Cảnh báo bị hack Mất trăm triệu trong tài khoản Techcombank

[cadichsongoku]

Thế mới nói là "ngân hàng đáng sợ" và nên tránh xa.

Thấy giới trẻ thích xài Techcom lắm

Có thể là trùng pass...

Trùng pass là thua rồi

 

[cadichsongoku]

Một câu chuyện rất đơn giản là do máy điện thoại của bạn. Đơn giản nhất là dòng Android có khả năng cho phép ứng dụng được cấp quyền ĐỌC, XÓA TIN NHẮN, LỊCH SỬ CUỘC GỌI, GHI ÂM CUỘC GỌI, QUYỀN CHUYỂN HƯỚNG CUỘC GỌI, TỰ ĐỘNG GHI LẠI MÀN HÌNH khi mà người dùng vô tình bấm nhầm cho phép quyền thực thi.
Hoặc đơn giản hơn là vô tình cho phép 1 app độc có quyền quản trị hệ thống điện thoại, và từ đó app độc có toàn quyền quyết định quyền cho các ứng dụng khác.

Để mình phân tích cho bạn usecase này.
Với 1 app có tính năng như mình nói rất mạnh mẽ là app Cerberus : https://www.cerberusapp.com/
app trên có các tính năng như mình đề cập ở trên và còn vô vàn tính năng khác như tự động ghi âm, ghi màn hình, ghi lại thao tác, tự động upload tài liệu trên máy đến 1 server, tự động phát hiện wifi mình đang kết nối, mật khẩu wifi là gì, ..v...v...

Đối tượng sẽ tạo 1 ứng dụng mã độc chèn mã thực thi vào app Cerberus.
Bạn vào trình duyệt web và vô tình tải về rồi cài đặt nó và không hề hay biết, vì bản chất Android cho phép cài app ngoài 1 cách cực kỳ dễ dàng. Khi đã cài rồi, ứng dụng sẽ đổi tên giống như 1 ứng dụng hệ thống mà mình ko hề hay biết, đồng thời tự xóa icon của ứng dụng để mình không thể phát hiện ra có điều gì bất thường.
Khi bạn thao tác đăng nhập vào app Techcombank, thì Cerberus sẽ kích hoạt tính năng ghi lại thông tin bàn phím và màn hình.
Từ đó hacker sẽ chiếm được tài khoản của bạn bao gồm Account, Password và mã OTP.

Bước thứ 2 sẽ kích hoạt tính năng trợ giúp từ xa của Cerberus, tính năng này Cerberus sẽ tự động khởi chạy ứng dụng Tech và thực thi các thao tác trợ giúp từ xa mà không cần đến người dùng phải làm. Mọi thứ sẽ automatic.
Đặc biệt Cerberus có quyền đọc và xóa tin nhắn thế nên là chủ sở hữu lại càng không thể phát hiện ra được bất kỳ một thông tin nào cả.

Vậy nên tài khoản giao có số tiền lớn thì mình khuyên bạn hạn chế tối đa xài thiết bị android nên dùng iOS để tránh rủi do về các vấn đề xâm nhập quyền riêng tư như trên. Nếu có dùng Android thì các app ngân hàng nên để vào trong phân vùng riêng tư của Android. Ví dụ như Knox của Samsung hoặc, Sanbox của Nokia,...v..., đây đều là các phân vùng chạy song song và độc lập với hệ thống Android, nên hạn chế tối đa được các ứng dụng động hại thực thi hệ thống trái phép.

Không riêng gì techcombank, VPBank, Agribank, Sacombank đều bị tương tượng với hình thức tấn công các điện thoại Android kiểu này
Và việc sử dụng ứng dụng Cerberus để lừa đảo chiếm đoạt tiền thì có rất nhiều các bài viết rồi.
Cerberus nó không phải là một ứng dụng xấu, nhưng nhiều người lạm dụng sai mục đích nên thành ra nó bị coi là xấu :V

Kiểu này chẳng khác gì ko nên xài mấy máy Android bạn nhỉ? dù đó có là flagship của SamSung...

