Phân tích kỹ thuật về vụ mất tiền trong thẻ ngân hàng Techcombank vừa qua: Rốt cuộc hacker đã lấy tiền của chúng ta thế nào?

Vậy tại sao hacker lại có được 4 thông tin trên rõ ràng là chúng ta đã bị lộ thông tin thẻ có thể bằng những cách khác nhau nhưng hiện tại đa phần các kênh thanh toán trực tuyến đều không lưu trữ thông tin thẻ của chúng ta mà sẽ qua 1 bên thứ 3 là cổng thanh toán như PayPal, Visa, Authorize.Net, Stripe, Braintree … nhưng những đơn vị này cũng không lưu trữ thông tin thẻ của chúng ta mà họ chỉ xác thực thông qua hệ thống token và sẽ trả về cho các cổng thanh toán này các token để xác thực chúng ta có giao dịch hay không. Như vậy nếu như nói chúng ta bị lộ thông tin thẻ từ các cổng thanh toán thì có vẻ hơi oan cho 1 số website Thương Mại Điện Tử(TMĐT) dùng các cổng thanh toán cho phép thanh toán Visa. Vậy thì thông tin thẻ của chúng ta sao bị lộ sẽ có 2 cách để xác minh như sau.

Cách 1: Có thẻ lúc đi mua hàng chúng ta đã bị người bán hàng bằng 1 cách nào đó lưu trữ được thông tin thẻ của chúng ta như vậy là 4 thông số trên đã rơi vào tay kẻ xấu luôn rồi. Hoặc chúng ta vô tình để thẻ ở đâu đó mà kẻ xấu đọc được và lưu trữ lại các thông tin thẻ.

Cách 2: Từ phía Ngân hàng làm rò rỉ thông tin thẻ của chúng ta có thể ai đó đã từng làm trong ngân hàng bán ra ngoài cũng nên. Thế nhưng thông tin thẻ của chúng ta không bao giờ được lưu đủ 4 thông tin trong database (cơ sở dữ liệu của) ngân hàng mà chỉ có mã số thẻ, họ tên, và ngày hết hạn thôi còn CCV thì ko bao giờ đc lưu trữ lại cả vì số CCV sẽ được random(ngẫu nhiên) sinh ra lúc in thẻ còn số thẻ sẽ đc sinh ra trước để ngân hàng gửi thông tin lên tổ chức Visa để active thẻ của chúng ta như vậy có thể hiểu 3 thông số Mã Thẻ, Họ Tên, Ngày hết hạn là đc lưu trữ lại và có thể rò rỉ từ đây. 

Vậy tại sao ko có CCV mà chúng ta lại bị mất tiền, OK đơn giản thôi.

Sau khi hacker bằng 1 cách nào đó đã có 3 thông tin thẻ của chúng ta thì điều còn lại là nó phải đi tìm CCV của chúng ta ko có CCV thì cũng xịt. Vậy cách thức lấy CCV như sau. Đầu tiền hacker sẽ lợi dụng 1 số cổng thanh toán online có hình thức bảo mật kém và có thể cho nhập thông tin thanh toán là 4 thông tin trên nhiều lần mà ko bị giới hạn số lần thất bại có nghĩa là website đó có cổng thanh toán và cho phép hacker nhập CCV lên đến hàng nghìn lần mà CCV thì chỉ có 3 số thì nó sẽ chạy từ 000 cho đến 999 và sẽ có tool hỗ trợ để làm điều này chứ ko phải nhập bằng tay đâu nhé. Tại sao tôi lại khẳng định như vậy thì các bạn sẽ thấy thông tin SMS nhận về như sau(Những ai mà dơi vào cách 1 thì sẽ ko cần bước này vì CCV đã lộ rồi thì đi tìm làm gì ):

" TK 190200520000 So tien GD:-4,710,868 So du:31,265,655 GD THE TREN INTERNET SO THE 422149...9236 NGAY 16/10/2021 TAI HOME SUPPORT USA ASHBURN US APPCODE 609738

Tin nhắn đầu tiên chúng ta bị trừ tiền từ một giao dịch Internet mà chúng ta không thực hiện như vậy là hacker trong quá trình truy tìm CCV của chúng ta đã thành công và tìm đc mã CCV rồi. Tại sao lại có tin nhắn thứ 2? hoàn tiền cho chúng ta? Đó là hệ thống xác định thanh toán giả mạo của các nước như Mỹ, Châu Âu xác định giao dịch này có vấn đề nên hệ thống sẽ trả lại tiền cho người bị nghi trộm thẻ hay còn gọi là refun, nhưng điều quan trọng là hacker đã có thông tin CCV của chúng ta rồi. Từ đây hacker đã biết trong tài khoản chúng ta có tiền và nó bắt đầu hành động ăn trộm.

Tại sao lại là ZaloPay? Vì thằng này kém bảo mật và cho phép người ko có định danh cũng có tài khoản không như ViettelPay bắt bược phải có chứng minh thư.

