VnReview
Hà Nội

Hệ thống TPBank đã bị mã độc thâm nhập chưa?

Mặc dù TPBank khẳng định vụ tấn công mã độc ngày 8/12 năm ngoái không ảnh hưởng đến hệ thống giao dịch của mình nhưng tổ chức SWIFT cho rằng tin tặc đã thành công trong việc lây nhiễm mã độc ngân hàng mục tiêu.

Trong khi đó, một số chuyên gia bảo mật và thậm chí nạn nhân của một vụ hack tương tự lên tiếng chỉ trích, yêu cầu SWIFT phải có trách nhiệm.

Câu hỏi đặt ra là khi xảy ra trường hợp tin tặc đã thực hiện được các giao dịch chuyển tiền qua hệ thống SWIFT, cụ thể như vụ ngân hàng TPBank, thì lỗi thuộc về bên nào?

Mã độc tấn công ngân hàng

TPBank "mượn" SWIFT đổ lỗi cho bên thứ ba bị hack

Trong thông tin báo chí phát đi ngày Chủ nhật 15/5, ngân hàng TPBank giải thích trước đây họ sử dụng "dịch vụ thuê ngoài của một đối tác để kết nối với hệ thống SWIFT qua các máy chủ của đối tác này đặt tại nước ngoài từ các máy trạm độc lập". Đến quý IV/2015, hệ thống giám sát cảnh báo rủi ro và quy trình kiểm soát nội bộ chặt chẽ, TPBank phát hiện có giao dịch đáng ngờ với số tiền hơn 1 triệu Eur (hơn 1,13 triệu USD) được chuyển bằng các điện SWIFT không hợp lệ, không được thực hiện bởi chính ngân hàng.

Tuy không trực tiếp khẳng định, nhưng trong thông cáo này TPBank gián tiếp "đổ lỗi" cho đối tác cung cấp dịch vụ bị hack dẫn đến phát sinh giao dịch đáng ngờ. Trước hết là TPBank chấm dứt sử dụng dịch vụ của đối tác này. Để củng cố cơ sở, TPBank cho biết SWIFT thông báo "có thể nguyên nhân hacker đã cài mã độc (malware) vào một phần mềm ứng dụng của đối tác nêu trên dùng cho dịch vụ thanh toán SWIFT mà đối tác này cung cấp".

Thông cáo của TPBank không đề cập đến việc hệ thống của ngân hàng có bị ảnh hưởng bởi mã độc hay không? Trả lời câu hỏi của phóng viên VnReview ngày 18/5, TPBank cho biết "các chi tiết khác chúng tôi vẫn đang chờ kết luận của SWIFT và các cơ quan liên quan khác".

Như vậy, có thể thấy trong vụ việc này, thông tin do TPBank cung cấp phụ thuộc vào kết quả và nhận định của một tổ chức khác là SWIFT thay vì từ điều tra của chính mình. Vậy SWIFT đã đưa ra nhận định như thế nào?

SWIFT: ngân hàng đã bị thâm nhập

Trong khi thông cáo ngày 15/5 của TPBank trích dẫn thông tin từ SWIFT cho rằng có thể đối tác của TPBank bị mã độc thâm nhập thì trước đó, thông cáo chính thức của SWIFT ngày 13/5 khẳng định tin tặc đã thâm nhập được vào môi trường của ngân hàng.

Thông cáo ngày 13/5 về một vụ tấn công mã độc thứ hai nhắm vào ngân hàng của SWIFT không nêu tên TPBank, mà chỉ nói là một ngân hàng thương mại. Sau đó, TPBank được xác nhận chính là ngân hàng này.

Một mặt khẳng định mạng lưới, phần mềm và dịch vụ nhắn tin cốt lõi của SWIFT không bị tổn hại, SWIFT nhận định: "nội gián" hoặc tin tặc từ bên ngoài đã cố submit các tin nhắn SWIFT từ các back-offfice (đơn vị nghiệp vụ không trực tiếp giao dịch với khách hàng) của ngân hàng, máy tính cá nhân hoặc trạm làm việc trong mạng máy tính có kết nối tới giao diện quản lý nội bộ của ngân hàng đến mạng SWIFT.

Phương pháp tấn công có thể hình dung như sau: một loại mã độc được gắn vào file PDF giả mạo báo cáo xác nhận thanh toán. Khi mở file PDF, trojan sẽ xâm nhập, kiểm soát máy tính và tự loại bỏ dấu vết hướng dẫn lừa đảo. Mã độc này chỉ nhắm vào người đọc PDF trong môi trường nội bộ của tổ chức bị ảnh hưởng.

Các bước tấn công của tin tặc gồm:

1. Tin tặc xâm nhập vào môi trường của ngân hàng.

2. Tin tặc lấy được các thông tin đăng nhập hợp lệ của tài khoản điều hành (operator) có quyền tạo, phê duyệt và gửi điện chuyển tiền SWIFT từ các back-office bị hoặc từ giao diện nội bộ của ngân hàng tới mạng SWIFT.

