VnReview
Hà Nội

Hacker khai thác sự quá tin của ngân hàng với mạng chuyển tiền SWIFT

Quá 7 giờ tối một chút hôm 12/1/2015, một điện chuyển tiền từ một máy tính đầu cuối an toàn ở Banco del Austro (BDA) ở Ecuador hướng dẫn Wells Fargo (San Francisco, Mỹ) chuyển tiền tới các tài khoản ngân hàng ở Hong Kong.

SWIFT

Wells Fargo thực hiện. Hơn 10 ngày, hãng đã chấp thuận tổng số ít nhất 12 giao dịch yêu cầu chuyển tiền của BDA qua hệ thống SWIFT hết sức an toàn.

Mạng lưới SWIFT cho phép các ngân hàng xử lý chuyển tiền hàng tỷ đô la mỗi ngày. Nó được xem là xương sống của ngân hàng toàn cầu. Tổng thể, Wells Fargo đã chuyển 12 triệu USD tiền của BDA đến các tài khoản trên khắp toàn cầu.

Cả hai ngân hàng nay tin rằng những khoản tiền đó đã bị các tin tặc không rõ danh tính đánh cắp, theo tài liệu trong đơn kiện của BDA đối với Wells Fargo ở New York trong năm nay.

BDA từ chối bình luận. Wells Fargo ban đầu từ chối bình luận về vụ kiện, nhưng hôm qua (ngày 20/5/2016, trong một thông cáo gửi hãng tin Reuters nói rằng "hãng đã xử lý đúng các điện chuyển tiền họ nhận được qua các tin nhắn SWIFT xác thực", và họ không chịu trách nhiệm về những mất mát của BDA.

BDA đang kiện Wells Fargo trên cơ sở ngân hàng Mỹ này lẽ ra phải đánh dấu (gắn nhãn) các giao dịch đó là đáng ngờ.

Còn Wells Fargo phản hồi rằng những sai sót trong hoạt động bảo mật của BDA đã gây ra thiệt hại cho chính họ. Các tin tặc đã chiếm được các chứng thực đăng nhập SWIFT của nhân viên BDA, theo tài liệu Wells Fargo nộp lên toà án hồi tháng Hai.

SWIFT, viết tắt của Hiệp hội viễn thông tài chính liên ngân hàng toàn cầu, không phải là một bên liên quan trong vụ kiện này.

Không ngân hàng nào thông báo với SWIFT về vụ mất cắp này vì SWIFT cho biết lần đầu tiên họ nghe thấy tin tức về vụ này từ yêu cầu thông tin từ Reuters.

"Chúng tôi không biết", theo thông cáo SWIFT phản hồi cho Reuters, "Chúng tôi cần phải được khách hàng thông báo về những gian lận như vậy nếu chúng liên quan đến các sản phẩm và dịch vụ của chúng tôi, để chúng tôi có thể thông báo và hỗ trợ rộng rãi trong cộng đồng. Chúng tôi đã lien lạc với ngân hàng liên quan để có thêm thông tin và đang nhắc nhở các khách hàng về bổn phận của họ trong việc chia sẻ thông tin như vậy với chúng tôi".

SWIFT cho biết họ yêu cầu khách hàng thông báo cho SWIFT về những vấn đề có thể ảnh hưởng đến "tính bảo mật, vẹn toàn và sẵn sàng của dịch vụ SWIFT".

Tuy nhiên, SWIFT không có quy định đặc biệt nào yêu cầu các ngân hàng khách hàng của họ báo cáo về các vụ cướp tiền qua mạng. Các ngân hàng thường không báo cáo những vụ tấn công như vậy vì sẽ làm dấy lên những quan ngại về việc tổ chức của họ dễ bị tổn thương, theo các cựu nhân viên của SWIFT và các chuyên gia bảo mật trả lời phóng viên Reuters.

Trường hợp ngân hàng Ecuador phản ánh vấn đề cốt lõi của ngăn ngừa những vụ chuyển tiền bất hợp pháp như vậy: Cả SWIFT và các ngân hàng khách hàng của họ chẳng ai có bức tranh đầu đủ về tần suất hoặc chi tiết của các vụ tấn công mạng thông qua mạng SWIFT.

Vụ việc này – trước đó đã không được thông tin chi tiết – dấy lên những câu hỏi mới về sự giám sát của mạng lưới SWIFT và truyền thông giữa SWIFT và các ngân hàng thành viên về tấn công mạng và các rủi ro liên quan. Mạng lưới này đã đối mặt với sự giám sát dữ dội kể từ khi tin tặc đã cướp 81 triệu USD từ tài khoản của Ngân hàng Trung ương Bangladesh ở Ngân hàng dự trữ liên bang New York hồi tháng 2 năm nay.

