Hacker tấn công ngân hàng rút 10 tỷ, tiền trong tài khoản trước những rủi ro

Hacker tấn công hệ thống ngân hàng

Xu hướng tấn công của tội phạm mạng nhắm đến lĩnh vực ngân hàng, tài chính vì mục tiêu chiếm đoạt tiền đang ngày càng gia tăng. Nhiều vụ hacker tấn công hệ thống ngân hàng nhằm chiếm đoạt tiền đã xảy ra.

Điển hình là vụ việc hacker ở TP.HCM xâm nhập hệ thống ngân hàng chiếm đoạt 10 tỷ đồng.

Theo cơ quan điều tra, ngày 23/11/2022, Dương Minh Tâm (27 tuổi, ngụ quận Tân Bình, TP.HCM) đã mở tài khoản thanh toán tại một ngân hàng ở TP.HCM. Sau đó, bằng khả năng của mình, Tâm đã can thiệp trái phép vào hệ thống thông tin tài chính của ngân hàng này, chỉnh sửa mã lệnh tài sản cầm cố là sổ tiết kiệm trị giá 1 triệu đồng thành trên 51.244 tỷ đồng. Từ đó, Tâm thực hiện các thao tác cầm cố số tiền tiết kiệm có giá trị "khủng" này để rút tiền.

Cụ thể, từ ngày 23/5-9/6/2023, Tâm đã 7 lần thực hiện việc rút tiền từ hệ thống ngân hàng trên, chuyển về tài khoản với tổng số tiền trên 10 tỷ 500 triệu đồng. Sau đó, Tâm chuyển trả ngược hơn 500 triệu đồng, còn lại chiếm đoạt khoảng 10 tỷ đồng. Tâm rút ra tiêu xài 6,5 tỷ đồng, còn khoảng 3,5 tỷ đồng chưa kịp rút thì bị ngân hàng phát hiện, phong tỏa tài khoản, đồng thời trình báo cơ quan công an.

Hay mới đây, Viện kiểm sát nhân dân TP. Hà Nội hoàn tất cáo trạng truy tố nhóm bị can trong vụ án sử dụng mạng máy tính chiếm đoạt tài sản. Nhờ sự tiếp tay của đại lý nhà mạng, nhóm của Phạm Thu Diệu (SN 1991, ở Thanh Hóa) lấy được thông tin của chủ sim điện thoại rồi làm lại CMND/CCCD để "hack" tài khoản ngân hàng, chiếm đoạt hơn 6,5 tỷ đồng...

Trước đó, vào đầu tháng 6/2022, Cục An ninh mạng và phòng, chống tội phạm công nghệ cao, Bộ Công an đã phát hiện một số nhóm tội phạm người nước ngoài tấn công, xâm nhập vào hệ thống ngân hàng thương mại lớn của Việt Nam để đánh cắp, chiếm đoạt tiền trong tài khoản. Thủ đoạn của các đối tượng là rà quét lỗ hổng bảo mật, tấn công leo thang đặc quyền, truy cập trái phép vào hệ thống quản trị của máy chủ tại các ngân hàng để rút tiền trong tài khoản của khách hàng.

Tại tọa đàm "Triển khai Nghị định số 13/2023/NĐ-CP của Chính phủ về bảo vệ dữ liệu cá nhân" ngày 29/6, ông Triệu Mạnh Tùng - Phó Cục trưởng Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05), Bộ Công an - cho biết, với lĩnh vực ngân hàng, bên cạnh tổ chức tin tặc cá nhân bên ngoài tấn công còn có cả cán bộ ngân hàng tham gia mua bán. Cụ thể, một số ngân hàng bị tấn công với những vụ phức tạp như chuyển tiền ra khỏi hệ thống ngân hàng. Ngoài ra, tin tặc lấy cơ sở thông tin khách hàng, toàn bộ thông tin khách hàng khai báo..

Theo ông Tùng, các ngân hàng phải làm sao nâng cao bảo mật, kiểm soát kỹ, an ninh an toàn hệ thống thông tin, phát hiện sớm xử lý việc tấn công, để không để lọt thông tin ngân hàng; đồng thời cũng nâng cao quy trình kiểm soát cán bộ của mình.

Cảnh báo về thủ đoạn này, Thượng tá Nguyễn Hữu Bình đề nghị, các ngân hàng, nhà mạng phải nâng cao, tăng cường công tác bảo mật thông tin khách hàng, có các giải pháp kiểm soát chặt chẽ việc mở, đăng ký dịch vụ tài khoản ngân hàng, việc đăng ký, kích hoạt sử dụng thuê bao điện thoại; chú trọng công tác tập huấn cho cán bộ, nhân viên về kỹ năng phòng chống tội phạm trong lĩnh vực có liên quan.

