• [Thông báo] Diễn đàn tạm thời chuyển tên miền từ OTOFUN.NET sang tên miền OTOFUN.NET.VN.

[Funland] Vụ 'bốc hơi' 5 tỷ trong tài khoản gửi tiết kiệm online

con dơi 141

Xe điện
Biển số
OF-836509
Ngày cấp bằng
4/7/23
Số km
4,307
Động cơ
210,893 Mã lực
TPS lên đến vài trăm ngàn thì em nghĩ ở VN mình rấ hiếm có hệ thống để xử lý tốt nó (đỉnh cấp cỡ OCS của telecom thì may ra) còn banking thì vài nghìn là xịn xò rồi (cá biệt có 1 số hệ thống thanh toán trên thế giới may ra mới đạt con số đến mức vài trăm nghìn)
Các cụ đọc ko kỹ. Tôi nói rằng khi hệ thống core open phiên làm việc thì lúc đó trong hàng đợi có hàng trăm nghìn điện/giao dịch. Nên hệ thống phải kiểm soát được khả năng thực thi và không để trùng, ông IT không thể đổ lỗi rằng vì có 2 lệnh cùng posting một thời điểm nên balance check bị sai.
Đôi khi còn phải ghìm lại để đảm bảo thông tin trọn vẹn, query chính xác. Tốc độ xử lý còn phụ thuộc vào phương thức xử lý nữa. Kiểu như tài khoản có 5 tỷ thì 200-300 lệnh dưới 10tr không thèm check balance từng lệnh mà gộp check 1 batch rồi post.

Việc sai sót và vi phạm hàng loạt quy định của NHNN mà vẫn coi đó là yếu tố kỹ thuật khách quan phải chấp nhận thì cũng lạ.
 

taiadau

Xe điện
Biển số
OF-297494
Ngày cấp bằng
2/11/13
Số km
4,767
Động cơ
317,140 Mã lực
Các cụ đọc ko kỹ. Tôi nói rằng khi hệ thống core open phiên làm việc thì lúc đó trong hàng đợi có hàng trăm nghìn điện/giao dịch. Nên hệ thống phải kiểm soát được khả năng thực thi và không để trùng, ông IT không thể đổ lỗi rằng vì có 2 lệnh cùng posting một thời điểm nên balance check bị sai.
Đôi khi còn phải ghìm lại để đảm bảo thông tin trọn vẹn, query chính xác. Tốc độ xử lý còn phụ thuộc vào phương thức xử lý nữa. Kiểu như tài khoản có 5 tỷ thì 200-300 lệnh dưới 10tr không thèm check balance từng lệnh mà gộp check 1 batch rồi post.

Việc sai sót và vi phạm hàng loạt quy định của NHNN mà vẫn coi đó là yếu tố kỹ thuật khách quan phải chấp nhận thì cũng lạ.
Em chỉ Quote cụ kia về việc xử lý hệ thống mà TPS lên đến hàng trăm nghìn là rất khủng, chứ ko nói hệ thống bank về vụ này.
Em hiểu ý cả 2 cụ nhưng các cụ nhìn mỗi cái văn bản (rõ ràng là đã được modify để gửi ra vì nhìn qua đã thấy tên trường dữ liệu ko đồng nhất và rất vớ vẩn) thì thông tin nó ko đảm bảo chính xác,... nói về kỹ thuật hay tìm ra lỗ hổng để quy trách nhiệm nó ko có ý nghĩa khi mình ko có đủ thông tin chính xác để làm tiền đề.
 

bau67

Xe container
Biển số
OF-50318
Ngày cấp bằng
6/11/09
Số km
8,104
Động cơ
1,165,915 Mã lực
Nơi ở
Bụi Duối đầu làng !
Nhà Cháu vừa ₫ọc, Cụ nào am hiểu vào nói cụ thể và dễ hiểu hơn được không ạ ?


Các chuyên gia an ninh mạng đang gióng lên hồi chuông cảnh báo về sự gia tăng đáng báo động của các công cụ vượt qua xác thực sinh trắc học, biến quy trình bảo mật tưởng chừng vững chắc này thành "mảnh đất màu mỡ" cho tội phạm rửa tiền và lừa đảo.