 

[cadichsongoku]

Techcombank nó xài smart OTP mà nhỉ , khi ck thì cần nó smart OTP tức nghĩa là 1 mật khẩu khác để chuyển tiền đi và không phụ thuộc vào OTP sms nữa , mà password smart OTP này chỉ mình chủ tài khoản biết thì làm thế nào mà có thể CK đi nhỉ ? Hơi lạ !

Smart OTP này cơ chế giống SafeKey của ACB ko bạn nhỉ?

 

[heartseeker]

Mình đang dùng tcb gần 7 năm nay chưa bị sao cả và mình dùng android đã root hẳn hoi 😅, chắc tại tk chưa bao giờ có nổi 100tr😂.
Mình chia sẻ thêm về smart otp của tcb, theo như app là phải đăng ký/chuyển smart otp trên thiết bị mới thì mới dùng được. Bên cạnh đó có 1 cách chuyển tiền không cần dùng app là đăng nhập trên web thì chỉ cần sms otp, tài khoản internet banking thôi.

 

[kemmet]

Kiểu này chẳng khác gì ko nên xài mấy máy Android bạn nhỉ? dù đó có là flagship của SamSung...

Ý mình, nếu muốn dùng thì nên xài phần bảo mật của nó cho các ứng dụng ngân hàng ấy. Ví dụ như phân dùng Knox của Samsung chẳng hạn. Cho app bank vào đó, nó sẽ chạy biệt lập với toàn bộ các ứng dụng khác luôn, thì sẽ ko sợ bị các app độc nó tấn công.

 

[5Characters]

Mấy ông cứ tinh tướng iOS, Android các kiểu, cái nào cũng có rủi ro, hack không chỉ là đánh thẳng vào cái device đó. Quan trọng là phương thức nó hack như thế nào. Tất cả thiết bị bây giờ đều có phân quyền, các ông có thể vào cài đặt để tắt các quyền mà mình không muốn để hạn chế, đôi khi một số chức năng không chạy được nhưng không cần thiết thì cứ kệ nó. Khi đổi thiết bị thì nên hủy smart otp trên thiết cũ, cái mình không nghĩ ra nhưng việc các hacker nắm được quy cách hoạt động của các thao tác từ UI đến backend xử lý như thế nào, nó có thể trigger vào, đó là còn chưa kể đến vấn đề phát sinh từ người dùng.

Trước đây việc Bluezone của Nổ đổi tên thành PC Covid, API không bảo mật khiến ngta có thể truy cập đầy đủ thông tin đăng ký của người dùng được một số group thực hiện và share để cảnh báo, giờ thì bài đâu không thấy nữa và chìm xuồng luôn.

 

[newguy999]

Mấy ông cứ tinh tướng iOS, Android các kiểu, cái nào cũng có rủi ro, hack không chỉ là đánh thẳng vào cái device đó. Quan trọng là phương thức nó hack như thế nào. Tất cả thiết bị bây giờ đều có phân quyền, các ông có thể vào cài đặt để tắt các quyền mà mình không muốn để hạn chế, đôi khi một số chức năng không chạy được nhưng không cần thiết thì cứ kệ nó.

chả biết thằng nào tinh tướng.
Với người có kiến thức về IT thì dùng chả sao cả. Còn ví dụ 1 anh nông dân, công nhân, phụ hồ thì cứ cài và dùng.
Thấy phim xxx hay thì click vào xem. Thì ios chả hơn android à?
Còn đội đã biết tinh chỉnh cài đặt rồi thì dùng cái mẹ gì chả ok. =))

 

[newguy999]

