Những sự cố an ninh nổi bật ngành tài chính ngân hàng năm 2020

Ảnh: Internet

Tháng 1/2020

Trang web đổi tiền Travelex có trụ sở chính tại London đã phải ngưng hoạt động tới 3 tuần sau một cuộc tấn công mạng vào đêm giao thừa 2019. Sau khi phát hiện ra sự cố vào ngày 31/12, Travelex buộc phải tắt các hệ thống của mình để ngăn vi-rút lây lan. Cuộc tấn công được thực hiện bởi một nhóm tội phạm mạng đứng sau phần mềm tống tiền Sodinokibi, còn được gọi là REvil. Vụ việc đã ảnh hưởng xấu đến một số ngân hàng lớn ở Anh, bao gồm Barclays, Lloyds và Royal Bank of Scotland, vì tất cả đều sử dụng Travelex để cung cấp dịch vụ ngoại hối và dịch vụ tiền tệ cho du lịch.

Vào tuần đầu tiên của tháng 1/2020, có thông tin cho rằng các ngân hàng lớn ở châu Phi hạ Sahara là mục tiêu của nhóm hack Silence. Theo Kaspersky, cáo buộc các cuộc tấn công cho nhóm Silence dựa trên phần mềm độc hại được sử dụng, khái quát chung của cuộc tấn công đều liên quan đến các email lừa đảo được gửi cùng với phần mềm độc hại, thu thập dữ liệu và sau đó rút một lượng lớn tiền mặt chỉ trong một lần qua máy ATM. Tới giữa tháng 1/2020, các cuộc tấn công vẫn tiếp diễn và tiếp tục nhắm vào các ngân hàng lớn.

Bốn ngân hàng chính của Hy Lạp gồm: Alpha, Piraeus, Eurobank và Ngân hàng Quốc gia Hy Lạp - đã buộc phải hủy 15.000 thẻ tín dụng và thẻ ghi nợ sau khi dữ liệu thẻ thanh toán của một số khách hàng  thuộc các ngân hàng này sử dụng trên cổng dịch vụ du lịch của Hy Lạp bị tấn công.

Các ngân hàng đã đưa ra tuyên bố chung thừa nhận "vài chục" khách hàng đã bị “tính phí” với các giao dịch mà họ chưa bao giờ thực hiện, nhưng quyết định hủy dần và thay thế tất cả 15.000 thẻ đã được sử dụng cho dịch vụ du lịch, dù chỉ là một lần.

Tháng 2/2020

Ngày 25/2/2020, có báo cáo rằng các ngân hàng Úc và các tổ chức tài chính khác đã bị nhóm Silence tống tiền bằng các cuộc tấn công DDoS trừ khi họ trả tiền chuộc. Các cuộc tấn công DDoS diễn ra nhưng không nhằm vào tất cả các mục tiêu. Nhóm Silence cũng có liên quan đến việc ăn cắp từ các ngân hàng trên khắp Đông Âu, Nam và Trung Á, và gần đây là châu Phi hạ Sahara. Nhóm yêu cầu thanh toán bằng tiền điện tử Monero để ngưng các cuộc tấn công.

Cũng trong ngày 25/2/2020, Cơ quan giám sát tài chính Vương quốc Anh (Financial Conduct Authority - FCA) đã thừa nhận để lộ thông tin của khoảng 1.600 người dùng. FCA cho biết việc lộ thông tin xảy ra sau khi dữ liệu được phát hành công khai theo yêu cầu của Đạo luật Tự do Thông tin (FOI). Yêu cầu FOI có thể được thực hiện ở Vương quốc Anh đối với các hồ sơ do cơ quan công quyền nắm giữ. Yêu cầu ở trung tâm của vụ rò rỉ dữ liệu liên quan đến số lượng khiếu nại đã được gửi tới FCA - và được xử lý bởi nhóm khiếu nại của nhà chức trách - từ ngày 2/1/2018 đến ngày 17/7/2019. Tên, mô tả khiếu nại , địa chỉ, số điện thoại và các thông tin khác đã bị lộ, mặc dù người ta tin rằng khoảng một nửa số cá nhân trong số này chỉ bị lộ tên của họ.