Theo ông Ngô Minh Hiếu (Hiếu PC), chuyên gia an ninh mạng, một đối tượng trong trung tâm rửa tiền tại Campuchia đã dễ dàng "qua mặt" ứng dụng ngân hàng Việt Nam chỉ bằng một bức ảnh tĩnh và công cụ "camera ảo".
Công cụ này đã đánh lừa thành công bước kiểm tra "liveness", vốn được thiết kế để xác nhận người dùng là người thật đang tương tác trực tiếp.
 

con dơi 141

Xe điện
Biển số
OF-836509
Ngày cấp bằng
4/7/23
Số km
4,307
Động cơ
210,893 Mã lực
Nhà Cháu vừa ₫ọc, Cụ nào am hiểu vào nói cụ thể và dễ hiểu hơn được không ạ ?


Các chuyên gia an ninh mạng đang gióng lên hồi chuông cảnh báo về sự gia tăng đáng báo động của các công cụ vượt qua xác thực sinh trắc học, biến quy trình bảo mật tưởng chừng vững chắc này thành "mảnh đất màu mỡ" cho tội phạm rửa tiền và lừa đảo.

Theo ông Ngô Minh Hiếu (Hiếu PC), chuyên gia an ninh mạng, một đối tượng trong trung tâm rửa tiền tại Campuchia đã dễ dàng "qua mặt" ứng dụng ngân hàng Việt Nam chỉ bằng một bức ảnh tĩnh và công cụ "camera ảo".
Công cụ này đã đánh lừa thành công bước kiểm tra "liveness", vốn được thiết kế để xác nhận người dùng là người thật đang tương tác trực tiếp.
Ở trên em với 1 cụ trao đổi về kiểu này. Hình thức này tinh vi hơn. Nôm na là sửa đổi API của app để chạy 1 ctrinh, tool camera ảo. Tool này tạo ra hình ảnh liveness từ ảnh tĩnh lượm đc để đánh lừa bước xác thực sinh trắc học bảo mật của bank
 

Opel Astra

Xe container
Biển số
OF-803182
Ngày cấp bằng
24/1/22
Số km
7,994
Động cơ
106,939 Mã lực
Tuổi
25
Ở trên em với 1 cụ trao đổi về kiểu này. Hình thức này tinh vi hơn. Nôm na là sửa đổi API của app để chạy 1 ctrinh, tool camera ảo. Tool này tạo ra hình ảnh liveness từ ảnh tĩnh lượm đc để đánh lừa bước xác thực sinh trắc học bảo mật của bank
Giờ có khi cái Vân tay lại an toàn hơn, bác ạ.
Và cũng rất thuận tiện.
 

Opel Astra

Xe container
Biển số
OF-803182
Ngày cấp bằng
24/1/22
Số km
7,994
Động cơ
106,939 Mã lực
Tuổi
25
Vân tay cũng chỉ là dữ liệu cũng có thể dễ dàng bị copy khi máy bị hack thôi.
Nó không có hồ sơ lưu, bác ạ.

Ở trên, bác con dơi 141 thể hiện là:
Nó có thể hack được máy.
Nó có thể có cái ảnh đâu đó.
Nó sử dụng ảnh 2d đó thành 3D để gửi cho server.

Để so sánh 2 loại hình thì bác không có cơ hội lấy vân tay ở đâu cả.
Thậm chí bác lấy được vân tay trên CMT, cũng khó lòng sử dụng.
 

XSim

Xe lăn
Biển số
OF-698009
Ngày cấp bằng
8/9/19
Số km
12,827
Động cơ
904,146 Mã lực
Nó không có hồ sơ lưu, bác ạ.

Ở trên, bác con dơi 141 thể hiện là:
Nó có thể hack được máy.
Nó có thể có cái ảnh đâu đó.
Nó sử dụng ảnh 2d đó thành 3D để gửi cho server.