3. Tin tặc gửi điện chuyển tiền lừa đảo bằng cách mạo danh những tài khoản điều hành mà chúng đã đánh cắp được.

4. Tin tặc che giấu hoạt động của mình bằng cách xoá một số dấu vết điện chuyển tiền lừa đảo.

SWIFT cảnh báo những kẻ tấn công rõ ràng là phải có kiến thức sâu sắc, tinh tế về các biện phát kiểm soát cụ thể trong các ngân hàng mục tiêu. SWIFT cho rằng người dùng SWIFT (ở đây là ngân hàng) phải chịu trách nhiệm cho sự an toàn của chính hệ thống của mình khi kết nối tới mạng SWIFT - từ những điều đơn giản như bảo vệ mật khẩu tới các vấn đề an ninh khác.

Nhiều ngân hàng quốc tế bấn loạn sau vụ TPBank

Mặc dù TPBank đã nhanh chóng ngăn chặn được vụ cướp tiền táo tợn của hacker ngay từ tháng 12/2015 nhưng tiết lộ gần đây liên quan đến mã độc này đã khiến nhiều ngân hàng lớn trên thế giới không khỏi lo ngại.

Thông tin này phát đi từ hãng tin Bloomberg trích dẫn từ một báo cáo riêng của hãng sản xuất vũ khí Anh BAE Systems, cũng là hãng sở hữu mảng an ninh mạng đã phân tích, phát hiện mã độc tấn công ngân hàng Bangladesh và TPBank. Phân tích mã độc tấn công TPBank của BAE cho thấy các mã SWIFT duy nhất xác định ít nhất thêm 7 định chế tài chính bị nhúng trong mã độc.

Danh sách này bao gồm các ngân hàng lớn ở châu Á và ít nhất một ngân hàng ở châu Âu, bao gồm cả những ngân hàng mà TPBank có tài khoản đối ứng. Mã độc này không được sử dụng để tấn công những ngân hàng đó mà nó xoá xác nhận chuyển tiền có thể cảnh báo nhân viên ngân hàng về giao dịch đáng ngờ giữa TPBank và các đối tác.

Mã độc nhắm vào TPBank "được cấu hình để phân tích các điện chuyển tiền", theo BAE. Nó bao gồm các mã SWIFT cho các chi nhánh Hà Nội và New York của Ngân hàng Công thương Trung Quốc, ngân hàng lớn nhất Nhật Bản Bank of Tokyo Mitsubishi, ngân hàng lớn nhất Ý UniCredit SpA và các ngân hàng khác.

Theo Bloomberg, những tiết lộ như vậy – cùng với cảnh báo của SWIFT về một chiến dịch lớn hơn nhắm vào các ngân hàng – cho thấy những nỗ lực của tin tặc đã vượt xa mục tiêu chỉ nhắm vào các ngân hàng nhỏ ở các nước đang phát triển. Chính vì vậy, ngân hàng tại Singapore, Mỹ, Philippines, Malaysia, HongKong... ngay lập tức công bố các kế hoạch siết chặt an ninh hệ thống ngân hàng.

Tại Mỹ, nhiều ngân hàng lớn rà soát an ninh mạng lưới tin nhắn chuyển tiền SWIFT. JPMorgan Chase thậm chí hạn chế truy cập SWIFT đối với một số nhân viên. Một số ngân hàng Mỹ khác muốn thảo luận với SWIFT xem liệu tổ chức này có phản ứng đủ nhanh đối với những sự cố tin tặc đột nhập như vừa qua và liệu SWIFT có nên giúp các ngân hàng bảo mật hệ thống tốt hơn không? Một số ngân hàng hy vọng SWIFT sẽ đưa ra giải pháp công nghệ để giảm thiểu nguy cơ bị tấn công tương tự.

Tại Việt Nam, ông Lê Mạnh Hùng, Cục trưởng Cục Công nghệ tin học (Ngân hàng Nhà nước) cho biết ngay sau khi nhận được thông tin từ TPBank, Ngân hàng Nhà nước đã yêu cầu các ngân hàng thương mại sử dụng SWIFT ở Việt Nam rà soát và báo cáo. Ngân hàng Nhà nước cũng đã thông báo cảnh báo toàn ngành ngân hàng liên quan đến thủ đoạn của tội phạm mạng đồng thời yêu cầu rà soát lỗ hổng có thể có và phối hợp SWIFT để đảm bảo an toàn hệ thống. Ngân hàng Nhà nước đã liên hệ làm việc với đối tác ủy quyền của; SWIFT tại Việt Nam - Công ty Blitz (tại Singapore) để cập nhật phiên bản mới thêm nhiều tính năng bảo mật cấp cao nhằm tăng cường đảm bảo trước các cuộc tấn công của hacker từ bên ngoài cho các ngân hàng tại Việt Nam có sử dụng dịch vụ của SWIFT.

Minh Hương

Chủ đề khác