Sau khi kích hoạt 5,4 triệu địa chỉ email và 31.000 hồ sơ liệt kê số thẻ ngân hàng (sáu chữ số hiển thị ở giữa) của khách hàng trên Thế giới di động được cho là trên RaidForums, tài khoản Erwincho tiếp tục lưu hành. 32 dòng thông tin, trong đó 16 chữ số được coi là số thẻ tín dụng hoàn chỉnh. Điều này lo lắng những người trả tiền cho thẻ ở đây.
Một số giám đốc điều hành ngân hàng và quản lý trung tâm thẻ cho biết trong một cuộc phỏng vấn với VnExpress rằng ngay cả tin tặc cũng có 16 chữ số. Trên thẻ, không có cách nào để lấy tiền từ người dùng. “Chỉ khi số thẻ, ngày hết hạn, ba số bí mật (mã CVV) đằng sau thẻ … tất cả thông tin được tiết lộ, thực thể xấu mới có thể thực hiện giao dịch trực tuyến”, quan chức ngân hàng nói. – Phó tổng giám đốc của một ngân hàng bán lẻ nói thêm rằng mã CVV là dữ liệu mà chỉ ngân hàng biết, nhưng một mặt nó là một điểm thanh toán (thương gia) như Thế giới di động. Nó có thể đã được. Do đó, nếu dữ liệu này xuất phát từ dữ liệu do tin tặc công bố, số CVV không thể được cung cấp.
Trong 32 tài khoản này, người quản lý của một trung tâm thẻ ngân hàng công cộng nào đó đã nói rằng: tín dụng đáo hạn và không còn rủi ro tiềm tàng.
Phó chủ tịch của một ngân hàng đại chúng lớn khác cũng thừa nhận rằng các tin tặc không có đủ thông tin để gửi tiền vào tài khoản của họ. người sử dụng. Tuy nhiên, ngân hàng vẫn sẽ chờ đánh giá của cơ quan điều tra (C50) để quyết định có nên thay thế thẻ tín dụng cho khách hàng có thông tin đã được tiết lộ hay không.
Tuy nhiên, thông tin chi tiết được tiết lộ bởi thẻ (bị đánh cắp từ “thế giới di động” hoặc từ ngân hàng hoặc trung gian thanh toán) đều cho thấy các bên chưa xem xét nghiêm túc bảo mật thông tin.
– Để cung cấp bảo mật, một số giám đốc điều hành ngân hàng đã tuyên bố rằng người dùng nên thay đổi mật khẩu email cá nhân và sau đó thay đổi mật khẩu. Mật khẩu cho các giao dịch ngân hàng trực tuyến và theo dõi hoặc đóng băng các giao dịch thẻ tín dụng để xác minh. Người dùng nên tò mò và không tìm kiếm các tệp được chia sẻ trên các diễn đàn hacker để tránh nhiễm vi-rút trên máy tính cá nhân của họ.
Tôi tin rằng thông tin thẻ tín dụng từ các khách hàng gần đó đã được chia sẻ trên RaidForums vào tối ngày 7 tháng 11. — Các chuyên gia bảo mật và thanh toán ngân hàng đã nhận thấy rằng tin tặc vẫn sẽ đăng nhiều câu hỏi nếu họ tuân theo quy trình thanh toán đang diễn ra. ngay bây giờ Một giám đốc điều hành từ một ngân hàng cổ phần ở phía nam đã phân tích rằng nếu bạn thanh toán bằng thẻ cho máy chấp nhận thanh toán (POS), việc tiết lộ dữ liệu là rất khó khăn. Điểm bán hàng tại điểm thanh toán không thể lưu trữ thông tin về số thẻ hoặc mã CVV của khách hàng. Ngoài ra, nếu máy POS lưu thông tin, thì hacker không cần cài đặt thiết bị để đánh cắp thông tin từ ATM … Ông nói rằng ngân hàng gửi séc mỗi tháng. Được sử dụng cho các giao dịch POS của thương nhân, nhưng thông tin thẻ khách hàng cũng được mã hóa với số thẻ ở giữa. Ngay cả khi ngân hàng gửi một bản sao kê email cho chủ sở hữu, bản sao kê sẽ ẩn 6 hoặc 8 chữ số giữa các thẻ và thay thế chúng bằng các ký tự xxxxxx, để trong trường hợp bị tấn công email, thông tin trong thẻ Sẽ không xuất hiện. Do thông tin mà tin tặc có được từ năm 2016 không loại trừ khả năng này, nên các tiêu chuẩn bảo mật của một số ngân hàng vẫn còn lỏng lẻo và thấp. Do đó, khi gửi séc cho thương gia, anh ta đã không mã hóa số thẻ ở giữa, dẫn đến việc đánh cắp thông tin. Ngoài ra, theo dữ liệu do tin tặc tiết lộ, ngoài số thẻ, còn có email và số điện thoại. Điện thoại … vì vậy một số chi nhánh có thể không tuân thủ các thủ tục ngân hàng. Nói cách khác, họ tự ý nhập tên chủ thẻ và dữ liệu thông tin cá nhân liên quan vào một trang riêng để lưu trữ, dẫn đến nguy cơ bị đánh cắp dữ liệu.
Mặc dù rất khó để tiết lộ thông tin ở giai đoạn bán hàng, các chuyên gia ngân hàng tin rằng rủi ro có thể nằm ở giai đoạn thanh toán trực tuyến. Thông thường, các thương nhân này sẽ được liên kết với một trung gian thanh toán của bên thứ ba và khả năng lộ số thẻ nằm ở cấp độ của trung gian thanh toán. Tuy nhiên, chỉ mục mới của thẻ có thể bị lộ và mã CVV rất khó khăn vì nó thường được mã hóa theo tiêu chuẩn bảo mật PCI DSS.
Thanh Lê-Minh Sơn