Để so sánh 2 loại hình thì bác không có cơ hội lấy vân tay ở đâu cả.
Thậm chí bác lấy được vân tay trên CMT, cũng khó lòng sử dụng.
Nếu vân tay được đưa vào yêu cầu sinh trắc thì bên ngân hàng sẽ phải lưu.

Còn lấy vân tay cũng không khó đâu, ngoài máy bị hack là có thể lấy được vân tay thì các phương pháp kinh điển ngày xưa để lấy vân tay cũng dùng được.
 

Opel Astra

Xe container
Biển số
OF-803182
Ngày cấp bằng
24/1/22
Số km
7,994
Động cơ
106,939 Mã lực
Tuổi
25
Nếu vân tay được đưa vào yêu cầu sinh trắc thì bên ngân hàng sẽ phải lưu.

Còn lấy vân tay cũng không khó đâu, ngoài máy bị hack là có thể lấy được vân tay thì các phương pháp kinh điển ngày xưa để lấy vân tay cũng dùng được.
Đây đang tính đến chuyện hack bằng high tech mà bác.
Còn nó muốn lấy vân tay + chụp lại + số hoá nó ở mức độ dùng được, thì là FBI rồi.
 

XSim

Xe lăn
Biển số
OF-698009
Ngày cấp bằng
8/9/19
Số km
12,827
Động cơ
904,146 Mã lực
Đây đang tính đến chuyện hack bằng high tech mà bác.
Còn nó muốn lấy vân tay + chụp lại + số hoá nó ở mức độ dùng được, thì là FBI rồi.
Thì hack bằng high tech là khi máy cụ bị hack đó, nó sẽ copy dữ liệu vân tay từ máy cụ sang máy hacker.
 

Sonbt

Xe đạp
Biển số
OF-439449
Ngày cấp bằng
23/7/16
Số km
14
Động cơ
211,432 Mã lực
Tuổi
35
Thì hack bằng high tech là khi máy cụ bị hack đó, nó sẽ copy dữ liệu vân tay từ máy cụ sang máy hacker.
dữ liệu vân tay trên phone được lưu trữ trong một chip bảo mật đặc biệt gọi là Trusted Execution Environment (TEE) trên android hay Secure Enclave Processor (SEP) trên iphone. cụ không thể đọc được dữ liệu từ nó mà chỉ có thể gửi input vào để nó kiểm tra và trả về kết quả, kết quả này được digital sign bằng chữ kí điện tử để chống sửa đổi. nên việc đọc vân tay từ thiết bị đã bị hack là gần như bất khả thi.
Nói chung nếu sử dụng dữ liệu khuôn mặt để xác thực thì phải dùng dữ liệu 3D điều này yêu cầu phàn cứng chuyên biệt để quét 3d khuôn mặt (như trên iphone X đổ lên) chứ dùng camera thông thường thì nó không bảo mật bằng vân tay được. nếu không thằng apple đã không mất công tích hợp quét 3d vào thiết bị của nó làm gì :D
 
Chỉnh sửa cuối:

XSim

Xe lăn
Biển số
OF-698009
Ngày cấp bằng
8/9/19
Số km
12,827
Động cơ
904,146 Mã lực
dữ liệu vân tay trên phone được lưu trữ trong một chip bảo mật đặc biệt gọi là Trusted Execution Environment (TEE) trên android hay Secure Enclave Processor (SEP) trên iphone. cụ không thể đọc được dữ liệu từ nó mà chỉ có thể gửi input vào để nó kiểm tra và trả về kết quả, kết quả này được digital sign bằng chữ kí điện tử để chống sửa đổi. nên việc đọc vân tay từ thiết bị đã bị hack là gần như bất khả thi.
Nói chung nếu sử dụng dữ liệu khuôn mặt để xác thực thì phải dùng dữ liệu 3D điều này yêu cầu phàn cứng chuyên biệt để quét 3d khuôn mặt (như trên iphone X đổ lên) chứ dùng camera thông thường thì nó không bảo mật bằng vân tay được. nếu không thằng apple đã không mất công tích hợp quét 3d vào thiết bị của nó làm gì :D
Nếu thế thì không dùng để xác thực sinh trắc với bank được, vì bank sẽ phải chủ động lưu trữ cái vân tay này để đối chiếu khi có người dùng thực hiện chuyển tiền, như với khuôn mặt ấy.
 