Tháng 3/2020

Ngày 6/3/2020, có báo cáo rằng thông tin của hơn 200.000 thẻ tín dụng từ các ngân hàng hàng đầu ở Singapore, Malaysia, Philippines, Indonesia và Thái Lan đã bị đánh cắp và công bố trực tuyến. Các nhà nghiên cứu bảo mật xác định rằng Philippines có 172.828 thẻ bị đánh cắp thông tin, Malaysia và Singapore lần lượt có 37.145 và 25.290 thẻ. Một trong những ngân hàng được nêu tên, CIMB Group Holdingssau đó bác bỏ thông tin và cho biết không có vụ xâm phạm nào, thông tin chi tiết về thẻ có thể đã được lấy ở nơi khác.

Hôm 13/6/2020, Europol công bố với sự giúp đỡ từ cơ quan thực thi pháp luật địa phương, họ đã thực hiện một loạt vụ bắt giữ trên khắp châu Âu nhắm vào các cuộc tấn công hoán đổi SIM. Dưới tên gọi "Chiến dịch Quinientos Dusim", Trung tâm Tội phạm mạng Châu Âu của Europol (EC3), Cảnh sát Quốc gia Tây Ban Nha và Lực lượng Bảo vệ Dân sự Tây Ban Nha đã bắt giữ 12 nghi phạm ở Benidorm, Granada và Valladolid. Cơ quan thực thi pháp luật ở Rumani và Áo đã bắt giữ thêm 14 thành viên bị cáo buộc của một băng đảng riêng biệt với tên gọi "Operation Smart Cash". Vụ hack đầu tiên được cho là nguyên nhân gây ra vụ trộm hơn 3 triệu euro trong một loạt các cuộc tấn công hoán đổi SIM. Các cuộc tấn công hoán đổi SIM ngày càng trở nên phổ biến vì các thiết bị di động của chúng ta hiện là trung tâm để truy cập mọi thứ, từ mạng xã hội đến tài khoản ngân hàng. Trong trường hợp của Áo và Rumani, tội phạm mạng đã tấn công và gây thiệt hại cho hơn 100 nạn nhân, mỗi trường hợp lấy trộm từ 6.000 euro đến 137.000 euro từ tài khoản ngân hàng, với tổng số tiền trộm cắp tổng cộng khoảng nửa triệu euro.

Ngày 20/3/2020, Finastra, một công ty công nghệ tài chính lớn có trụ sở tại London, tuyên bố họ là nạn nhân của một cuộc tấn công ransomware. Cuộc tấn công đã dẫn đến sự gián đoạn các dịch vụ của Finastra khi họ buộc phải đóng một số máy chủ nhất định để đối phó với cuộc tấn công có ảnh hưởng lớn nhất đến hoạt động ở Bắc Mỹ. Finastra có hơn 10.000 nhân viên và cung cấp dịch vụ cho gần như tất cả 50 ngân hàng hàng đầu trên toàn cầu. Công ty tuyên bố không có bằng chứng về việc xâm nhập dữ liệu của khách hàng hoặc nhân viên.

Tháng 4/2020

Ngày 9/4/2020, bộ nhớ cache gồm 400.000 bản ghi thẻ thanh toán từ các ngân hàng ở Hàn Quốc và Hoa Kỳ đã được tải lên một thị trường ngầm nổi tiếng. Theo Group-IB - công ty bảo mật, vụ này được xác định là vụ bán hồ sơ ngân hàng có liên quan đến Hàn Quốc lớn nhất năm 2020. Cơ sở dữ liệu chủ yếu chứa thông tin Track 2, nghĩa là dữ liệu được lưu trữ trên dải từ của thẻ chẳng hạn như số nhận dạng ngân hàng (BIN), số tài khoản, ngày hết hạn và CVV (mã xác minh thẻ dùng khi thanh toán trực tuyến).

