"Bật mí" cách “chôm” 14 triệu USD của ngân hàng

Câu chuyện của giám đốc điều hành một công ty kiểm tra hệ thống an ninh của các ngân hàng được đăng tải trên CNN ngày 15/5 vừa qua đang làm dậy sóng dư luận.

Anh Nish Bhalla là Giám đốc điều hành của Security Compass, một công ty kiểm tra hệ thống an ninh của các ngân hàng, hãng bán lẻ, công ty năng lượng và các tổ chức khác có các số liệu nhạy cảm.

Phiếu thông tin tài khoản rút 14 triệu USD của Bhalla tại máy ATM

Khách hàng của Bhalla bao gồm cả chi nhánh ngân hàng tại Mỹ và cũng là mục tiêu tấn công của anh ta vào năm 2010. Làm thế nào để đánh cắp 14 triệu USD từ ngân hàng? Câu chuyện tưởng như mơ, vậy mà Bhalla chỉ giải quyết trong 4 bước đơn giản.

Bhalla kể lại, đầu năm 2010, anh ngồi trước máy tính nhằm mục đích tấn công vào mạng lưới một ngân hàng để ăn cắp một khoản tiền lớn. Đây không phải là một vụ cướp thông thường nhưng lại đơn giản hơn mọi người nghĩ. Nhóm trộm cắp “kỷ lục” 45 triệu USD của ngân hàng gây xôn xao dư luận gần đây cũng đã sử dụng cách tấn công tương tự để “tạo ra” tiền ở khắp nơi.

Bước một: Truy cập

Nếu gọi Bhalla là “tên trộm ảo” sử dụng máy tính thì anh ta có lợi thế hơn nhiều so với những “tên trộm thực”. Khách hàng của anh ta tại một chi nhánh ngân hàng bên Mỹ đã cho đường dẫn để đột kích hệ thống dữ liệu, truy cập vào mạng lưới nội bộ của họ. Nhưng thực tế thì có một số cách kẻ trộm chỉ cần tiến hành vài thủ thuật khá đơn giản để truy cập vào. Thậm chí có thể truy cập bằng cách đơn giản là đăng nhập vào mạng không dây wifi của ngân hàng đó – một tiện ích mà ngày càng nhiều ngân hàng sử dụng như một dịch vụ cho khách hàng, Bhalla cho biết.

Một khi bạn sử dụng mạng wifi của ngân hàng, các mạng nội bộ và bên ngoài thường xuyên không đủ tách biệt. Vì thế rất dễ đánh lừa các máy tính khác của ngân hàng rằng máy tính bạn đang dùng để đột nhập cũng là một trong số đó, đây được gọi là kỹ thuật tấn công “ARP spoofing” (Kỹ thuật tấn công Address Resolution Protocol (ARP) spoofing, hay còn gọi là ARP flooding, ARP poisoning hay ARP Poison

Routing (APR) là cách tấn công từ một máy tính trong mạng LAN, thông qua giao thức ARP và địa chỉ MAC, IP, nhằm ngắt kết nối từ một hay một số máy tính với Modem, dẫn đến tình trạng các máy tính đó không thể truy cập Internet. Máy tính nạn nhân mất kết nối Internet nhưng vẫn có kết nối mạng LAN).

Một cách xâm nhập khác là có thể cắm một USB vào hệ thống máy tính của nhân viên giao dịch, khởi động lại máy với một hệ điều hành mới cho phép họ có thể tiếp cận với ổ cứng, từ đó dễ dàng đọc được tên người dùng và mật khẩu. nhưng đối với Bhalla, do có thể truy cập thẳng vào hệ thống nên anh ta cùng các trợ lý của mình đã bỏ qua bước tiếp cận để đi thẳng vào việc tìm kiếm tiền.

