Các vấn đề ATTT nên chia sẻ theo nhóm và cùng nhau xử lý

Tin tặc đánh cắp ngày càng nhiều từ các ngân hàng

Trong Hội thảo Security World 2019 diễn ra mới đây tại Hà Nội, ông Nguyễn Trọng Đường, Giám đốc Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT), Bộ TTTT cho biết: Những năm gần đây ghi nhận hàng loạt các cuộc tấn công có chủ đích được thiết kế tinh vi và có quy mô lớn trên thế giới nhằm vào các tổ chức tài chính, ngân hàng.

Ông Nguyễn Trọng Đường, Giám đốc VNCERT

Tin tặc khai thác lỗ hổng hệ thống mạng thanh toán SWIFT. Có nhiều cuộc tấn công vào các ngân hàng trên thế giới, gây ra hậu quả nghiệm trọng, đặc biệt là vụ mất 81 triệu USD của ngân hàng Banglades. Bên cạnh đó, hàng loạt các mã độc (malware) nhắm vào các Ngân hàng như: Xbot, Asacub,  trojan SlemBunk, kronos…

Hàng loạt các ngân hàng trong nước và thế giới đồng loạt phát đi cảnh báo cũng cho thấy sự mất ATTT đang diễn biến ngày càng phức tạp và gia tăng.

Cổng thanh toán trực tuyến Wonga của Anh bị lộ 270.000 tài khoản khách hàng.

Tesco Bank bị đánh cắp 2,5 triệu bảng từ 9.000 khách hàng thông qua lỗ hổng bảo mật từ hệ thống và thẻ ghi nợ.

Mã độc mã hóa dữ liệu WannaCry và Petya ransomware tấn công các ngân hàng nhiều nước trên thế giới, đặc biệt là Ngân hàng Trung Quốc (Bank of China) và Ngân hàng trung ương Nga.

Lỗ hổng OTP qua SMS như một phần của quá trình xác thực hai bước (2FA). Phương thức này từng được xem là có thể bảo vệ trước MITM (Man-in-the-middle), nhưng hiện các chuyên gia bảo mật đánh giá tin nhắn văn bản chứa mã OTP có khả năng bị can thiệp dễ dàng.

Việt Nam vẫn nằm trong tâm xoáy của tin tặc

Quý 1/2019, hệ thống giám sát của Trung tâm VNCERT ghi nhận tổng cộng 78.336.592 sự kiện mất ATTT tại Việt Nam, trong đó: 28.172.490 sự kiện với mức độ nguy hiểm cao; 35.594.957 sự kiện với mức độ nguy hiểm trung bình; 7.957.861 sự kiện với mức độ nguy hiểm thấp.

Cũng trong quý I/2019, các chuyên gia giám sát mạng của trung tâm VNCERT đã theo dõi và phân tích nhiều chiến dịch tấn công nguy hiểm tại Việt Nam như: Tấn công liên quan đến mã độc tống tiền WannaCry (12.939 sự kiện); Tấn công có chủ đích nhằm cài cắm mã độc liên quan đến nhóm tin tặc 1937CN (5929 sự kiện); Tấn công liên quan đến mã độc đào tiền ảo (6.332 sự kiện); Tấn công liên quan đến mạng botnet Hakai nhắm vào lỗ hổng ThinkPHP (framework PHP do Trung Quốc phát triển) (27 sự kiện); Tấn công có chủ đích nhằm cài cắm mã độc liên quan đến nhóm tin tặc SeedWorm APT (9 sự kiện); Tấn công có chủ đích đến từ nhóm tin tặc Operation Oceansalt (2 sự kiện).

Việt Nam đứng thứ 2 trong bảng xếp hạng ISP có địa chỉ IP nhiễm botnet. Biểu đồ cho thấy, số lượng sự cố phishing, Deface tấn công website tại Việt Nam 6 tháng đầu năm 2019 so với cùng kỳ 2018 như sau: Phishing tăng 930 sự cố (tương đương mức tăng 1,7 lần sự cố so với năm 2018); Deface tăng 168 sự cố; Malware lại có xu hướng giảm 662 sự cố.

Theo kết quả cuộc khảo sát do VNCERT phối hợp với Tập đoàn Dữ liệu Quốc tế IDG thực hiện tại 30 ngân hàng trong nước, 16 đơn vị cung cấp dịch vụ tài chính, bảo hiểm tại Việt Nam, vấn đề an toàn bảo mật mà đơn vị quan tâm nhất chính là rò rỉ dữ liệu từ bên trong (60%), 40% là các cuộc tấn công từ bên ngoài.

