Vì sao lừa đảo biết chính xác số tài khoản ngân hàng, mật khẩu và mã của người dùng?

Theo China News, bạn nhận được thông báo tài khoản QQ bị đăng nhập từ nơi khác, Apple ID cũng bị đăng nhập ở nơi xa, thậm chí cả tài khoản Xiaomi. Bạn bỗng dưng nhận được một cuộc gọi kỳ lạ, đầu dây bên kia là “nhân viên chăm sóc khách hàng ngân hàng” có thể đọc vanh vách số tài khoản ngân hàng của bạn, còn nói rằng tài khoản bị trừ nhầm tiền. Nếu làm theo hướng dẫn của họ, tiền trong thẻ sẽ “không cánh mà bay”.

Bạn nhận một email từ cửa hàng Taobao vừa mua hàng. Tệp đính kèm trông hoàn toàn bình thường, nhưng chỉ một ngày sau, toàn bộ tiền trong tài khoản ngân hàng đã biến mất.

Những việc như vậy tràn ngập quanh ta. Nhiều người đã mất tiền vì nó. Giữa lúc hoang mang, có lẽ bạn tự hỏi: Tại sao kẻ xấu lại nắm rõ thông tin cá nhân của mình đến vậy? Dữ liệu cá nhân của bạn rơi vào tay chúng bằng cách nào?

Triệu Vũ, một người sống tại Trung Quốc đã lăn lộn nhiều năm trong giới an ninh mạng. Có lần ông tấn công ngược vào máy chủ của hacker, lấy lại thông tin cá nhân bị đánh cắp rồi gọi điện nhắc nhở từng nạn nhân đổi mật khẩu. Ông cũng từng phá giải cơ sở dữ liệu bị hacker chiếm bằng trạm gốc giả và báo cảnh sát. Khi bị hỏi “Anh có phải nạn nhân không?”, ông trả lời “Không”. Cảnh sát lại nói: “Nạn nhân chưa báo, anh báo làm gì?”.

Năm 2015, ông thành lập công ty an ninh Bạch Mạo Hội, chuyên cung cấp tình báo để đối phó rò rỉ thông tin và tội phạm mạng. Điểm đặc biệt là cách làm rất “bình dân”, ông kết nối hàng nghìn “hacker mũ trắng” (tức hacker tốt, làm việc trong lĩnh vực an ninh) vào sâu trong thế giới ngầm để nắm bắt động thái tội phạm.

Ông nói: “Bạn không thể tưởng tượng những mũ trắng đó lợi hại thế nào. Tôi không quan tâm họ dùng cách nào để lấy tin, việc của tôi là xác minh và sử dụng công nghệ để kiểm chứng”. Những thông tin nội bộ này thường độc quyền và bí mật, khiến Bạch Mạo Hội giống như “thám tử tư” trong giới an ninh mạng. Tại hội nghị giải pháp tình báo an ninh, ông đã tiết lộ thủ đoạn của hacker.

Thông tin của bạn thường bị rò rỉ từ các trang thương mại điện tử hoặc diễn đàn. Khi mua sắm, bạn phải nhập địa chỉ và số thẻ, dữ liệu này được lưu trong máy chủ. Hacker muốn lấy thông tin phải tấn công máy chủ thông qua “lỗ hổng”, chính là con đường ngầm vượt qua “bảo vệ”.

Trong mắt hacker, lỗ hổng có nhiều loại, có cái cho phép vào tận “trái tim” hệ thống, có cái chỉ dừng ở vòng ngoài. Có lỗ hổng phổ biến, có cái chỉ dùng được cho vài trang.

Trong thế giới ngầm, “các hacker mũ trắng” tìm thấy lỗ hổng sẽ báo cho doanh nghiệp vá lại; còn “hacker mũ đen” sẽ bán cho kẻ khác để tấn công. Khi website bị xâm nhập, họ thường phải cầu cứu các công ty như Bạch Mạo Hội.

