nǝıH
Active Member
-
23/03/2020
-
24
-
37 bài viết
Vụ cướp ngân hàng lịch sử, hacker không cần Internet cũng có thể lấy đi hàng triệu đô la
Năm 1995, Vladimir Levin khi ấy là quản trị hệ thống của AO Saturn, một công ty phần mềm tại St. Petersburg, Nga đã gây shock cho toàn thế giới khi cuỗm hơn 10 triệu đô từ các tài khoản của ngân hàng Citibank.
Levin sinh ngày 11 tháng 3 năm 1971, tốt nghiệp ngành hóa sinh của Đại học Tekhnologichesky của St. Petersburg, bị cáo buộc đã cầm đầu một nhóm tin tặc Nga trong vụ cướp ngân hàng quốc tế đầu tiên qua mạng.
Vào tháng 7 năm 1994, khách hàng phàn nàn về việc 400.000 đô la "biến mất" một cách bí ẩn từ hai tài khoản ngân hàng Citibank. Tiếp đó, vào tháng 8 hệ thống an ninh của ngân hàng đã ghi nhận hai lần chuyển tiền, một lần 26.800 đô la và lần khác là 304.000 đô la.
Ngân hàng sau đó đã liên hệ với FBI để điều tra vụ việc. Bằng nghiệp vụ của mình, FBI xác định được có kẻ đã xâm nhập vào hệ thống của ngân hàng và thực hiện nhiều giao dịch chuyển tiền bất hợp pháp. Trong khoảng thời gian từ 06 đến tháng 10 năm 1994, tên này đã thực hiện 18 lần đăng nhập và chuyển hơn 10 triệu đô từ tài khoản của ba khách hàng doanh nghiệp đến các tài khoản của mình và đồng bọn tại Mỹ, Phần Lan, Hà Lan, Đức và Israel.
Nhờ sự hỗ trợ của một công ty viễn thông tại Nga, các nhà chức trách đã lần ra được nguồn gốc của các giao dịch là từ công ty AO Saturn, nơi Levin làm việc. Levin cuối cùng đã bị bắt tại sân bay Heathrow, London vào tháng 3 năm 1995 trên chuyến bay từ Moscow.
Các tài liệu tòa án cáo buộc V.Levin đã thực hiện việc chuyển tiền bất hợp pháp bằng cách đăng nhập vào hệ thống quản lý tiền tệ của ngân hàng. Tên này đã có quyền truy cập vào hệ thống của ngân hàng thông qua các tài khoản hợp lệ không được bảo vệ bằng mã hóa.
Cũng có suy đoán rằng Levin có đồng phạm là nhân viên của ngân hàng nhưng phía ngân hàng đã bác bỏ giả thuyết này. Để tránh gây nghi ngờ, Levin đã đăng nhập vào hệ thống từ nhà của anh ta tại Nga vào đêm khuya đồng thời cũng là giờ làm việc tại New York. Levin rõ ràng đã sử dụng ID người dùng và mật khẩu hợp lệ của các ngân hàng, trong đó có Banco del Sud ở Argentina và Bank Artha Graha ở Indonesia. Vậy làm thế nào hắn ta có được những mật khẩu đó với sự bảo mật của ngân hàng?
Hắn ta có thể can thiệp vào các cuộc gọi của khách hàng đến ngân hàng. Khi khách hàng xác thực tài khoản của họ bằng cách bấm số, Levin đã lấy được các thông tin cần thiết như số tài khoản, mã PIN, số chứng minh thư, ngày sinh và mật khẩu để thực hiện giao dịch chuyển tiền. Có thể có một thiết bị chuyên dụng được giấu trong phòng tắm của Citibank. Và phòng máy chủ lại được đặt bên cạnh phòng tắm điều đó khiến máy chủ có thể dễ dàng bị truy cập.