Một câu chuyện rất đơn giản là do máy điện thoại của bạn. Đơn giản nhất là dòng Android có khả năng cho phép ứng dụng được cấp quyền ĐỌC, XÓA TIN NHẮN, LỊCH SỬ CUỘC GỌI, GHI ÂM CUỘC GỌI, QUYỀN CHUYỂN HƯỚNG CUỘC GỌI, TỰ ĐỘNG GHI LẠI MÀN HÌNH khi mà người dùng vô tình bấm nhầm cho phép quyền thực thi.
Hoặc đơn giản hơn là vô tình cho phép 1 app độc có quyền quản trị hệ thống điện thoại, và từ đó app độc có toàn quyền quyết định quyền cho các ứng dụng khác.

Để mình phân tích cho bạn usecase này.
Với 1 app có tính năng như mình nói rất mạnh mẽ là app Cerberus : https://www.cerberusapp.com/
app trên có các tính năng như mình đề cập ở trên và còn vô vàn tính năng khác như tự động ghi âm, ghi màn hình, ghi lại thao tác, tự động upload tài liệu trên máy đến 1 server, tự động phát hiện wifi mình đang kết nối, mật khẩu wifi là gì, ..v...v...

Đối tượng sẽ tạo 1 ứng dụng mã độc chèn mã thực thi vào app Cerberus.
Bạn vào trình duyệt web và vô tình tải về rồi cài đặt nó và không hề hay biết, vì bản chất Android cho phép cài app ngoài 1 cách cực kỳ dễ dàng. Khi đã cài rồi, ứng dụng sẽ đổi tên giống như 1 ứng dụng hệ thống mà mình ko hề hay biết, đồng thời tự xóa icon của ứng dụng để mình không thể phát hiện ra có điều gì bất thường.
Khi bạn thao tác đăng nhập vào app Techcombank, thì Cerberus sẽ kích hoạt tính năng ghi lại thông tin bàn phím và màn hình.
Từ đó hacker sẽ chiếm được tài khoản của bạn bao gồm Account, Password và mã OTP.

Bước thứ 2 sẽ kích hoạt tính năng trợ giúp từ xa của Cerberus, tính năng này Cerberus sẽ tự động khởi chạy ứng dụng Tech và thực thi các thao tác trợ giúp từ xa mà không cần đến người dùng phải làm. Mọi thứ sẽ automatic.
Đặc biệt Cerberus có quyền đọc và xóa tin nhắn thế nên là chủ sở hữu lại càng không thể phát hiện ra được bất kỳ một thông tin nào cả.

Vậy nên tài khoản giao có số tiền lớn thì mình khuyên bạn hạn chế tối đa xài thiết bị android nên dùng iOS để tránh rủi do về các vấn đề xâm nhập quyền riêng tư như trên. Nếu có dùng Android thì các app ngân hàng nên để vào trong phân vùng riêng tư của Android. Ví dụ như Knox của Samsung hoặc, Sanbox của Nokia,...v..., đây đều là các phân vùng chạy song song và độc lập với hệ thống Android, nên hạn chế tối đa được các ứng dụng động hại thực thi hệ thống trái phép.

Không riêng gì techcombank, VPBank, Agribank, Sacombank đều bị tương tượng với hình thức tấn công các điện thoại Android kiểu này
Và việc sử dụng ứng dụng Cerberus để lừa đảo chiếm đoạt tiền thì có rất nhiều các bài viết rồi.
Cerberus nó không phải là một ứng dụng xấu, nhưng nhiều người lạm dụng sai mục đích nên thành ra nó bị coi là xấu :V

Cảm ơn bác vì đã mở mang kiến thức.

