Cảnh báo tội phạm ‘hack’ tài khoản công ty chứng khoán

HÀ NỘI (Sputnik) - Các đối tượng này nắm được một số thông tin cụ thể của khách hàng như tên truy cập và mật khẩu đăng nhập. Từ đó có thể chiếm quyền sử dụng tài khoản giao dịch chứng khoán của nhà đầu tư để thực hiện giao dịch, chuyển tiền, rút tiền và chiếm đoạt tài sản của khách hàng.
Sputnik
Đây là thông tin được Ủy ban Chứng khoán Nhà nước cảnh báo đến các nhà đầu tư.

Lợi dụng lỗ hổng bảo mật, chiếm đoạt tài sản

Sau khi làm việc với Phòng An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao, Công an Thành phố Hà Nội, Ủy ban Chứng khoán Nhà nước được biết hiện nay có một số đối tượng tìm cách truy cập vào hệ thống công nghệ thông tin của công ty chứng khoán thông qua các lỗ hổng bảo mật.
Trước hiện tượng này, Ủy ban Chứng khoán Nhà nước đã có công văn gửi các công ty chứng khoán và đề nghị các các công ty chứng khoán thực hiện ngay các phương án bảo vệ hệ thống cụ thể sau.
“Mỹ số 1, Việt Nam top 3”: Hacker muốn đánh cắp thông tin tình báo từ Việt Nam
Thứ nhất, thực hiện rà quét lỗ hổng bảo mật hệ thống công nghệ thông tin, đặc biệt là hệ thống giao dịch chứng khoán trực tuyến và các hệ thống có kết nối mạng internet để kịp thời khắc phục các lỗ hổng bảo mật (nếu có); thực hiện cập nhật các bản vá bảo mật của hệ điều hành máy chủ, cơ sở dữ liệu và các thiết bị công nghệ thông tin khác.
Thứ hai, kiểm tra lại các quy trình khi nhà đầu tư thực hiện xác thực giao dịch trực tuyến để khắc phục các rủi ro cho nhà đầu tư khi thực hiện giao dịch; điều chỉnh hệ thống để các giao dịch chuyển tiền, ứng tiền, thay đổi tài khoản của khách hàng phải xác thực OTP tức thời.
Thứ ba, thông báo công khai, đồng thời có biện pháp liên hệ với từng nhà đầu tư để yêu cầu thay đổi ngay mật khẩu người dùng; cảnh báo về các rủi ro, nguy cơ tiềm ẩn khi để lộ lọt các thông tin về tên truy cập và mật khẩu người dùng, thường xuyên khuyến cáo nhà đầu tư các biện pháp tự bảo vệ thông tin tài khoản như: Đổi mật khẩu định kỳ, tránh dùng chung mật khẩu giao dịch chứng khoán với các loại tài khoản cá nhân khác.
Vượt loạt ‘ông lớn’ Mỹ, Nga, An ninh mạng Viettel VCS gây bất ngờ lớn với thế giới

Lỗ hổng bảo mật không chừa một ai

Ngày nay, an toàn thông tin đã trở thành một yêu cầu sống còn với tất cả doanh nghiệp, tổ chức, cá nhân trước những ẩn họa khó lường từ những lỗ hổng bảo mật.
Còn nhớ vào cuối tháng 12/2021, lỗ hổng Log4Shell cùng sai sót trong cấu hình của Onus bị hacker khai thác, gây rò rỉ dữ liệu của gần hai triệu người đầu tư tiền điện tử.
CyStack, đối tác bảo mật bảo mật và an ninh mạng của nền tảng này, đã công bố qquá trình tấn công vào hệ thống của Onus vào tối 28/12/20212021. Theo đó, dữ liệu của hai triệu người dùng bị rao bán trên mạng ngày 25/12, nhưng vụ tấn công được bắt đầu tiến hành từ trước đó hai tuần, hôm 11/12/2022.
Việt Nam phản đối nhóm hacker Trung Quốc tấn công các trang web của Chính phủ
Các chuyên gia giải thích, hacker đã khai thác lỗ hổng nguy hiểm này để thâm nhập vào Cyclos - công cụ thanh toán được liên kết với Onus, từ đó có được mã khóa để truy cập vào hệ thống lưu trữ của nền tảng này.
Các đơn vị liên quan đã thực hiện vá lỗi, nhưng chậm hơn hacker một bước, đồng thời có sai lầm trong việc cấu hình, nên tạo điều kiện để hacker truy cập được vào toàn bộ cơ sở dữ liệu của người dùng.
Việt Nam muốn vào top đầu khu vực về an ninh mạng, tăng sản phẩm “make in Vietnam”
Vụ rò rỉ dữ liệu Onus là một trong những sự cố có quy mô lớn nhất liên quan đến lỗ hổng Log4Shell tại Việt Nam được công khai. Onus tiền thân là ứng dụng ví VNDC, được nhiều người Việt sử dụng để đầu tư như tiền điện tử hoặc chứng khoán.
Theo đại diện đơn vị này, ứng dụng Onus có hơn 2 triệu người sử dụng, trong đó 80% là người Việt. Khoảng 700 nghìn người đã KYC - tức cung cấp ảnh hộ chiếu, căn cước công dân, ảnh hoặc video để để xác minh danh tính. Vụ tấn công khiến dữ liệu của người dùng như tên, email, số điện thoại, địa chỉ, KYC, mật khẩu mã hóa, lịch sử giao dịch... bị đánh cắp. Tài sản của người dùng được khẳng định là không bị ảnh hưởng.
Thảo luận