Sonbt

Xe đạp
Biển số
OF-439449
Ngày cấp bằng
23/7/16
Số km
14
Động cơ
211,432 Mã lực
Tuổi
35
Nếu thế thì không dùng để xác thực sinh trắc với bank được, vì bank sẽ phải chủ động lưu trữ cái vân tay này để đối chiếu khi có người dùng thực hiện chuyển tiền, như với khuôn mặt ấy.
ở bước đăng kí thiết bị ông bank sẽ đồng bộ khóa với phone và khóa này chỉ truy cập được khi đã được unlock bằng vân tay. như vậy bank không cần lưu trữ dữ liệu vân tay
 

poiuy

Xe ngựa
Biển số
OF-198769
Ngày cấp bằng
17/6/13
Số km
28,043
Động cơ
748,389 Mã lực
Giờ có khi cái Vân tay lại an toàn hơn, bác ạ.
Và cũng rất thuận tiện.
Quan điểm của em là vân tay an toàn hơn là sinh trắc học mà các ngân hàng đang dùng (không phải là cái face id). Việc NH bắt dùng chỉ mỗi cái sinh trắc học gây rủi ro cho KH.
 

XSim

Xe lăn
Biển số
OF-698009
Ngày cấp bằng
8/9/19
Số km
12,827
Động cơ
904,146 Mã lực
ở bước đăng kí thiết bị ông bank sẽ đồng bộ khóa với phone và khóa này chỉ truy cập được khi đã được unlock bằng vân tay. như vậy bank không cần lưu trữ dữ liệu vân tay
Nếu thế thì khi mất sim điện thoại là toi vì hacker dùng nó để đăng ký thiết bị mới (giống như khi ta thay điện thoại), bank sẽ không biết được vân tay cũ và mới có phải là một không khi mà thiết bị đã khác.
 

WED88l1210

Xe điện
Biển số
OF-883911
Ngày cấp bằng
22/6/25
Số km
3,589
Động cơ
28,409 Mã lực
Em vẫn chưa hiểu nó làm kiểu gì.
Giả sử, em đưa điện thoại cho cụ. Cho cụ cả pass mở điện thoại luôn. Nhưng khi thao tác với app ngân hàng thì còn cần mật khẩu, smart otp. Vậy bọn nó hack như nào được nhỉ?
nhiều cụ ỏ các thớt khác cũng như cụ :)) hỏi toàn câu kiẻu ngây thơ 8-}dân thường như mình mà biết thì ai cũng đi hack tiền hết rồi.

hacker nó có phần mềm gián điệp hoặc có chương trình virus ma giáo gì đó - thậm chí hack đt cụ mà cụ còn chả biết. Rồi thì lỗ hổng bảo mật bank - nó chiếm quyền lâu rồi - vứt xó đấy - chỉ cần tk cụ có giao dịch tiền to là nó lấy.

Như ngày xưa chơi game thời kì đầu như MU VÕ LÂM GUNBROUD - đám học sinh cấp 2 cấp 3 - cài keylog hay gửi mail nhận thưởng để hạy key log gì đó - toàn bộ cái máy tính đấy dính - mật khẩu và các thứ gửi về mail gốc của chúng nó - vài tháng thậm chí 1 năm 2 năm sau chúng nó mới vào nick game để ăn cắp.

Nhiều thủ thuật mà dân thường như mình làm sao biết được. Hiện tại 2026 chắc các trò chiếm quyền cao siêu hơn nhiều. Thế nên chính bản thân mình ko biết bị lộ thông tin và chiếm quyền lúc nào ấy chứ. Chứ chúng nó có phải hack phát lấy luôn tiền của mình đâu.

Ngay như chơi game Võ Lâm hoặc Kiếm Thế - cứ nhà phát hành cập nhật phiên bản mới là nửa ngày 1 ngày sau bọn auto nó có bản hack luôn.

