Cướp NH thời @ (K2): TPBank suýt thành nạn nhân

(ĐTTCO) - Ngày 16-5, Ngân hàng TMCP Tiên Phong (TPBank) cho biết đã chặn đứng được một âm mưu cướp hơn 1 triệu EUR từ ngân hàng này, dựa trên những sơ hở của hệ thống tin nhắn liên ngân hàng SWIFT. Đây là vụ cướp ngân hàng kiểu mới thứ hai được tiết lộ trong năm nay. Sau đó ít ngày, một ngân hàng khác ở Ecuador xác nhận bị cướp 12 triệu USD cũng bằng cách thức tương tự.

Cướp ngân hàng thời @ (K1): 81 triệu USD bốc hơi
Lỗ hổng bên thứ ba

Theo TPBank, sự việc diễn ra vào ngày 8-12-2015. Khi đó, ngân hàng này phát hiện ra một số yêu cầu chuyển khoản đáng ngờ thông qua các tin nhắn của hệ thống chuyển tiền SWIFT nhằm chuyển hơn 1 triệu EUR. Các yêu cầu xuất phát từ một dịch vụ của bên thứ ba, được TPBank sử dụng để kết nối với hệ thống SWIFT. Ngay lập tức, TPBank đã liên hệ với các bên có liên quan để ngăn chặn vụ chuyển tiền phi pháp. "Vụ tấn công không gây ra bất kỳ thiệt hại nào, cũng không có ảnh hường gì tới hệ thống SWIFT nói riêng cũng như hệ thống giao dịch giữa ngân hàng và các khách hàng nói chung" - TPBank cho biết.

Trong những trường hợp gần đây, bọn cướp chỉ lấy đi một phần tài sản ở nước ngoài của các ngân hàng, nhưng trong tương lai có thể chúng đủ khả năng để vơ vét sạch, và khi đó ngân hàng sẽ sụp đổ.

Gottfried Leibbrandt,Giám đốc điều hành SWIFT

Theo các chuyên gia, bọn tội phạm mạng nhắm đến các ngân hàng đang sử dụng hệ thống SWIFT phiên bản cũ hoặc sử dụng phần mềm của bên thứ ba. Các ngân hàng có thể bị tấn công nếu người dùng nhấp vào một liên kết cho phép cài đặt phần mềm độc hại trên máy trạm sử dụng để thực hiện chuyển tiền. "Hệ thống thanh toán SWIFT chỉ mạnh trong việc kiểm soát các hoạt động thực thi liên quan đến SWIFT" - theo Mark Williams, giảng viên tại Đại học Boston. Tuy nhiên, TPBank vốn là “con” của đại gia công nghệ FPT, nên được biết đến như một trong những ngân hàng hiện đại và áp dụng công nghệ cao nhất Việt Nam. Ngày 10-5, ngân hàng này đã nhận được giải thưởng ngân hàng có dịch vụ internet banking tốt nhất trong năm do tổ chức Asian Banker trao tặng. "TPBank là một ngân hàng nhỏ nhưng được trang bị hạ tầng kỹ thuật tiên tiến và hiện đại, đủ để ngăn chặn các cuộc tấn công hay các vụ lừa đảo" - theo ông Lê Mạnh Hùng, một quan chức công nghệ của NHNN.

Theo BAE Systems, các phần mềm độc hại được tìm thấy trong vụ tấn công TPBank và Ngân hàng Trung ương Bangladesh (BOB) có khá nhiều điểm tương đồng cả về tên file, cấu trúc mã nguồn, cách thức tấn công, xóa dấu vết. Trong khi ở Bangladesh, vụ tấn công tạo ra các giao dịch ảo, sửa chữa dữ liệu bị ghi lại và xóa bằng chứng thì trong vụ TPBank, lợi dụng việc xác nhận thanh toán bằng báo cáo PDF, những kẻ tấn công đã tạo ra một file PDF khác chứa mã độc nhưng vẫn giống những file thông thường mà phần mềm sử dụng. Đáng chú ý, chiến thuật tấn công, xóa dấu vết này từng được sử dụng năm 2014 trong cuộc tấn công hãng Sony Picture. Trong vụ hack Sony Picture 2014, cách xóa dữ liệu này giống với vụ tấn công năm 2013 vào ngân hàng và các phương tiện truyền thông Hàn Quốc.