Khi Levin bị dẫn độ về Hoa Kỳ vào năm 1997, hắn được mô tả trên các tờ báo là kẻ chủ mưu đằng sau vụ tấn công ngân hàng đầu tiên trên Internet. Tuy nhiên, một số chuyên gia bảo mật lại bác bỏ tuyên bố đó. Họ nói, Levin đã sử dụng các hệ thống viễn thông, chứ không phải Internet để đột nhập vào ngân hàng.
Sau đó, ngân hàng đã có thể thu hồi lại được gần hết số tiền bị đánh cắp khoảng 10 triệu đô la, ngoại trừ 400.000 đô la không thể thu hồi lại được. Cuối cùng, vào ngày 24 tháng 2 năm 1998, Levin bị kết án ba năm tù giam và yêu cầu phải trả lại cho ngân hàng 240.015 đô la. Đồng bọn của Levin gồm 4 người cũng đã bị bắt và nhận những bản án khác nhau.
Sau vụ việc của Levin, có thể thấy có một lỗ hổng quan trọng trong các thủ tục bảo mật tại ngân hàng thời bấy giờ giúp cho các tội phạm có thể thực hiện được việc chuyển tiền. Thông thường trước khi giao dịch hầu hết các ngân hàng đều yêu cầu người dùng quẹt thẻ thông minh giống như thẻ tín dụng thông qua thiết bị đầu cuối. Thẻ được mã hóa bằng chữ ký điện tử duy nhất cho người dùng và nếu chữ ký không đúng thì giao dịch sẽ bị hủy. Tuy nhiên, ngân hàng đã không cung cấp các thẻ này cho khách hàng khiến cho Vladimir Levin có thể dễ dàng chuyển đi một số tiền lớn.
Citibank sau đó đã phải hành động ngay lập tức để sự kiện này sẽ không xảy ra lần thứ hai. Họ triển khai một hệ thống bảo mật được gọi là Thẻ mã hóa động. Trông giống như một máy tính bỏ túi. Người dùng mở thẻ và nhập số nhận dạng cá nhân. Thẻ sau đó tạo mật khẩu để cho phép người dùng đăng nhập vào hệ thống. Mật khẩu chỉ có thể được sử dụng một lần để tăng cường tính bảo mật.
Theo bạn, đâu là phần yếu nhất trong quy trình bảo mật của Citibank thời bấy giờ?
Levin sinh ngày 11 tháng 3 năm 1971, tốt nghiệp ngành hóa sinh của Đại học Tekhnologichesky của St. Petersburg, bị cáo buộc đã cầm đầu một nhóm tin tặc Nga trong vụ cướp ngân hàng quốc tế đầu tiên qua mạng.
Vào tháng 7 năm 1994, khách hàng phàn nàn về việc 400.000 đô la "biến mất" một cách bí ẩn từ hai tài khoản ngân hàng Citibank. Tiếp đó, vào tháng 8 hệ thống an ninh của ngân hàng đã ghi nhận hai lần chuyển tiền, một lần 26.800 đô la và lần khác là 304.000 đô la.
Ngân hàng sau đó đã liên hệ với FBI để điều tra vụ việc. Bằng nghiệp vụ của mình, FBI xác định được có kẻ đã xâm nhập vào hệ thống của ngân hàng và thực hiện nhiều giao dịch chuyển tiền bất hợp pháp. Trong khoảng thời gian từ 06 đến tháng 10 năm 1994, tên này đã thực hiện 18 lần đăng nhập và chuyển hơn 10 triệu đô từ tài khoản của ba khách hàng doanh nghiệp đến các tài khoản của mình và đồng bọn tại Mỹ, Phần Lan, Hà Lan, Đức và Israel.
Nhờ sự hỗ trợ của một công ty viễn thông tại Nga, các nhà chức trách đã lần ra được nguồn gốc của các giao dịch là từ công ty AO Saturn, nơi Levin làm việc. Levin cuối cùng đã bị bắt tại sân bay Heathrow, London vào tháng 3 năm 1995 trên chuyến bay từ Moscow.