Ngày 13/4/2020, các nhà nghiên cứu của IBM báo cáo rằng các ngân hàng Tây Ban Nha đã trở thành mục tiêu của một Trojan ngân hàng Brazil, Grandoreiro, trong một chiến dịch kéo dài nhiều tháng. Chiến dịch khai thác sự bùng phát virus Corona bằng cách sử dụng các video có chủ đề về đại dịch để thuyết phục người dùng chạy tệp thực thi ẩn. Grandoreiro là một trojan ngân hàng hiển thị màn hình mạo danh ngân hàng phủ lên trên màn hình của ứng dụng khi người dùng truy cập vào ngân hàng trực tuyến của họ. Điều này cho phép kẻ xấu lấy mật khẩu truy cập và sau đó chuyển tiền từ tài khoản nạn nhân. Phần mềm độc hại này được kích hoạt khi truy cập vào danh sách các ngân hàng được gắn cứng từ trước, chủ yếu là các ngân hàng địa phương.

Tháng 5/2020

Ngày 21/5/2020, những kẻ khai thác mã độc tống tiền Maze đã phát hành 2GB dữ liệu, bao gồm thông tin thẻ tín dụng, từ Banco BCR, ngân hàng thuộc sở hữu nhà nước của Costa Rica. Đáng chú ý, những kẻ tấn công tuyên bố quyết định không mã hóa dữ liệu Banco BCR bằng ransomware vì “thiệt hại có thể xảy ra là quá cao”. Ba tuần trước đó, vào ngày 1/5/2020, chúng đã thông báo rằng đã xâm nhập Banco BCR, lần đầu tiên vào tháng 8/2019 và sau đó vào tháng 2/2020, tại thời điểm đó chúng đã đánh cắp 11 triệu thông tin thẻ tín dụng và các dữ liệu khác.

Tháng 6/2020

Postbank, bộ phận ngân hàng của Bưu điện Nam Phi, đã mất hơn 3,2 triệu đô la từ các giao dịch gian lận và sẽ phải thay thế hơn 12 triệu thẻ cho khách hàng sau khi nhân viên in và sau đó lấy cắp khóa chính của ngân hàng này. Tờ Sunday Times của Nam Phi cho biết vụ việc xảy ra vào tháng 12/2018 khi có người in chìa khóa chính của ngân hàng ra một mảnh giấy tại trung tâm dữ liệu cũ của nó ở thành phố Pretoria. Khóa chính là một mã gồm 36 chữ số (khóa mã hóa) cho phép người nắm giữ nó giải mã các hoạt động của ngân hàng và thậm chí truy cập và sửa đổi hệ thống ngân hàng. Nó cũng được sử dụng để tạo khóa cho thẻ khách hàng. Báo cáo nội bộ cho biết từ tháng 3 đến tháng 12/2019, các nhân viên lừa đảo đã sử dụng khóa chính để truy cập tài khoản và thực hiện hơn 25.000 giao dịch gian lận, đánh cắp hơn 3,2 triệu đô la (56 triệu rand) từ số dư của khách hàng. Việc thay thế tất cả các thẻ khách hàng đã được tạo bằng khóa chính có thể sẽ tốn hơn một tỷ Rand – đơn vị tiền tệ của Nam Phi (số tiền này tương ứng với khoảng 58 triệu USD); bao gồm thay thế thẻ thanh toán thông thường và cả thẻ nhận trợ cấp xã hội của chính phủ. Sunday Times cho biết khoảng 8 đến 10 triệu thẻ là để nhận các khoản trợ cấp xã hội và đây là nơi hầu hết các hoạt động gian lận đã diễn ra.

Tháng 7/2020

Ngày 13/7, Argenta, một ngân hàng tiết kiệm của Bỉ đã đóng cửa 143 máy rút tiền ATM sau khi hứng chịu một cuộc tấn công mạng từ những tên tội phạm chưa rõ danh tính. Cuộc tấn công do Argenta tự báo cáo, những từ chối cho biết số tiền bị ảnh hưởng. Bọn tội phạm đã cố gắng tận dụng kỹ thuật được gọi là 'jackpotting' để kiểm soát các máy rút tiền. Theo các chuyên gia, đây là lần đầu tiên tại Bỉ kẻ trộm muốn rút sạch tiền từ các máy ATM bằng cách hack chúng. Những kẻ trộm kỹ thuật số được cho là đã nhắm mục tiêu vào một loại máy ATM nhất định và Argenta đã quyết định tạm thời tắt tất cả các máy ATM loại đó.