Tại Việt Nam một ngân hàng đã trở thành mục tiêu của cuộc tấn công nhằm vào hệ thống chuyển tiền SWIFT và chuyển hơn 1,13 triệu USD, nhưng đã bị phát hiện và ngăn chặn).

Đặc biệt, trong 6 tháng đầu năm 2019 ghi nhận nhiều cuộc tấn công Phishing và Deface nhằm vào các tổ chức tài chính - ngân hàng lớn, giả mạo website của các tổ chức tín dụng nhằm lừa đảo chiếm đoạt tài khoản khách hàng, rút tiền trái phép…

Chiêu trò lừa nhận hộ tiền từ nước ngoài về qua dịch vụ Western Union là một vụ lừa đảo qua mạng xã hội Facebook, kẻ lừa đảo đánh cắp được tài khoản Facebook của bạn bè/người thân nạn nhân (ở xa, nước ngoài) thì giả vờ hỏi thăm và thực hiện hành vi lừa đảo.

Ngay sau khi có tài khoản, đối tượng sẽ thực hiện ngay việc chat với bạn bè, người thân hỏi thăm về sức khỏe, công việc và sau đó nhờ nhận hộ một số tiền chuyển từ nước ngoài về. Nạn nhân không biết tài khoản Facebook kia đã bị tấn công nên tin tưởng và sẵn sàng giúp đỡ. Nạn nhân không biết đây là trang web phishing nên đã nhập các thông tin tài khoản, mật khẩu Internet banking vào trang web giả mạo rồi gửi đi và đối tượng lừa đảo sẽ nhận được.

Từ đó, đối tượng lừa đảo dùng thông tin Internet banking vừa chiếm được từ nạn nhân để thực hiện giao dịch qua cổng thanh toán trực tuyến VTC Pay và cổng thanh toán VNPAY. Tuy nhiên do không có mã OTP được gửi đến số điện thoại nạn nhân nên giao dịch không thành công (OTP có hiệu lực trong 120 giây). Đối tượng lừa đảo tiếp tục chat với nạn nhân, đề nghị xác nhận OTP và dẫn dụ nạn nhân rơi vào bẫy mà chúng đã giăng ra. Đối tượng ngay sau khi có được mã OTP do chính nạn nhân cung cấp, đã thực hiện ngay thao tác nhập vào để hoàn thành giao dịch.

6 tháng đầu năm 2019, Trung tâm VNCERT ghi nhận nhiều thông tin báo cáo về các cuộc tấn công mã độc Grandcrab tấn công mã hóa nhiều cơ quan đơn vị, tổ chức, doanh nghiệp. Hàng loạt tổ chức, doanh nghiệp, cá nhân bị mất dữ liệu do mã độc này gây ra.

VNCERT ghi nhận và phát hành nhiều cảnh báo sớm trực tiếp đến một số ngân hàng lớn của Việt Nam liên quan đến tấn công phishing, deface, malware, lộ lọt dữ liệu khách hàng, hệ thống trong hoạt động kiểm thử xây dựng hệ thống.

Nhiều văn bản, Quy định hành lang pháp lý về ATTT đã bắt đầu cho thấy hiệu quả sau khi triển khai. Bộ TTTT quyết liệt thực hiện mọi biện pháp nhằm ngăn chặn sự gia tăng của các sự cố ATTT mạng tại Việt Nam. Tuy nhiên, nhận thức về ATTT của cá nhân, tổ chức, doanh nghiệp tại Việt Nam vẫn chủ quan, chưa có cơ chế triển khai các phương án bảo đảm ATTT cho hệ thống tại đơn vị một cách hiệu quả.

Liên kết nhóm, chia sẻ thông tin sẽ nâng cao khả năng phòng thủ

Nhận xét về công tác đầu tư về ATTT của các tổ chức tài chính - ngân hàng trong nước, đại diện Cục ATTT chia sẻ tại Hội thảo: Thực tế là Ngân hàng Việt Nam luôn có sự quan tâm sát sao về ATTT và được đầu tư nhiều các giải pháp đảm bảo ATTT. Gần như các sản phẩm, thiết bị tốt nhất, hiệu quả nhất, nổi tiếng nhất sẽ được các ngân hàng đầu tư.