Hiện không rõ SWIFT nói với ngân hàng thành viên của mình những gì khi họ phát hiện các vụ tấn công mạng, mà vụ đầu tiên đặc biệt bị phát hiện bởi ngân hàng bị lừa gạt. Người phát ngôn SWIFT là bà Natasha de Terán nói rằng tổ chức này "minh bạc với người dùng", nhưng từ chối giải thích chi tiết. SWIFT cũng từ chối trả lời các câu hỏi cụ thể về các chính sách của họ trong việc tiết lộ các vụ rò rỉ.

Hôm qua, ngày 20/5/2016, sau khi Reuters đăng tin về vụ ngân hàng Ecuador, SWIFT đã thúc giục tất cả người dùng của mình thông báo cho mạng lưới về các vụ tấn công mạng.

Hãng tin Reuters không thể xác định số lượng hoặc tần suất các vụ tấn công mạng liên quan đến SWIFT, hoặc các ngân hàng thường xuyên báo cáo với các quan chức SWIFT như thế nào.

Các chuyên gia bảo mật và cựu nhân viên SWIFT nói rằng việc không tiết lộ thông tin này có thể lại góp phần làm các ngân hàng gia tăng sự tin tưởng vào sự an toàn của mạng lưới SWIFT thường ngày chấp thuận các yêu cầu chuyển tiền mà không cần thêm sự xác minh nào khác.

Những kẻ tội phạm đứng sau các vụ cướp tiền như vậy đang khai thác sự sẵn sàng của các ngân hàng chấp thuận các yêu cầu của SWIFT thay vì thực hiện các thao tác bằng tay bổ sung hoặc kiểm tra tự động.

"SWIFT không thể thay thế các thực hành ngân hàng thận trọng", một cựu nhân viên SWIFT nói, nhấn mạnh rằng các ngân hàng nên xác thực các yêu cầu chuyển hoặc rút tiền như họ làm với các giao dịch ngoài hệ thống SWIFT.

SWIFT cam kết kiểm tra mã số trên điện chuyển tiền được gửi vào hệ thống của mình để đảm bảo điện này bắt nguồn từ thiết bị đầu cuối của khách hàng, và gửi nó đến người nhận một cách nhanh chóng và an toàn, các cựu giám đốc điều hành SWIFT và các chuyên gia an ninh mạng cho biết. Nhưng một khi hacker lấy mã số và thông tin hợp pháp, SWIFT không có cách nào biết được chúng không phải là chủ tài khoản thực sự.

The Bank for International Settlements, một tổ chức thương mại dành cho các ngân hàng trung ương, hồi tháng 11 năm ngoái cho biết rằng việc tăng cường chia sẻ thông tin về tấn công mạng là vô cùng quan trọng để giúp các tổ chức tài chính quản lý rủi ro.

Rủi ro hệ thống

SWIFT, một doanh nghiệp thuộc sở hữu và kiểm soát bởi các ngân hàng nó phục vụ, được thành lập năm 1973 và vận hành một mạng điện chuyển tiền được cho là an toàn, đáng tin cậy từ 4 thập kỷ qua.

Nhưng những vụ tấn công mạng gần đây đã cho thấy vai trò trung tâm của mạng lưới này trong thế giới tài chính toàn cầu cũng chứa đựng rủi ro hệ thống

SWIFT không được điều chỉnh, mà do một nhóm 10 ngân hàng trung ương từ các nước phát triển, dẫn đầu là Ngân hàng Quốc gia Bỉ, giám sát. Trong số các hướng dẫn của SWIFT có yêu cầu cung cấp cho các khách hàng đủ thông tin để cho phép họ "quản lý thích đáng các rủi ro liên quan đến việc sử dụng SWIFT của họ".

Tuy nhiên, một số cựu nhân viên của SWIFT nói rằng doanh nghiệp này chật vật trong việc để các ngân hàng báo cáo về những rủi ro tấn công mạng bởi vì thiếu sự hợp tác từ chính các ngân hàng. 25 thành viên của hội đồng giám đốc SWIFT toàn là đại diện các ngân hàng lớn. Lý do là các ngân hàng sẽ không muốn làm mất ổn định lòng tin vào tổ chức của họ.

Các ngân hàng cũng lo sợ việc thông báo cho SWIFT hoặc lực lượng thực thi pháp luật về các vụ đột nhập an ninh mạng có thể dẫn đến các cuộc điều tra của cơ quan quản lý nhấn mạnh đến những thất bại trong quản lý rủi ro hoặc sự tuân thủ có thể làm các nhà lãnh đạo ngân hàng mất mặt.

