web để cài đặt backdoor (chương trình hacker cài vào để xâm nhập trở lại hệ thống dễ dàng hơn), khai thác cơ sở dữ liệu và deface (thay đổi nội dung) trang web... Thậm chí trang web của ngân hàng Z còn "giỡn mặt" hacker khi trang đăng nhập vào hệ thống admin, biên tập viên luôn... mở rộng cửa: không cần gõ tên người sử dụng, mật khẩu vẫn có thể vào nắm quyền biên tập trang web để sửa đổi tùy thích thông tin về tỷ giá vàng, ngoại tệ, lãi suất cho vay, lãi suất huy động... Các hacker khi muốn đánh cắp thông tin giao dịch ngân hàng thường nhắm đến khâu yếu nhất là khách hàng thông qua các hình thức như "Phishing" (tạo e-mail lừa khách hàng vào site ngân hàng giả); dùng keyloger/trojan để đánh cắp thông tin truy cập của khách hàng... Nhưng, mục tiêu lớn nhất vẫn là hệ thống mạng của ngân hàng.
Phải thừa nhận rằng các ngân hàng đều có ý thức về bảo mật cho hệ thống mạng, website của mình. Sau sự việc một ngân hàng lớn bị đánh cắp hơn 30 ngàn địa chỉ e-mail, tài khoản thẻ tín dụng của khách hàng cách đây 2 năm, các ngân hàng đã có những đầu tư chi phí lớn, mua nhiều máy móc hiện đại trang bị cho hệ thống phòng thủ mạng, hay thuê cả chuyên gia nước ngoài về thiết lập hệ thống bảo mật. Tuy nhiên, điều mà các ngân hàng cần lưu tâm là phải có chuyên viên bảo mật riêng cho hệ thống. Anh Nguyễn Hữu Giáp (người VN đầu tiên có bằng CEH-Certified Ethical Hacker, giảng viên về bảo mật Trường Đại học dân lập Văn Lang TP.HCM) nhận xét: "Các ngân hàng đầu tư quá lớn về máy móc thiết bị mà quên rằng việc tổ chức bảo mật là một tiến trình cần theo dõi xuyên suốt. Phải có nhân viên chuyên về bảo mật theo dõi suốt hoạt động của hệ thống, thường xuyên kiểm tra và cập nhật, sửa chữa ngay những lỗi bảo mật mới xuất hiện. Quan trọng hơn, chính các chuyên viên bảo mật này sẽ là người có những đánh giá để thiết lập các giải pháp bảo mật tốt nhất cho hệ thống mạng của mình, không phải đợi... hacker cảnh báo như hiện nay!".
Tố Tâm
Bình luận (0)