Đe dọa mạng lưới SWIFT

Ngày 17-5, một ngân hàng ở Ecuador cho biết đã khởi kiện liên quan đến một vụ cướp ngân hàng kiểu mới làm tổn thất 12 triệu USD. Vụ việc đã diễn ra từ tháng 1-2015, khi bọn tội phạm dùng chính mã ngân hàng của ngân hàng nạn nhân để sử dụng dịch vụ tin nhắn của SWIFT, gửi đi các lệnh chuyển tiền đến những ngân hàng toàn cầu. Ngân hàng nạn nhân ở Ecuador, Banco del Austro (BDA), đã đệ đơn kiện ở tòa án New York, cáo buộc Wells Fargo & Co. không chú ý đến hàng chục giao dịch đáng ngờ để chặn đứng trước khi bọn tội phạm chuyển 12 triệu USD, phần lớn tới các ngân hàng ở Hồng Công. BDA đã lấy lại được khoảng 2,8 triệu USD tiền bị đánh cắp và đang bắt đầu các thủ tục tố tụng ở Hồng Công để cố gắng thu hồi nhiều hơn. Các luật sư của Wells Fargo cho rằng yêu cầu bồi thường của ngân hàng Ecuador không hợp lý. "BDA và Wells Fargo đã thống nhất rằng xác thực SWIFT là một thủ tục an ninh thương mại hợp lý để xác minh đơn hàng thanh toán SWIFT. Vì vậy, nếu BDA thắng kiện, những ngân hàng trung gian như Wells Fargo sẽ phải liên hệ với khách hàng bất cứ khi nào họ nhận được một lệnh thanh toán. Và như vậy hiệu quả chuyển tiền nhanh trong mạng lưới SWIFT xem như bị khai tử" - các luật sư Wells Fargo nói.

Hiện chưa rõ liệu có liên quan giữa các nhóm tội phạm đã tấn công ngân hàng Ecuador với bọn tội phạm tấn công BOB và TPBank hay không. Tuy nhiên, có những điểm tương đồng trong phương pháp thực hiện, bao gồm việc xâm nhập vào hệ thống của ngân hàng để đăng nhập vào mạng SWIFT thông qua các trang web của khách hàng, và tiến hành sau khi ngân hàng đã đóng cửa giao dịch.

Cướp NH thời @ (K2): TPBank suýt thành nạn nhân ảnh 1

Ảnh minh họa.

Có thể đánh sập cả ngân hàng

Sau khi nhận được thông tin về vụ tấn công vào BOB, CEO SWIFT Gottfried Leibbrandt đã lên tiếng cảnh báo những vụ tấn công như 3 cuộc tấn công vào BOB, BDA và TPBank có thể đánh sụp 1 ngân hàng. "3 vụ tấn công chúng ta được biết thời gian qua chỉ là bề nổi của tảng băng. Có thể đó chỉ là một phần của một chiến dịch rộng lớn và tinh vi hơn" - ông Leibbrandt nói. Trong 3 trường hợp đã tiết lộ, bọn tội phạm thực hiện theo những bước cơ bản: (1) sử dụng phần mềm độc hại để phá vỡ hệ thống an ninh tại địa phương của một ngân hàng; (2) lấy quyền truy cập vào mạng tin nhắn SWIFT; (3) gửi tin nhắn chuyển tiền thông qua hệ thống SWIFT để rút tiền từ tài khoản của ngân hàng nạn nhân tại các ngân hàng lớn ở nước ngoài.

Leibbrandt cho rằng các cuộc tấn công rất nguy hiểm, đặc biệt đối với ngân hàng nhỏ không đủ khả năng phòng thủ trước bọn tội phạm công nghệ cao. Nếu tin tặc có thể đột nhập vào 1 ngân hàng yếu kém, chúng có thể gửi đi yêu cầu chuyển để rút tiền ra khỏi 1 ngân hàng lớn hơn. SWIFT đang tiến hành thêm các biện pháp bổ sung để bảo đảm an toàn cho ngân hàng và khách hàng, bao gồm việc chia sẻ thêm thông tin, hỗ trợ kiểm tra an ninh và giới thiệu các tiêu chuẩn cao hơn cho mạng máy tính của các ngân hàng địa phương.

SWIFT đặc biệt nhấn mạnh các ngân hàng cần báo cho họ ngay khi xảy ra các vấn đề an ninh. Cả trong trường hợp của TPBank và BDA, phải sau thời gian rất lâu thông tin về các vụ tấn công mới được tiết lộ. Riêng với TPBank, hãng Reuters cho biết ngân hàng này ban đầu còn khẳng định không hề có vụ tấn công. Natasha de Teran, phát ngôn viên của SWIFT cho biết họ khá bất ngờ vì chưa hề được thông báo về các vụ việc trước đó: "Khách hàng cần thông báo cho chúng tôi khi xảy ra những vụ việc liên quan đến sản phẩm và dịch vụ, giúp chúng tôi có thể thông báo và hỗ trợ cộng đồng rộng lớn hơn".

Vĩnh Cẩm

Các tin, bài viết khác

Đọc nhiều nhất