- TK 19020052000 So tien GD:-1,000 So du:35,975,523 GD THE QUA POS SO THE 422149...9236 NGAY 16/10/2021 TAI ZALO PAY 841900545436 VN APPCODE 610102 TID 80125325: Tin nhắn này có nghĩa là hacker đã có đủ 4 thông số tôi nêu trên và đã nhập thẻ của chúng ta vào hệ thống ZaloPay

- TK 19020052700010 So tien GD:+1,000 So du:35,976,523 HOAN TRA GD ID FT21289400211281

 Tiếp theo chúng ta được hoàn tiền 1000 vì cái này chỉ là xác thực là trong tài khoản chúng ta có tiền thôi và từ bây giờ hacker sẽ nạp tiền cho tài khoản ZaloPay của nó:

- TK 190200520000 So tien GD:-5,000,000 So du:30,976,523 GD THE QUA POS SO THE 422149...9236 NGAY 16/10/2021 TAI ZaloPay*TOPUPWALLET 841900545436 VN APPCODE 610287 TID 80141520: 

- TK 190200520000 So tien GD:-5,000,000 So du:25,976,523 GD THE QUA POS SO THE 422149...9236 NGAY 16/10/2021 TAI ZaloPay*TOPUPWALLET 841900545436 VN APPCODE 610474 TID 80141520

- TK 190200520000 So tien GD:-5,000,000 So du:20,976,523 GD THE QUA POS SO THE 422149...9236 NGAY 16/10/2021 TAI ZaloPay*TOPUPWALLET 841900545436 VN APPCODE 610651 TID 80141520

- TK 190200520000 So tien GD:-5,000,000 So du:15,976,523 GD THE QUA POS SO THE 422149...9236 NGAY 16/10/2021 TAI ZaloPay*TOPUPWALLET 841900545436 VN APPCODE 610816 TID 80141520

Tôi bị nó ăn cắp 20tr ngày 16 tháng 10. và ngay lập tức tôi đã khoá thẻ Visa nhưng nó thao tác khá nhanh nên chưa đầy 1 phút mất toi 20củ không khoá thẻ nhanh thì đi hết.

Và như mọi người đã biết thì gọi lên ngân hàng thì sẽ báo lại là đợi 30-45 ngày:

Vậy chốt lại vấn để ở đây là gì? Lỗi tại ai?

Thôi thì khi có biến thì tại ông tại ả, tại cả đôi đường, thế nhưng sẽ có nhưng nghi vấn sau:

1 - Tại sao nếu như 1 website TMĐT nào đó có lưu trữ lại tài khoản thẻ của chúng ta khi thanh toán và vô tình làm lộ ra ngoài thì lại đến 90% thông số thẻ lại chỉ từ 1 ngân hàng téch com banh mà các ngân hàng khác không bị nhỉ? điều này càng chứng tỏ là dữ liệu ngân hàng bị rò rỉ ra ngoài vì nếu như 1 sàn TMĐT thì sẽ có rất nhiều người dùng từ các ngân hàng khác nhau và họ cũng sẽ bị hack như chúng ta nhưng đây thì ko, chẳng nhẽ chỉ có những người mua hàng online mới dùng thẻ của Téch com banh, điều này là vô lý.

2 - Chúng ta cũng đang quá mong đợi ngân hàng trả lời và đợi xem tiền chúng ta có về hay không nhưng quan trọng nhất là thằng hanker ăn cắp tiền của chúng ta chưa thấy ai nói đến.

Hôm nay 30/10 ngân hàng đã điện cho tôi và nói là phía nhận đc tiền bên ZaloPay đã rút hết tiền rồi nên không làm gì đc họ sẽ cố gắng gửi tiếp Lần 2 cho tôi qua các bên để khiếu nại tiếp và lại đợi 30-45 ngày, cũng đúng thôi vì nó là thằng ăn cắp nên có tiền thì nó sẽ tiêu ngay chứ giữ lại chắc chắn sẽ bị hoàn lại nhưng qua đây là nó đã để lại định danh trên ZaloPay và tôi sẽ đợi bên ngân hàng gửi lại các thông tin cho tôi bằng văn bản và tôi sẽ mang văn bản đó lên Cục phòng chống tội phạm công nghệ cao - Bộ công an trình báo, ko thể để thằng hanker này nhởn nhơ đc tính sơ sơ qua vụ này đến hàng nghìn người trong Téch com banh bị nó ăn cắp tiền toàn tầm 20-100tr nhân lên đến hàng tỷ luôn và bắt đc nó thì mới biết chính xác được là nó lấy thông tin thẻ của chúng ta từ nguồn nào.

Các bạn nếu trong trường hợp ngân hàng ko lấy lại được tiền hoặc ko hoàn lại đc tiền thì bắt ngân hàng trả lời kết quả bằng văn bản cụ thể sau đó chúng ta làm bước tiếp theo như tôi thôi. ko lấy lại đc tiền cũng phải cho thằng hanker kia trả giá. Vì như thông báo nó đã rút đc tiền thì sẽ để lại thông tin nào đó Công An sẽ truy ra ngay. Hay tin tưởng vào An Ninh Mạng Việt Nam.

Tôi là 1 lập trình viên với hơn 10 năm làm việc về TMĐT và thanh toán online có thể những thông tin trên sẽ giúp các bạn có cái nhìn tổng quát hơn về quá trình hanker lây tiền của chúng ta như thế nào.

Tác giả: Bùi Quang Tuấn