Người dùng nên tạm ngưng giao dịch qua mạng vì lỗi bảo mật

Nhiều website ngân hàng và cổng thanh toán trên thế giới hiện chứa lỗ hổng bảo mật nghiêm trọng. Để tránh rủi ro, các chuyên gia khuyên người dùng tạm ngưng giao dịch trực tuyến.

Ảnh hưởng đến những website ngân hàng và cổng thanh toán sử dụng Open SSL

Trong ngày 7/4, giới bảo mật quốc tế xôn xao với thông tin về lỗi Open SSL Heartbleed. Theo các chuyên gia, đây là một lổ hỗng bảo mật tồn tại trên rất nhiều website giao dịch trực tuyến của các nước, trong đó có Việt Nam, dẫn đến việc tài khoản ngân hàng của người dùng đặt trong trạng thái bị đe dọa và có thể bị kẻ gian lén lút sử dụng để thanh toán những khoản chi mờ ám. Bên cạnh đó, tin tặc cũng có thể lợi dụng lỗ hổng này để đánh cắp nhiều thông tin tài chính quan trọng nhằm phục vụ cho các mục đích khác.

Theo ông Võ Đỗ Thắng, Giám đốc Trung tâm đào tạo quản trị mạng & An ninh mạng quốc tế Athena, phần lớn website ngân hàng và cổng thanh toán trực tuyến trên thế giới, trong đó có Việt Nam, hiện nay sử dụng Open SSL. Lỗi bảo mật trên chỉ tồn tại trong một số phiên bản của OpenSSL.

onlineshopping.jpg

Lỗ hổng bảo mật tồn tại trong những hệ thống dùng phiên bản OpenSSL cũ chưa được vá lỗi. Ảnh: HBT.
Định nghĩa về OpenSSL, chuyên gia này giải thích như sau: Khi người dùng thực hiện các giao dịch trên Internet (thanh toán, chuyển tiền, mua hàng qua mạng,...), những giao dịch này được giữ bí mật bằng giao thức bảo mật SSL/TLS. Để thiết kế các hệ thống giao dịch trực tuyến tích hợp SSL/TSL, các lập trình viên thường sử dụng thư viện lập trình mã hóa nguồn mở OpenSSL. Lỗ hổng "Open SSL Heartbleed" tồn tại trong những phiên bản OpenSSL cũ và các chủ website có dịch vụ giao dịch (ngân hàng, cổng thanh toán) chưa kịp cập nhật bản vá mới sẽ nằm trong danh sách mục tiêu của tin tặc. Khi đó, nếu người dùng đăng nhập và thanh toán trực tuyến trên các website chứa lỗ hổng đang bị hacker khai thác, tất cả mọi dữ liệu nhạy cảm như thông tin thẻ, thông tin đăng nhập từ trình duyệt,...của người dùng đều rơi vào tay hacker.

Sau khi được giới bảo mật công bố vào ngày 7/4, nhiều website tồn tại lỗ hổng Open SSL Heartbleed chưa kịp vá lỗi đã trở thành mục tiêu của tin tặc. Giới hacker đã công bố thêm những đoạn mã độc và các công cụ hỗ trợ khai thác điểm yếu của các webiste dính lỗi. Trên nhiều diễn đàn hacker, danh sách các website bị tấn công và nằm trong diện dễ bị tổn thương lên đến hàng chục ngàn. Trong đó cũng có một số website của Việt Nam.

"Người dùng trong nước ít bị ảnh hưởng"

Trao đối Zing.vn, ông Võ Đỗ Thắng cho biết tuy nhiều website ngân hàng và cổng thanh toán trực tuyến ở Việt Nam bị dính lỗi, những người chỉ dùng tài khoản và thẻ ngân hàng nội địa sẽ ít bị ảnh hưởng. Lý do là các giao dịch trực tuyến trong nước thường có thêm bước xác thực qua số điện thoại (OPT) nên dù tin tặc có chiếm được quyền truy cập tài khoản cũng sẽ gặp khó khăn khi không sở hữu được SIM điện thoại của nạn nhân. "Những người dùng sở hữu các thẻ thanh toán quốc tế như Visa, Master Card,... không nhất thiết phải xác thực qua số điện thoại mới cần lo lắng và tạm ngưng các giao dịch trực tuyến", ông Thắng cho biết.

Không hoàn toàn đồng ý với quan điểm trên, anh Nguyễn Hồng Phúc, một chuyên gia bảo mật từ diễn đàn hacker Việt Nam HVA Online cho rằng những tài khoản ngân hàng trong nước vẫn có nguy cơ bị chiếm dụng. "Tuỳ điều kiện và cách triển khai OPT (tin nhắn xác thực) của từng ngân hàng mà hacker có thể khai thác được lỗ hổng này", anh Phúc khẳng định.