Đại diện Cục ATTT chia sẻ tại Hội thảo

Tuy nhiên, nguy cơ mất ATTT hiện nay đến từ rất nhiều hướng, nguồn khác nhau và với không gian mạng như hiện nay thì tự mình bảo vệ mình thôi là chưa đủ. Bởi lẽ các nguy cơ mất ATTT đang luôn hiện hữu, đối tượng, phương thức tấn công đa dạng, các nguy cơ đó không hẳn từ nội tại của mỗi đơn vị mà còn từ các yếu tố khác quan khác từ bên ngoài tác động.

Không tổ chức nào có thể tự an toàn một mình. Các tổ chức tài chính - ngân hàng trong nước nên có những hành động cụ thể trong việc chia sẻ thông tin (sự cố, kỹ thuật tấn công mới, mẫu mã độc…), tin tưởng phối hợp cùng nhau xử lý. Đặc biệt, các chuyên viên về ATTT của các đơn vị nâng cao năng lực chuyên môn qua các sự vụ, tình huống thực tế

Cục ATTT hiện đang là đầu mối được nhận rất nhiều các nguồn dữ liệu, chia sẻ, thông tin tình báo từ ISP, các tổ chức quốc tế, thị trường chợ đen của hacker, các hệ thống kỹ thuật quốc gia. Từ đây là đầu mối để chia sẻ và làm việc với các NHÓM chia sẻ theo từng lĩnh vực mình sẽ hình thành nên.

Hiện nay Cục ATTT đang trong quá trình triển khai xây dựng một Hệ thống chia sẻ và phân tích các tấn công mạng nhằm tạo ra một kênh thông tin chính thống, hữu ích để các đơn vị trong ngành có thể dễ dàng chia sẻ thông tin và cùng nhau phối kết hợp phân tích và đánh giá sự cố ATTT. Từ đó có các cảnh báo sớm tới các tổ chức khác khi gặp các sự cố tương tự.

Các đơn vị trong ngành tài chính - ngân hàng nên tự xây dựng mạng lưới CERT lĩnh vực của mình, tăng cường liên kết, trao đổi thông tin về sự cố giữa các đơn vị, doanh nghiệp trong cùng lĩnh vực. Chú trọng công tác phổ biến quy định, nâng cao nhận thức về an toàn an ninh mạng; Tăng cường công tác truyền thông, kết nối và thông tin đến khách hàng.

Đồng thời, các tổ chức tài chính – ngân hàng cần đẩy nhanh ứng dụng các giải pháp tiên tiến vào sản phẩm dịch vụ của mình. Tăng cường các giải pháp xác thực khách hàng phù hợp cho các dịch vụ trực tuyến: SMS OTP, Soft OTP, Token OTP, Sinh trắc học, Chữ ký số; Giám sát giao dịch điện tử, phòng ngừa gian lận; Tăng cường hệ thống giám sát an toàn an ninh mạng có khả năng cảnh báo sớm, chính xác các nguy cơ, sự cố; Đầu tư đồng bộ giải pháp, sản phẩm, dịch vụ, con người.

Sẵn sàng các phương án ứng cứu sự cố: phòng chống tấn công từ chối dịch vụ (DoS, DDoS); tấn công APT; chống mã độc, botnet...; Xây dựng các trung tâm dữ liệu dự phòng, các giải pháp lưu trữ và phục hồi dữ liệu hiện đại.

Các đơn vị cần tuân thủ chính sách, quy định an toàn an ninh mạng, xây dựng năng lực kiểm soát, dự phòng rủi ro: Triển khai tiêu chuẩn ISO/IEC 27001, PCI DSS, khung kiểm soát rủi ro Cobit hay ISO/IEC27005; Tăng cường công tác đào tạo kỹ năng; huấn luyện diễn tập các kịch bản ứng cứu sự cố; Tham gia sâu, rộng vào Mạng lưới ứng cứu sự cố quốc gia. Tăng cường khả năng hỗ trợ ứng cứu, sẵn sàng tham gia hỗ trợ giải quyết sự cố khi có yêu cầu.

Khi các hệ thống thông tin trọng yếu quốc gia, như các tổ chức tài chính - ngân hàng, đang phải đối diện với nguy cơ tấn công mạng cao như hiện nay thì việc cập nhật các giải pháp tiên tiến, từ công nghệ, dịch vụ đến con người, quy trình nhằm đảm bảo an toàn, an ninh thông tin là việc làm cấp bách, góp phần giảm thiểu rủi ro an ninh mạng.