Làm thế nào hacker chỉnh sửa mã lệnh giá trị tài sản của ngân hàng để chiếm đoạt hơn 10 tỷ?

[Đoàn Thúy Hà]

Cuối tuần trước, cộng đồng mạng xôn xao vụ một thanh niên ở TPHCM bị bắt khẩn cấp vì đã truy cập được vào hệ thống của một ngân hàng lớn, chỉnh sửa mã lệnh tài sản cầm cố là giá trị điện tử tiết kiệm từ 1 triệu lên đến trên 51,244 tỷ đồng. Tóm tắt theo thông tin chính thức được các báo đăng như sau:

Công an TP HCM đã bắt khẩn cấp hacker Dương Minh Tâm (sinh năm 1996) với hành vi sử dụng mạng máy tính, mạng viễn thông và phương tiện điện tử để chiếm đoạt tài sản. Ngân hàng đã phát hiện Tâm mở tài khoản ngân hàng và xâm nhập vào hệ thống ngân hàng để chiếm đoạt 10 tỷ đồng, sau đó báo cáo công an. Trong quá trình điều tra, Công an TP.HCM xác định Tâm mở dịch vụ ngân hàng điện tử và mở sổ tiết kiệm online 1 triệu đồnn. Với sổ tiết kiệm này, anh ta chỉ được vay tối đa 850 ngàn đồng. Tuy nhiên, Tâm đã can thiệp trái phép vào hệ thống thông tin tài chính của ngân hàng và sửa mã lệnh để tài sản cầm cố là giá điện tử tiết kiệm điện từ 1 triệu đồng thành trên 51.244 tỷ đồng, từ đó rút được hơn 10 tỷ đồng để tiêu xài. Các thông tin chính thức không nêu rõ cách Dương Minh Tâm đã thực hiện hành vi xâm nhập vào hệ thống ngân hàng để chiếm đoạt tài sản. Tuy nhiên, qua phân tích tình huống tôi đưa ra một số phán đoán sau: Việc tin tặc có thể xâm nhập vào hệ thống của một ngân hàng để có thể thực hiện thông qua nhiều phương pháp và kỹ thuật khác nhau. Dưới đây là một số phương pháp thường được sử dụng: Việc tin tặc tấn công xâm nhập được vào hệ thống của một ngân hàng có thể được thực hiện qua các cách như: Tấn công lừa đảo (phishing), sử dụng phần mềm tống tiền (ransomeware), sử dụng mã độc, tấn công ddos, tấn công trực tiếp vào máy chủ, lợi dụng lỗ hổng phần mềm. Xét trường hợp Dương Minh Tâm, khả năng cao là lợi dụng lỗ hổng phần mềm, mà tôi mạnh dạn suy đoán là lỗ hổng bảo mật trong API của ứng dụng ngân hàng. API (Giao diện lập trình ứng dụng) là một bộ quy tắc và giao thức cho phép các phần mềm khác tương tác với ứng dụng ngân hàng. API cung cấp các phương thức và chức năng để truy cập vào dữ liệu và chức năng của hệ thống ngân hàng. Tuy nhiên, nếu không được bảo mật đúng cách hoặc tồn tại các lỗ hổng truy cập, API có thể trở thành điểm yếu cho các cuộc tấn công và xâm nhập. Hacker có thể lợi dụng các lỗ hổng trong phần mềm API để thực hiện các cuộc tấn công, bao gồm:

1. Tấn công SQL Injection: Hacker có thể chèn mã SQL độc hại vào yêu cầu API để truy xuất hoặc thay đổi dữ liệu trong cơ sở dữ liệu của ngân hàng.
2. Tấn công Cross-Site Scripting (XSS): Hacker có thể chèn mã JavaScript độc hại vào API phản hồi để đánh cắp thông tin của người dùng hoặc thực hiện các hành động được phép trái trên trình duyệt của họ.
3. Tấn công OAuth và Mã thông báo: Nếu cơ chế xác thực và phân quyền của API không đủ an toàn, hacker có thể lấy được mã thông báo truy cập và giả mạo quyền truy cập của người dùng.
4. Tấn công Brute Force: Hacker có thể thử hàng loạt API yêu cầu với các thông tin xác thực khác nhau để tìm ra thông tin đăng nhập hợp lệ hoặc lợi dụng các lỗ hổng xác thực để truy cập vào hệ thống.

Dù Tâm sử dụng cách nào, thì anh ta cũng đã đạt được mục tiêu chỉnh sửa được mã lệnh tài sản của ngân hàng. Nếu phần mềm quản lý tài sản của Ngân hàng gặp sự cố khi thiết lập chương trình cho phép truy cập không ủy quyền vào mã lệnh tài sản, hacker có thể khai thác kho lưu trữ này để truy cập và thay đổi dữ liệu. Tất nhiên, làm được điều này không hề đơn giản, dễ dàng hay vô tình mà phát hiện. Cần phải có sự chủ tâm và và yêu cầu kiến thức sâu và kỹ năng lập trình cao (ở đây xin miễn bàn giỏi hay không, vì việc ăn cắp tiền không bao giờ nên được khuyến khích và khen tài giỏi!). Qua vụ việc cho thấy đây là một bài học lớn đối với các ngân hàng, nhất là với những chuyên gia công nghệ ngân hàng. Công nghệ và phương pháp tấn công liên tục phát triển, các hacker cũng tìm cách tận dụng các xu hướng công nghệ mới để tìm ra các lỗ hổng và tấn công. Điều này làm cho việc bảo mật phần mềm trở thành một thức thức liên tục. Để giảm thiểu sai sót trong phần mềm, các nhà phát triển phần mềm cần áp dụng các quy trình kiểm tra chất lượng và bảo mật, sửa lỗi thường xuyên và áp dụng các biện pháp bảo mật phù hợp. Trên đây là ý kiến cá nhân của tôi. Nếu bạn có ý kiến gì khác thì hãy để lại cuối bài viết để chúng ta cùng thảo luận. Cám ơn các bạn đã quan tâm!