Các vụ chuyển tiền bất hợp pháp hiếm khi được công khai, một phần bởi sự bất đồng thường được giải quyết song phương hoặc thông qua trọng tài (mà thường là đặc biệt riêng tư), theo ông Salvatore Scanio, một luật sư ở Washington, D.C. Ông nói ông đã tư vấn cho một vụ tranh chấp liên quan đến nhiều triệu đô la bị đánh cắp và gửi điện chuyển tiền SWIFT gian lận tương tự như vụ tấn công ngân hàng BDA. Ông từ chối nêu tên các bên hoặc cung cấp các thông tin cụ thể khác.

Trên lý thuyết, SWIFT có thể yêu cầu các khách hàng của mình, chủ yếu là các ngân hàng, thông báo cho họ về bất kỳ cuộc tấn công nào. Song một quy định như vậy phải có sự đồng ý của hội đồng giám đốc, mà thành viên hội đồng này chủ yếu là các quan chức cấp cao của các ngân hàng phương Tây lớn nhất, những người chắc không chấp thuận một chính sách như vậy, theo ông Lieven Lambrecht, cựu giám đốc nguồn nhân lực SWIFT nói.

Cãi nhau về trách nhiệm

Tuần này, ngân hàng Việt Nam là TPBank cho biết tài khoản SWIFT của họ cũng bị sử dụng trong một nỗ lực tấn công mạng hồi năm ngoái. Cuộc tấn công này đã thất bại nhưng đó là một dấu hiệu khác cho thấy tội phạm mạng đang gia tăng nhắm vào mạng điện chuyển tiền toàn cầu.

Trong vụ Ecuador, Wells Fargo phủ nhận bất kỳ trách nhiệm nào đối với những giao dịch gian lận từ tài khoản của BDA. Wells Fargo trong một tài liệu toà án nói rằng họ không xác nhận tính xác thực của yêu cầu chuyển tiền của BDA bởi chúng đến qua SWIFT, mà Wells gọi là "một trong những hệ thống được sử dụng rộng rãi nhất và an toàn nhất" để chuyển tiền.

BDA đang tìm kiếm khả năng đòi lại tiền và tiền lãi. Còn Wells Fargo đang cố rũ trách nhiệm.

Ngân hàng Citibank trụ sở ở New York cũng đã chuyển 1,8 triệu USD theo các điện chuyển tiền lừa đảo từ tài khoản SWIFT của BDA, theo tài liệu vụ kiện của BDA với ngân hàng Wells Fargo.

BDA cho biết Citibank đã hoàn lại 1,8 triệu USD cho BDA. Nhưng Citibank từ chối bình luận về vấn đề này.

Về phần mình, Wells Fargo đã hoàn lại cho BDA 958.700 USD trong tổng số 1,486 triệu USD họ đã chuyển cho một tài khoản có tên Jose Mariano Castillo ở Wells Fargo ở Los Angeles, theo tài liệu toà án. Hiện phóng viên Reuters chưa xác minh được sự tồn tại của nhân vật Castillo.

Giải phẫu một vụ cướp tiền ngân hàng qua mạng

Theo luật sư Scanio ở Washington, vụ kiện BDA-Wells Fargo là bất thường mà ở đó một ngân hàng lôi ngân hàng đối ứng của họ ra toà, do đó khiến cho thông tin chi tiết vụ việc bị lôi ra ánh sáng.

BDA thừa nhận trong tài liệu nộp toà án hồi tháng Một vừa qua rằng họ đã phải mất hơn một tuần sau điện chuyển tiền lừa đảo đầu tiên mới phát hiện ra mất tiền.

Sau khi đoạt được đăng nhập SWIFT từ một nhân viên BDA, các tin tặc sau đó đã "vợt" ra các điện chuyển tiền trước đó bị huỷ hoặc từ chối còn lưu trong outbox SWIFT của BDA.

Sau đó chúng sửa lượng tiền và nơi nhận trên điện chuyển tiền và phát hành lại điện chuyển tiền, theo tài liệu toà án vụ BDA và Wells Fargo.

Trong khi Wells Fargo tuyên bố trong tài liệu toà án rằng các sai sót bảo mật của BDA là nguyên nhân của vụ rò rỉ này thì BDA đã cáo buộc Wells có thể dễ dàng phát hiện và từ chối những giao dịch đáng ngờ. BDA nhấn mạnh rằng các điện thanh toán đều được thực hiện bên ngoài giờ làm việc hành chính và với số lượng lớn bất thường.

Kẻ cướp tiền của BDA và các ngân hàng khác đã nhấn mạnh sự cần thiết cho các ngân hàng cả hai bên giao dịch – thường là lượng lớn – phải bớt dựa dẫm vào sự bảo mật của SWIFT và tăng cường các giao thức xác nhận của chính mình.

Thanh Xuân

Chủ đề khác