Theo báo cáo từ các công cụ kiểm tra lổ hổng OpenSSL được công bố trênGithub.com và một số diễn đàn bảo mật, khoảng 15 website ngân hàng trực tuyến (ebanking) và cổng thanh toán tại Việt Nam đã bị tấn công. TrangITC News cho biết đến ngày 9/4, phần lớn các cổng thanh toán và ebanking ngân hàng tại Việt Nam đã tạm ngưng các dịch vụ khách hàng và cập nhật các bản vá thành công. Việc làm này được các đơn vị trên thực hiện "âm thầm" và chưa có thông báo chính đến với người dùng.

Theo ông Võ Đỗ Thắng, các ngân hàng cần cập nhật bản vá mới nhất của OpenSSL và đưa ra thông báo chính thức, rõ ràng đến người dùng để họ hiểu hơn về lỗi bảo mật này. Đồng thời, người dùng sở hữu tài khoản ngân hàng cũng hạn chế và tốt nhất là tạm ngưng việc giao dịch qua mạng để tránh rủi ro. Trong khi đó, trang Lifehacker khuyến cáo người dùng đổi ngay mật khẩu đăng nhập vào tài khoản ngân hàng của mình sau khi ngân hàng thông báo khắc phục xong sự cố.

Duy Tín
 

chimcanhcut

Senior
Joined
May 2, 2012
Messages
332
Reactions
1,638
MR
0.381
Lỗi trái tim rỉ máu đây mà............:p:p:p
 

LHC

Junior
Joined
Aug 23, 2013
Messages
179
Reactions
31
MR
0.000
Đây là cách tấn công


Microsoft sẽ ngừng hỗ trợ hệ điều hành Windows XP sau ngày 08 tháng 4. Hiện có khoảng 95% của 3 triệu máy ATM trên thế giới đang sử dụng hệ điều hành này. Quyết định của Microsoft ngừng hỗ trợ cho Windows XP đặt ra mối đe dọa an ninh quan trọng đối với cơ sở hạ tầng kinh tế trên toàn thế giới .





Nhiều lý do cho việc nâng cấp
Các nhà nghiên cứu bảo mật tại công ty Antivirus Symantec tuyên bố rằng tin tặc có thể khai thác điểm yếu trong Windows XP của các máy ATM và cho phép họ rút tiền mặt bằng cách gửi tin nhắn SMS đến các máy ATM bị xâm nhập.

"Điều thú vị về phiên bản này của Ploutus là nó cho phép tội phạm mạng gửi một tin nhắn SMS đến các máy ATM bị xâm nhập, sau đó đi bộ đến và lấy tiền mặt nhả ra từ máy. Nó có vẻ khó tin, nhưng kỹ thuật này đang được sử dụng trong một số nơi trên thế giới vào lúc này." các nhà nghiên cứu cho biết.

Hardwired, phần mềm độc hại trên máy ATM
Theo các nhà nghiên cứu, trong năm 2013, họ đã phát hiện một phần mềm độc hại có tên Backdoor Ploutus, nó được cài đặt trên máy ATM ở Mexico, được thiết kế để cướp 1 loại máy ATM hoạt động độc lập chỉ với các tin nhắn văn bản.
Để cài đặt phần mềm độc hại vào máy ATM máy, hacker phải kết nối các máy ATM để điện thoại di động thông qua cổng USB tethering và sau đó có thể tiến hành chia sẻ kết nối Internet từ điện thoại sang máy ATM. Sau đó, attacker sẽ gửi tin nhắn văn bản SMS đến điện thoại đã được kết nối với máy ATM hoặc gửi tin nhắn đến phần mêm Hardwired bên trong máy ATM qua kết nối internet.


"Kể từ khi điện thoại được kết nối với máy ATM thông qua cổng USB, điện thoại cũng sẽ sử dụng điện từ kết nối USB để sạc pin điện thoại. Kết quả là, điện thoại sẽ vẫn hoạt động liên tục mà không lo bị hết pin."


Hướng dẫn hack máy ATM

  • Kết nối điện thoại di động với máy ATM bằng cáp USB và cài đặt phần mềm độc hại Ploutus.
  • Kẻ tấn công gửi hai tin nhắn SMS đến điện thoại di động đã được kết nối với máy ATM.
    • SMS 1 bao gồm một ID hợp lệ để kích hoạt các phần mềm độc hại đã được cái đặt.
    • SMS 2 chứa một lệnh hợp lệ để máy nhả tiền ra.
  • Điện thoại di động gắn với máy ATM qua USB ban nãy sẽ phát hiện các tin nhắn SMS được gửi đến có giá trị là các lệnh hợp lệ và chuyển tiếp chúng đến máy ATM như một gói tin TCP hoặc UDP.
  • Mô đun Network packet monitor (NPM) được viết trong phần mềm Ploutus sẽ nhận các gói tin TCP/UDP và nếu nó có chứa 1 lệnh hợp lệ, nó sẽ thực thi phần mềm Ploutus.
  • Số tiền nhả ra được cấu hình trước trong phần mềm Ploutus.
  • Cuối cùng, các attacker có thể lấy tiền từ máy ATM bị tấn công.



Các nhà nghiên cứu đã phát hiện vài biến thể tiên tiến hơn của phần mềm độc hại này, ví dụ như ăn cắp thông tin thẻ của khách hàng và mã PIN theo kiểu tấn công man-in-the-middle.