Các tài liệu tòa án cáo buộc V.Levin đã thực hiện việc chuyển tiền bất hợp pháp bằng cách đăng nhập vào hệ thống quản lý tiền tệ của ngân hàng. Tên này đã có quyền truy cập vào hệ thống của ngân hàng thông qua các tài khoản hợp lệ không được bảo vệ bằng mã hóa.
Cũng có suy đoán rằng Levin có đồng phạm là nhân viên của ngân hàng nhưng phía ngân hàng đã bác bỏ giả thuyết này. Để tránh gây nghi ngờ, Levin đã đăng nhập vào hệ thống từ nhà của anh ta tại Nga vào đêm khuya đồng thời cũng là giờ làm việc tại New York. Levin rõ ràng đã sử dụng ID người dùng và mật khẩu hợp lệ của các ngân hàng, trong đó có Banco del Sud ở Argentina và Bank Artha Graha ở Indonesia. Vậy làm thế nào hắn ta có được những mật khẩu đó với sự bảo mật của ngân hàng?
Hắn ta có thể can thiệp vào các cuộc gọi của khách hàng đến ngân hàng. Khi khách hàng xác thực tài khoản của họ bằng cách bấm số, Levin đã lấy được các thông tin cần thiết như số tài khoản, mã PIN, số chứng minh thư, ngày sinh và mật khẩu để thực hiện giao dịch chuyển tiền. Có thể có một thiết bị chuyên dụng được giấu trong phòng tắm của Citibank. Và phòng máy chủ lại được đặt bên cạnh phòng tắm điều đó khiến máy chủ có thể dễ dàng bị truy cập.
Khi Levin bị dẫn độ về Hoa Kỳ vào năm 1997, hắn được mô tả trên các tờ báo là kẻ chủ mưu đằng sau vụ tấn công ngân hàng đầu tiên trên Internet. Tuy nhiên, một số chuyên gia bảo mật lại bác bỏ tuyên bố đó. Họ nói, Levin đã sử dụng các hệ thống viễn thông, chứ không phải Internet để đột nhập vào ngân hàng.
Sau đó, ngân hàng đã có thể thu hồi lại được gần hết số tiền bị đánh cắp khoảng 10 triệu đô la, ngoại trừ 400.000 đô la không thể thu hồi lại được. Cuối cùng, vào ngày 24 tháng 2 năm 1998, Levin bị kết án ba năm tù giam và yêu cầu phải trả lại cho ngân hàng 240.015 đô la. Đồng bọn của Levin gồm 4 người cũng đã bị bắt và nhận những bản án khác nhau.
Sau vụ việc của Levin, có thể thấy có một lỗ hổng quan trọng trong các thủ tục bảo mật tại ngân hàng thời bấy giờ giúp cho các tội phạm có thể thực hiện được việc chuyển tiền. Thông thường trước khi giao dịch hầu hết các ngân hàng đều yêu cầu người dùng quẹt thẻ thông minh giống như thẻ tín dụng thông qua thiết bị đầu cuối. Thẻ được mã hóa bằng chữ ký điện tử duy nhất cho người dùng và nếu chữ ký không đúng thì giao dịch sẽ bị hủy. Tuy nhiên, ngân hàng đã không cung cấp các thẻ này cho khách hàng khiến cho Vladimir Levin có thể dễ dàng chuyển đi một số tiền lớn.
Citibank sau đó đã phải hành động ngay lập tức để sự kiện này sẽ không xảy ra lần thứ hai. Họ triển khai một hệ thống bảo mật được gọi là Thẻ mã hóa động. Trông giống như một máy tính bỏ túi. Người dùng mở thẻ và nhập số nhận dạng cá nhân. Thẻ sau đó tạo mật khẩu để cho phép người dùng đăng nhập vào hệ thống. Mật khẩu chỉ có thể được sử dụng một lần để tăng cường tính bảo mật.
Theo bạn, đâu là phần yếu nhất trong quy trình bảo mật của Citibank thời bấy giờ?