Bước hai: Bắt đầu khám phá

Bhalla đã sử dụng phần mềm “sniffer” miễn phí trên mạng để lập ra một bản đồ các hệ thống của ngân hàng kết nối với nhau, sau đó đẩy lượng lớn thông tin dữ liệu vào các hộp chuyển mạch (các hộp nhỏ truyền dữ liệu trực tiếp) nhằm làm cho mạng lưới nội bộ của ngân hàng quá tải thông tin. Đây là kiểu tấn công các hộp chuyển mạch thành một trung tâm truyền dữ liệu ra một cách bừa bãi. Các máy tính mà nhân viên ngân hàng sử dụng nghiễm nhiên trở thành mục tiêu hoàn hảo của Bhalla. Hơn nữa, phần mềm Sniffer lại được sử dụng để tìm kiếm thông tin và các mật khẩu trong kho dữ liệu, thậm chí chỉ cần một thao tác như vậy, Bhalla đã vào được cả máy tính của giao dịch viên.

Bước ba: Chuyển tiền

Thật ngạc nhiên, thông tin dữ liệu đang được kết nối giữa máy tính của giao dịch viên và cơ sở dữ liệu chính của ngân hàng lại không được mã hóa. Mật khẩu và các tài khoản ngân hàng đều hiển thị ra hết.

Bước bốn: Rút tiền

Bhalla không lấy cắp tiền từ các tài khoản tiền gửi, thay vào đó anh ta tạo một tài khoản mới đứng tên chính mình. “Chúng tôi truy cập vào cơ sở dữ liệu chính chứa thông tin các tài khoản và thiết lập một tài khoản có 14 triệu USD”, Bhalla nói và bổ sung thêm: “Chúng tôi chỉ tạo ra 14 triệu USD từ hư không”. Khi nào muốn, Bhalla có thể đến bất kỳ chi nhánh ngân hàng nào rút tiền rồi chuyển ra một tài khoản ngân hàng ở nước ngoài nhưng anh ta đã đến một máy rút tiền tự động (ATM) rút ra số tiền “khủng” của mình.

“Lãnh đạo của các ngân hàng vô cùng ngạc nhiên, mắt tròn mắt dẹt”, Bhalla kể lại. Ngay lập tức ngân hàng đó đã xóa bỏ tài khoản từ trên trời rơi xuống của Bhalla và tiến hành củng cố lại mạng lưới.

Trong vụ trộm kỷ lục mà số tiền “chôm” được lên tới 45 triệu USD được đưa ra ánh sáng hồi đầu tháng 5 vừa qua, các quan chức liên bang Mỹ cho biết, những tên trộm cũng đã đột nhập các mạng lưới của các công ty xử lý giao dịch thẻ ghi nợ trả trước và sửa lại các tài khoản để tạo ra hạn mức chi tiêu cao kỷ lục rồi tìm tới các máy ATM để rút tiền mặt. “Họ chỉ cần “update” thông tin thẻ tín dụng vào cơ sở dữ liệu”, Bhalla giải thích.

Tuy nhiên trong nhiều vụ trộm cướp ngân hàng, bao gồm cả vụ trộm 45 triệu USD, rất khó để tìm ra và quy trách nhiệm cho cá nhân nào về tổn thất. Thường các vụ trộm không nhằm vào tài khoản cá nhân. Luật pháp Mỹ bảo vệ và kiểm tra nghiêm ngặt các tài khoản thanh toán tiêu dùng và tài khoản tiết kiệm, nhưng các tài khoản kinh doanh thì ít điều luật bảo vệ hơn.

Bhalla cho biết, một số tổ chức tài chính đã mua bảo hiểm để bù đắp mất mát nhưng anh ta cũng lưu ý rằng các công ty bảo hiểm chưa có các chính sách và giới hạn rõ ràng bởi vậy những rủi ro vẫn không được bù đắp đầy đủ. Cho nên, theo Bhalla, để hạn chế những rủi ro và thiệt hại cần phải có sự phối hợp giữa các công ty, các hãng bảo hiểm và chính phủ.

Theo Minh Khánh
Thời báo Ngân hàng

Bhalla có thể đến bất kỳ chi nhánh ngân hàng nào rút tiền rồi chuyển ra một tài khoản ngân hàng ở nước ngoài nhưng anh ta đã đến một máy rút tiền tự động (ATM) rút ra số tiền “khủng” của mình.

Mấy atm nào có đủ 14 triệu đô cash để rút ra?
Wire tiền thì còn có lý......