Phần mềm độc hại này đã lan rộng sang các nước khác, vì vậy bạn nên chú ý thêm và cần thận trọng hơn trong khi sử dụng máy ATM.

Theo TheHackerNews, Dịch bởi SinhVienIT.net
 
Làm gì để giao dịch trên mạng an toàn trước Heartbleed

Lỗi bảo mật Heartbleed (hay "Trái tim rỉ máu") trong OpenSSL tiếp tay tin tặc lần mò vào bộ nhớ máy chủ, nơi lưu trữ những dữ liệu nhạy cảm của người dùng như thông tin cá nhân, tên tài khoản, mật khẩu và có thể bao gồm cả thẻ tín dụng, tài khoản ngân hàng.

Theo Reuters, người phát ngôn Yahoo! xác nhận Yahoo! Mail mắc phải lỗi và có nguy cơ bị tấn công, nhưng công ty đã kịp thời vá lỗi dịch vụ email, đồng thời cho Yahoo! Search, Flickr, Tumblr, Yahoo! Sport...

Theo trang ArsTechnica, công cụ khai thác lỗi Heartbleed tấn công vào các dịch vụ Yahoo! nhằm đánh cắp tài khoản đã xuất hiện trên mạng. Một chuyên viên nghiên cứu bảo mật Mark Loman đã thử nghiệm "rút" dữ liệu thành công từ máy chủ Yahoo! Mail bằng công cụ này.

Ngày 8-4, Bộ An ninh nội địa Mỹ khuyến cáo các doanh nghiệp kiểm tra lại các máy chủ (server) của mình, đặc biệt là máy chủ dùng phần mềm Apache hay Nginx, có đang dùng phiên bản OpenSSL mắc phải lỗi Heartbleed, và nâng cấp lên phiên bản OpenSSL mới nhất để khắc phục. Thông tin trước đó cho thấy phiên bản OpenSSL từ 1.0.1 đến 1.0.1f đều mắc lỗi, cần nâng cấp lên OpenSSL 1.0.1g. Riêng bản 1.0.2 beta cũng dính lỗi phải đợi bản nâng cấp 1.0.2 beta 2 sắp tới.

Đáng lưu ý, OpenSSL cũng được sử dụng trong các máy chủ email dùng giao thức SMTP, POP và IMAP, hay các server nhắn tin (chat) dùng giao thức SMPP, và hầu hết các mạng riêng ảo (VPN) đều dùng SSL để bảo vệ mạng.

Người dùng mạng cần biết

Các chuyên gia an ninh mạng khuyến cáo người dùng mạng không nên thực hiện bất kỳ giao dịch trực tuyến nào trong giai đoạn hiện tại, đặc biệt là giao dịch tài chính, ngân hàng trực tuyến... vì tin tặc có thể dễ dàng lấy cắp tài khoản, dữ liệu, mật khẩu thông qua lỗi Heartbleed.

Cần lưu ý, thay đổi mật khẩu mới cho tài khoản email hay tài khoản ngân hàng là điều nên tránh lúc này. Vì nó vô dụng, hacker vẫn có thể đánh cắp được mật khẩu mới dễ dàng nếu nhà cung cấp dịch vụ chưa cập nhật kịp thời OpenSSL mới nhất. Chỉ nên thay đổi mật khẩu email và tài khoản ngân hàng sau khi công ty cung cấp dịch vụ đã cập nhật. Ngoài ra, nên áp dụng chế độ bảo mật hai lớp.

Một số khuyến cáo sau bạn nên thực hiện:

  • Không đăng nhập tài khoản từ các website bị ảnh hưởng (xem danh sách 1.000 website lớn trở thành nạn nhân của Heartbleed), cho đến khi website công bố đã khắc phục và cập nhật bản vá. Cả những website lớn như Yahoo! hay Imgur cũng "phơi mình" trước lỗi Heartbleed thì các website nhỏ không phải ngoại lệ. Do đó, đừng ngần ngại tạm ngưng giao dịch trong giai đoạn này.
  • Để kiểm tra tên miền web có bị ảnh hưởng, bạn có thể dùng công cụ từ công ty bảo mật điện toán đám mây Qualys SSL Labs hoặc từ công cụ của Filippo Valsorda http://filippo.io/Heartbleed/.
  • Chú ý đến những dấu hiệu bất thường đối với tài khoản ngân hàng (bảng kê tài chính) nếu đã có sử dụng giao dịch trực tuyến, đăng nhập tài khoản ngân hàng trực tuyến (e-banking).
  • Đừng click vào bất kỳ liên kết (link) nào, hay tập tin đính kèm bên trong các email thông báo về bảo mật liên quan đến Heartbleed.
 

Announcements

Today's birthdays

Forum statistics

Threads
425,176
Messages
7,153,085
Members
177,727
Latest member
chichliveboo

Most viewed of week

Most discussed of week

Most viewed of week

Most discussed of week

Back
Top Bottom