Lỗ hổng có “chu kỳ sống”. Từ khi phát hiện đến khi vá, đó là “thời kỳ vàng” để tội phạm lợi dụng. Nếu chỉ vài người biết lỗ hổng, còn cả thế giới không hay, đó gọi là 0Day. Trên nền tảng “WooYun”, nhiều lỗ hổng 0Day cực kỳ nguy hiểm từng được công bố.

Các hacker mũ đen thường nhắm vào lỗ hổng mới, ồ ạt tấn công, cướp dữ liệu người dùng, cài cửa hậu. Đến khi nhiều website kịp vá thì đã quá muộn.

Thậm chí nhiều lỗ hổng cũ, gọi là “NDay”, vẫn tồn tại vì nhiều công ty không vá, do chi phí hoặc nghĩ không quá cần thiết. Ví dụ lỗ hổng “Heartbleed” từ năm 2014, nhiều nơi vẫn chưa khắc phục.

Trong thực tế, chỉ cần hacker gửi email giả mạo cho CEO kèm mã độc khai thác lỗ hổng cũ, toàn bộ hệ thống công ty có thể bị kiểm soát ngay. Thông tin cá nhân bị gom lại thành cơ sở dữ liệu khổng lồ. Trong đó có nhóm chuyên “dò kho” – dùng tài khoản, mật khẩu có sẵn để thử trên nhiều website khác.

Do thói quen dùng chung mật khẩu, hậu quả rất nghiêm trọng, từ một email bị lộ, hacker có thể truy cập Apple ID, Taobao, lấy được thông tin ngân hàng, địa chỉ, thậm chí mật khẩu thẻ, mã OTP qua email lừa đảo.

Chuỗi tấn công “lỗ hổng – rò rỉ – dò kho” đã khiến hơn 2 tỷ tài khoản mật khẩu bị lưu hành trong thế giới ngầm tại Trung Quốc.

Triệu Vũ cho biết nhóm ông từng triệt phá 1.900 website lừa đảo, thu được dữ liệu đầy đủ của hơn 16.000 nạn nhân: tên, số thẻ, mật khẩu, CMND, địa chỉ, số điện thoại. Chỉ với những thông tin này, bất kỳ ai cũng có thể dễ dàng chiếm đoạt tài sản của bạn.

Trong chương trình CCTV 315, từng có phóng sự, chỉ cần cài một ứng dụng do hacker gửi, toàn bộ cuộc gọi và tin nhắn trong điện thoại sẽ bị lấy cắp. Điều này hoàn toàn khả thi về mặt kỹ thuật.

Trên máy chủ của hacker, ông tìm thấy vô số tin nhắn cá nhân bị lưu. Một trường hợp khiến ông nhớ mãi đó là: Có người nhắn cho vợ rằng mình trúng thưởng, hớn hở xin số tài khoản ngân hàng. Người đàn ông đáng thương đó chỉ là một trong hàng triệu nạn nhân.

Trong thế giới ngầm, có cả đội ngũ cho thuê máy chủ phục vụ website lừa đảo, giá 2.000 NDT/tuần, để tránh bị truy ra kẻ chủ mưu. Hệ thống phân công tỉ mỉ đến mức khó tưởng tượng.

Trong thực tế, mức cao nhất của tấn công không phải hệ thống, mà là con người. Nếu hacker chiếm được tài khoản nội bộ, họ có thể hợp pháp đăng nhập và âm thầm lấy dữ liệu mà không hệ thống nào chặn nổi.

Theo Triệu Vũ, cách duy nhất là tấn công ngược, xâm nhập hệ thống của hacker, lần ra danh tính thật ngoài đời để đưa ra pháp luật. Hacker mũ đen khi lừa đảo luôn phải để lại kênh nhận dữ liệu. Lần ngược theo đó, hacker mũ trắng có thể truy ra QQ, theo dõi trò chuyện, tìm ra số điện thoại, tên, địa chỉ. Từng bước giống hệt cách hacker mũ đen làm với nạn nhân, chỉ khác là mục tiêu cuối cùng không phải lừa đảo, mà là trừng phạt.