Cảnh giác những chiêu lừa hack tài khoản

Thời gian gần đây, dù các đơn vị chức năng cũng như các ngân hàng liên tục đưa ra cảnh báo về những chiêu trò lừa đảo chiếm đoạt tiền trong tài khoản ngân hàng song vẫn có không ít người bị sập bẫy khi thực hiện một số giao dịch tài chính, ngân hàng.

Cục Cạnh tranh và Bảo vệ người tiêu dùng, Bộ Công Thương đã nêu ra 6 chiêu lừa hack tài khoản phổ biến khi giao dịch ngân hàng để người dân cảnh giác.

Đầu tiên là lừa đảo qua thư điện tử. Đối tượng lừa đảo thường mạo danh cán bộ ngân hàng đề nghị người dùng cung cấp thông tin cá nhân, thông tin tài khoản để đăng nhập lại tài khoản đã bị khóa hoặc để nhận một khoản tiền thưởng lớn hoặc đề nghị nộp phí để nhận thưởng. Từ đó, sẽ đánh cắp thông tin cá nhân/tài khoản và thực hiện giao dịch nhằm chiếm đoạt tiền trong tài khoản của người tiêu dùng.

Thủ đoạn nữa là kẻ gian giả mạo tên ngân hàng gửi tin nhắn vào thời điểm nhà băng không hoạt động (đêm, rạng sáng, ngày cuối tuần, dịp lễ tết) trong đó có chứa link giả với nội dung thông báo nâng cấp hệ thống, thông báo trúng thưởng, yêu cầu người tiêu dùng truy cập vào các website/đường link giả gần giống như website ngân hàng, yêu cầu nhập tài khoản, mật khẩu OTP giao dịch qua Internet Banking, Mobile Banking trên website giả mạo… rồi chiếm đoạt toàn bộ tiền từ tài khoản.

Chiêu thức nữa là các đối tượng sử dụng các dịch vụ có chức năng giả mạo đầu số điện thoại, giả mạo số điện thoại, mạo danh cán bộ của cơ quan chức năng để thực hiện hành vi lừa đảo, gây sức ép, đe dọa người tiêu dùng về việc có dính líu đến các vi phạm hình sự, sau đó, yêu cầu người tiêu dùng phải chuyển một số tiền lớn vào một tài khoản do các đối tượng này cung cấp.

Chiêu thức thứ tư là lừa đảo qua website giả mạo. Kẻ lừa đảo yêu cầu người tiêu dùng truy cập vào các website giả gần giống như website ngân hàng, yêu cầu nhập tài khoản, mật khẩu OTP giao dịch qua Internet Banking, Mobile Banking trên địa chỉ giả mạo. Sau đó, đối tượng thực hiện giao dịch chuyển toàn bộ tiền từ tài khoản của người tiêu dùng.

Chiêu thức lừa đảo thứ 5 là thông qua mạng xã hội. Các đối tượng sẽ chiếm quyền điều khiển tài khoản mạng xã hội như Facebook, Zalo… của người dùng, để thực hiện hành vi lừa đảo, yêu cầu người thân, bạn bè của người dùng thực hiện các giao dịch tài chính.

Cuối cùng là qua giao dịch thương mại điện tử. Các đối tượng mở các trang cá nhân bán hàng online, order hàng, quảng cáo, rao bán các mặt hàng, yêu cầu người tiêu dùng chuyển khoản đặt cọc. Sau khi nhận cọc hay được chuyển khoản trước để đặt mua hàng, đối tượng không giao hàng hoặc giao hàng giả, hàng kém chất lượng.

 Cục Cạnh tranh và Bảo vệ người tiêu dùng lưu ý người dân không nên cung cấp thông tin về các dịch vụ ngân hàng số gồm tài khoản đăng nhập, mật khẩu, mã xác thực (OTP) hoặc số thẻ tín dụng, cho bất kỳ cá nhân, tổ chức nào mà chưa xác định được rõ mối quan hệ; không truy cập các đường link, liên kết trong tin nhắn/email lạ hoặc không rõ nguồn gốc; không thực hiện giao dịch theo yêu cầu của các đối tượng lạ khi nhận được điện thoại, tin nhắn có nội dung liên quan đến giao dịch ngân hàng (truy cập vào link lạ, chuyển tiền qua ngân hàng, nạp thẻ, rút tiền, …); không truy cập hoặc nhập thông tin tên truy cập, mật khẩu đăng nhập Internet Banking/Mobile Banking, mã xác thực OTP, số tài khoản… của người tiêu dùng vào trang web/liên kết khác với trang web hay đường dẫn Internet Banking của ngân hàng; không cài đặt các ứng dụng chưa được xác thực trên kho ứng dụng đặc biệt là theo yêu cầu của đối tượng lạ; không cho mượn hoặc cho thuê thông tin cá nhân để mở thẻ, tài khoản ngân hàng...