Ngày 25/7/2020, tin tặc công bố dữ liệu và thông tin cá nhân của 7,5 triệu người dùng ứng dụng ngân hàng ‘Dave’. Những kẻ tấn công đã truy cập và lấy cắp dữ liệu trong khoảng thời gian từ ngày 10/6 đến ngày 3/7/2020 bằng cách thâm nhập thông qua Waydev, một nền tảng phân tích của bên thứ ba do nhóm kỹ sư Dave sử dụng. Kể từ đó, công ty đã vá lỗ hổng bảo mật, nhưng dữ liệu đã bị rò rỉ trên RAID của diễn đàn hacker và được các thành viên diễn đàn tải xuống miễn phí. Thông tin bị lộ bao gồm tên đầy đủ, email, ngày sinh và địa chỉ nhà riêng, số an sinh xã hội được mã hóa và mật khẩu.

Tháng 8/2020

Ngày 26/8/2020, chính phủ Hoa Kỳ đã ban hành một cảnh báo chung để cảnh báo công chúng về một chiến dịch mạng đang diễn ra bởi nhóm 'BeagleBoyz' do Triều Tiên hậu thuẫn đang sử dụng các công cụ phần mềm độc hại truy cập từ xa để đánh cắp hàng triệu người từ các tổ chức tài chính ở ít nhất 38 quốc gia.

Ngày 26/8, nhà cung cấp mạng của Sở Giao dịch chứng khoán New Zealand đã trải qua một cuộc tấn công DDoS mở rộng kéo dài vài ngày và khiến Sở giao dịch phải ngừng hoạt động.

Tháng 9/2020

Hãng viễn thông Magyar Telekom đưa tin vào ngày 23/9/2020, một số dịch vụ ngân hàng và viễn thông của Hungary đã bị gián đoạn bởi một cuộc tấn công DDoS mạnh mẽ được thực hiện từ các máy chủ ở Nga, Trung Quốc và Việt Nam.

Ngày 6/9/2020, Banco Estado, ngân hàng đại chúng duy nhất ở Chile và là một trong ba ngân hàng lớn nhất nước này, đã bị tấn công bởi mã độc tống tiền REvil và buộc phải đóng cửa các hoạt động trên toàn quốc vào thứ hai – ngày 7/9.

Tháng 10/2020

Ngày 11/10, gần 4000 khách hàng của BetterSure, một công ty bảo hiểm nhà ở Nam Phi, đã trải qua một cuộc tấn công lừa đảo nhưng không có dữ liệu nào được cung cấp. Sử dụng e-mail lừa đảo, những kẻ tấn công đã có được quyền truy cập vào tài khoản e-mail nội bộ của một nhân viên quản trị BetterSure. Tuy nhiên, ngân hàng cho biết hệ thống bảo mật e-mail và tường lửa của họ đã ngay lập tức nhận ra mối đe dọa. Ngân hàng tuyên bố không có dữ liệu cá nhân nào bị truy cập.

Tháng 11/2020

Một tội phạm mạng người Nga đã bị bỏ tù 8 năm vì tham gia vào một kế hoạch mạng botnet gây thiệt hại tài chính ít nhất 100 triệu USD. Theo Bộ Tư pháp Hoa Kỳ (DoJ), Aleksandr Brovko là một thành viên tích cực của "một số diễn đàn trực tuyến ưu tú được thiết kế để tội phạm mạng nói tiếng Nga thu thập và trao đổi các công cụ và dịch vụ tội phạm của chúng". Brovko đã viết các đoạn mã có thể phân tích dữ liệu nhật ký từ các nguồn botnet và sau đó tìm kiếm các kho dữ liệu này để phát hiện ra thông tin nhận dạng cá nhân (PII) và thông tin đăng nhập tài khoản.

Theo các công tố viên, mọi thông tin đăng nhập tài khoản được ghi lại bằng mã của Brovko sẽ được xác minh bởi công dân Nga - đôi khi theo cách thủ công - để xem liệu việc sử dụng tài khoản đó có "đáng giá" để thực hiện các giao dịch gian lận hay không. Nếu được xác minh là đáng giá, các tài khoản ngân hàng sẽ bị những tội phạm mạng khác chiếm đoạt và rút hết tiền. DoJ cho biết Brovko sở hữu và buôn bán hơn 200.000 thông tin nhận dạng cá nhân hoặc chi tiết tài khoản tài chính trái phép trong suốt quá trình phạm tội.