 

[luvis]

chả biết thằng nào tinh tướng.
Với người có kiến thức về IT thì dùng chả sao cả. Còn ví dụ 1 anh nông dân, công nhân, phụ hồ thì cứ cài và dùng.
Thấy phim xxx hay thì click vào xem. Thì ios chả hơn android à?
Còn đội đã biết tinh chỉnh cài đặt rồi thì dùng cái mẹ gì chả ok. =))

) ng ta ko có kiến thức thì :-? android mặc định nó cũng khóa bootloader và chỉ cho phép các ứng dụng đc cài qua google playstore :-? và khi app đòi bất kỳ 1 quyền gì đều phải xin phép + các app đòi quyền quá cao sẽ có màn hình cảnh báo khá rõ ràng? Nên đừng đổ tội tại IOS hay android làm gì cả )

 

[tvthoi1984]

Trước đây việc Bluezone của Nổ đổi tên thành PC Covid, API không bảo mật khiến ngta có thể truy cập đầy đủ thông tin đăng ký của người dùng được một số group thực hiện và share để cảnh báo, giờ thì bài đâu không thấy nữa và chìm xuồng luôn.

Giờ ổng làm trưởng ban phát triển AI á, nổ đâi mà nổ

 

[Nhanchu]

Smart OTP này cơ chế giống SafeKey của ACB ko bạn nhỉ?

Bạn nào thích tiện lợi thì chấp nhận sát với rủi ro thôi.
Đã có nhiều tiền mở acc, cài app thì :
- Nên dùng app trên một điện thoại riêng biệt ko lướt web và ko dùng wifi công cộng.
- Không lưu mật khẩu trên app mà chịu khó nhập thủ công khi mở app.
- Ko nên dùng smart OTP mà chỉ dùng sms otp.

Dĩ nhiên với các cao thủ thì mình ko dám ý kiên.

 

[beem34]

có mấy vụ giả danh đe dạo này kia chuyển mấy tỷ qua tk kẻ gian còn ko lấy lại được ! vụ này ko đi tới đâu từ khi ngân hàng nó có tình lý nó hoàn lại ko thì ra công an cũng như ko. chỉ mấy vụ chuyên án như cướp ngân hàng này nọ còn bắt duoc thôi.

 

[chipsteps]

có mấy vụ giả danh đe dạo này kia chuyển mấy tỷ qua tk kẻ gian còn ko lấy lại được ! vụ này ko đi tới đâu từ khi ngân hàng nó có tình lý nó hoàn lại ko thì ra công an cũng như ko. chỉ mấy vụ chuyên án như cướp ngân hàng này nọ còn bắt duoc thôi.

nghe bác nói vậy thì quyền lợi khách hàng và rủi ro gửi tiền bank cao quá! thôi có bao nhiêu tiêu hết bấy nhiêu là an toàn nhất!

 

[5Characters]

chả biết thằng nào tinh tướng.
Với người có kiến thức về IT thì dùng chả sao cả. Còn ví dụ 1 anh nông dân, công nhân, phụ hồ thì cứ cài và dùng.
Thấy phim xxx hay thì click vào xem. Thì ios chả hơn android à?
Còn đội đã biết tinh chỉnh cài đặt rồi thì dùng cái mẹ gì chả ok. =))

Android nó khóa bootloader ông nội ạ, mặc định nó chặn cài apk ngoài, cài từ playstore thôi, ví dụ kiểu ông thì anh nông dân cũng không thể cài được mấy cái tào lao ngoài playstore đâu ông ạ.

Cũng chính vì mấy ông thích suy diễn ví dụ tào lao nên Android và iOS nó mới đẻ ra cái quản lý phân quyền để các ông có thể chọn quyền nào cho app nào đó. Chứ tinh chỉnh gì ghê gớm đâu mà ông bảo là biết tinh chỉnh thì dùng cái mẹ gì chẳng ok ?!

Tôi cũng chẳng thể hiện cái IT gì ở đây, tui chỉ sửa chữa cái quan niệm sai lầm của mấy ông, tui còn đưa ra cái giải pháp an toàn trong cái bài viết của mình, còn ông chỉ việc chăm chăm bàn ra và ví dụ tào lao rồi thêm mây cái icon để thể hiện quan điểm cợt nhả à ?!