Thủ đoạn mới hack tài khoản chứng khoán

(Banker.vn) (thitruongtaichinhtiente.vn) - Lợi dụng sơ hở của nhà đầu tư khi sử dụng chung tài khoản chứng khoán và các tài khoản mạng xã hội, diễn đàn, các đối tượng hacker xâm nhập trái phép vào tài khoản, dò mã OTP và thực hiện việc rút tiền, bán cổ phiếu chiếm đoạt tài sản gây thiệt hại lớn cho chủ tài khoản.

Từ một vụ lộ dữ liệu trên diễn đàn chứng khoán

Theo đó, Phòng Cảnh sát hình sự (PC02), Công an TP Hà Nội nhận được trình báo của một công ty chứng khoán về việc tài khoản chứng khoán của một khách hàng bị truy cập trái phép và bị chiếm đoạt số tiền 3,4 tỷ đồng. Phòng PC02 đã phối hợp với Phòng An ninh mạng và Phòng chống tội phạm sử dụng công nghệ cao (PA05) sử dụng các biện pháp kỹ thuật, nghiệp vụ xác định đối tượng thực hiện hành vi phạm tội là Nguyễn Trần Minh Hòa.

Qua đấu tranh, đối tượng khai nhận: Khoảng đầu năm 2022, đối tượng phát hiện được một diễn đàn về chứng khoán tại Việt Nam có lỗi SQL Injection (là lỗi về cơ sở dữ liệu khiến trang web có thể bị chiếm đoạt dữ liệu người dùng) nên đã xâm nhập trái phép và thu thập được 156.000 tài khoản và mật khẩu người dùng. Đối tượng nghĩ có thể sử dụng tài khoản, mật khẩu này để đăng nhập trên các sàn giao dịch chứng khoán tại Việt Nam nên thử và đăng nhập thành công được nhiều tài khoản. Đối tượng đã làm giả ảnh CMND để mở tài khoản ngân hàng trực tuyến trùng tên với tài khoản chứng khoán chiếm đoạt được, liên kết tài khoản ngân hàng làm giả với tài khoản chứng khoán và rút tiền từ tài khoản chứng khoán về tài khoản ngân hàng làm giả. Đối tượng sử dụng tiền chiếm đoạt được trong tài khoản ngân hàng giả mạo mua tiền kỹ thuật số USDT, sau đó, bán USDT đề lấy tiền VND về tài khoản ngân hàng cá nhân để tiêu xài.

Trong vụ án trên, người bị hại bị truy cập trái phép vào tài khoản chứng khoán đang sử dụng, nên ngay sau khi bị đối tượng truy cập trái phép tài khoản chứng khoản thì người bị hại đã phát hiện, kịp thời phản ánh cho đơn vị quản lý sản chứng khoán, và cơ quan công an nên đã phong tỏa được tài khoản ngân hàng bị làm giả. Đối tượng và người bị hại không có quan hệ với nhau, đối tượng sử dụng hiểu biết về CNTT để chiếm đoạt tài khoản của bị hại, nên khi người bị hại bị mất tiền trình báo thì không nghi vấn được cho ai.

Những lỗ hổng bảo mật

Đối tượng đã lợi dụng lỗ hổng của công ty chứng khoán có cơ chế xác thực giao dịch bán, chuyển tiền bằng mã OTP gửi về số diện thoại khách hàng đã đăng ký với sàn chứng khoán nhưng lại không giới hạn số lần nhập sai mã OTP. Lợi dụng lỗ hổng này, đối tượng đã sử dụng phần mềm dò mã OTP để xác thực thành công các giao dịch mua, bán, chuyển tiền từ tài khoản chứng khoán chiếm đoạt được.

Tuy sàn chứng khoán có quy định chỉ liên kết với các tài khoản ngân hàng trùng tên với tài khoản trên sàn chứng khoán, nhưng việc liên kết thêm tài khoản ngân hàng mới chỉ cần thực hiện trực tuyến, không cần phải đến trụ sở công ty chứng khoán hoặc làm hợp đồng nên cũng tạo kẽ hở cho các đối tượng  phạm tội.

Theo cơ quan công an, quá trình điều tra có nhiều khó khăn do đối tượng có trình độ hiểu biết về CNTT, các hành vi thực hiện đều thông qua mạng Internet nên khó khăn trong quá trình truy nguyên con người thực hiện hành vi phạm tội. Cùng với đó, hiện trạng sim rác, sim không đăng ký chính chủ nhiều, việc mua bán sim dễ dàng nên việc các đối tượng sử mua sim rác sử dụng để tránh việc bị cơ quan công an phát hiện diễn ra phổ biến. Các đối tượng sử dụng tiền vi phạm pháp luật để mua bán các loại tiền kỹ thuật số nên việc truy nguyên theo dòng tiền gặp nhiều khó khăn.

Cẩn trọng bảo mật tài khoản

Cơ quan công an khuyến cáo các nhà đầu tư và người dân đối với các loại tài khoản chứa tài sản có giá trị lớn như tài khoản Internet Banking ngân hàng, tài khoản trên các sàn giao dịch chứng khoản, ví điện tử... nên sử dụng mật khẩu mạnh (là loại mật khẩu gồm số, chữ, ký hiệu), riêng biệt với các tài khoản mạng xã hội, diễn đàn và thường xuyên thay đổi mật khẩu định kỳ theo khuyến cáo của đơn vị quản lý.

Nhà đầu tư và người dân cần có ý thức bảo vệ các thiết bị điện tử như điện thoại thông minh, laptop cá nhân không để người lạ tiếp cận, sử dụng. Không truy cập các đường link lạ, tải và sử dụng các ứng dụng không rõ nguồn gốc, không cung cấp các loại mã OTP cho bất kỳ ai. Đồng thời, thường xuyên bổ sung kiến thức về các phương thức, thủ đoạn hoạt động của tội phạm trên không gian mạng để nâng cao tinh thần cảnh giác, ý thức bảo mật thông tin trong quá trình thực hiện các giao dịch trên mạng nói chung và giao dịch chứng khoán nói riêng.

Theo:
    Bài cùng chuyên mục