Tháng 12/2020

Absa , một tập đoàn dịch vụ tài chính có trụ sở tại Johannesburg, Nam Phi, cung cấp dịch vụ ngân hàng cá nhân và doanh nghiệp cũng như quản lý tài sản, đã kết tội một nhân viên vì sự cố an ninh. Absa hiện diện tại 12 quốc gia trên khắp châu Phi và có khoảng 42.000 nhân viên. Theo báo cáo của ấn phẩm địa phương MyBroadband, Absa đã gửi email cho khách hàng để thông báo về việc vi phạm dữ liệu. Thông báo cho biết rằng thông tin nhận dạng cá nhân (PII) của khách hàng đã bị tiết lộ cho "các bên bên ngoài".

"Chúng tôi rất tiếc phải thông báo Absa đã xác định được một vụ rò rỉ dữ liệu nội bộ đã được cô lập, theo đó thông tin cá nhân của một số lượng hạn chế khách hàng của Absa đã được chia sẻ với các bên ngoài ngân hàng". Số ID, chi tiết liên hệ, địa chỉ nhà riêng và số tài khoản được cho là đã bị xâm phạm.

Theo truyền thông địa phương, Absa đã cáo buộc một nhân viên cung cấp "dữ liệu khách hàng" cho bên thứ ba một cách bất hợp pháp, và do đó, các cáo buộc hình sự đã được đưa ra đối với cá nhân giấu tên.

Chỉ ba tháng trước sự cố bảo mật này, nhóm an ninh mạng của Absa Group Limited đã được vinh danh là "Nhóm không vì lợi nhuận của năm" trong Giải thưởng An ninh mạng năm 2020, với giám đốc an ninh của Absa là Sandro Bucchianeri được khen thưởng trong hạng mục "Nhân cách của năm" trong ngành An ninh mạng.

Qua các sự cố an ninh nói trên, có thể thấy các tổ chức tài chính ngân hàng luôn cần phải nâng cao cảnh giác để có thể chống lại vô số mánh khóe tấn công của tội phạm. Theo số liệu của Trung tâm giám sát và phản ứng trên không gian mạng (Công ty An ninh mạng Viettel - VSC), 8 tháng đầu năm 2020 đã phát hiện hơn 3 triệu cảnh báo tấn công mạng vào các hệ thống tài chính, ngân hàng, mạng CNTT một số tỉnh thành trên cả nước; trong đó các hệ thống tài chính, ngân hàng chiếm tới 90% số lượng cảnh báo. Mặt khác, trong năm 2020 mã độc tống tiền và tấn công từ chối dịch vụ đã nổi lên như những nguy cơ lớn và chúng ta cần nhanh chóng tìm biện pháp ngăn chặn sớm.

Nguồn tham khảo:

https://www.fintechfutures.com/2020/01/greeces-major-banks-cancel-15000-cards-after-travel-

website-breach/

https://www.fintechfutures.com/2020/01/travelex-quarantines-website-internal-systems-after-new-years-eve-cyber-attack/

https://www.zdnet.com/article/south-african-bank-to-replace-12m-cards-after-employees-stole-master-key/

https://carnegieendowment.org/specialprojects/protectingfinancialstability/timeline

https://www.zdnet.com/article/the-biggest-hacks-data-breaches-of-2020/

https://www.zdnet.com/article/uk-financial-watchdog-admits-to-leaking-confidential-consumer-data/

https://www.zdnet.com/article/europol-tackles-massive-sim-swap-hacking-rings/

https://www.zdnet.com/article/russian-hacker-jailed-over-botnet-data-scraping-scheme-that-drained-victim-bank-accounts/

https://www.zdnet.com/article/absa-bank-embroiled-in-data-leak-rogue-employee-accused-of-theft/

https://blog.nexusguard.com/how-vietnam-networks-unwittingly-expose-themselves-to-iot-botnet-exploits