Ngay như chạy shipper shoppe food các thứ còn có hack tọa độ hack face ID tức là sinh trắc hoc để mua bán app - người mua còn đăng nhập được mà ko cần chính chủ để đi làm mà cụ.

Bank nó cần đội IT vá lỗ hổng và update liên tục là ở chỗ đấy.
 
Chỉnh sửa cuối:

WED88l1210

Xe điện
Biển số
OF-883911
Ngày cấp bằng
22/6/25
Số km
3,589
Động cơ
28,409 Mã lực
Nó đã chiếm quyền thì nó kiểm soát toàn bộ đt của nạn nhân rồi, từ mọi thể loại mật khẩu các ứng dụng, tin nhắn, cuộc gọi, định vị, di chuyển, tk ngân hàng, otp trong tay nó hết. Sinh trắc học nó giả lập khuôn mặt từ ảnh của nạn nhân hoặc lừa nạn nhân tự quay luôn ý.
cụ nói chuẩn.
Nếu vậy phải có hàng trăm, hàng ngàn vụ ntn. Sao chỉ có nhõn 1, 2 vụ?
bọn hacker cũng quái lắm cụ ơi - chúng nó thiếu gì trò ăn cắp - nghè của chúng nó kiếm tiền từ các chương trình khác - ví dụ tiền về nhỏ nhưng đều. Giờ làm vài phát vài tỉ thì mất cổng truy cập hack của bank là mất cần câu cơm.

Thậm chí nhiều thằng hacker đỉnh của chóp thích hack nhưng ko thèm lấy tiền kiểu này. Chỉ là cuộc vui thôi và chúng nó bán hoặc share nhau cách thức vận hành. Hoặc gì đó.

Còn cái dạng bem tài khoản như này có thể có hàng trăm hàng nhìn người điện thoại đang bị lộ và chiếm quyền nhưng chúng nó ko thèm quan tâm - chỉ khi biến động số dư lớn chả hạn. Thì chúng nó mới lấy.

Có rất nhiều chương trình bảo mật ở các ngành nghề khác nhau hoặc thậm chí của cơ quan nhà nước bị bug - nhưng hacker ko làm gì ngay - chúng nó đợi dánh 1 mẻ lớn - nhiều vụ thế rồi.
 

Newsolder

Xe tải
Biển số
OF-508
Ngày cấp bằng
27/6/06
Số km
240
Động cơ
579,036 Mã lực
Tuổi
58
Các bác cho hỏi thăm khi làm thủ tục đăng ký sim điện thoại của Viettel nhân viên cũng yêu cầu sinh trắc học bảo mình chớp mắt để chụp hình lưu lại nếu sau này họ bán hình ảnh đó của mình hay bị rò rỉ thì khi sử dụng sinh trắc học tài khoản ngân hàng liệu có rủi ro ko nhỉ vì đã có sẵn hình ảnh khuôn mặt của mình rồi còn gi?
 

Hacking

Xe tăng
Biển số
OF-789076
Ngày cấp bằng
3/9/21
Số km
1,373
Động cơ
54,717 Mã lực
Các bác cho hỏi thăm khi làm thủ tục đăng ký sim điện thoại của Viettel nhân viên cũng yêu cầu sinh trắc học bảo mình chớp mắt để chụp hình lưu lại nếu sau này họ bán hình ảnh đó của mình hay bị rò rỉ thì khi sử dụng sinh trắc học tài khoản ngân hàng liệu có rủi ro ko nhỉ vì đã có sẵn hình ảnh khuôn mặt của mình rồi còn gi?
Không phải lo quá đâu ah. Vài điểm như này ( theo em hiểu đc )
1) Viễn Thông và các cty tương tự - thu thập hình ảnh và thông tin là chính ( không phải thông tin sinh trắc học ) - ở VN chỉ CA mới có quyền lưu trữ sinh trắc học cá nhân.
2) dựng lại mô hình để lừa bank (liveness checking ) thì không phải mỗi hình ảnh, bank sẽ có các level khác nhau để check.
3) đa phần, hack ko phải hack giao dịch mà là hack “ chiếm quyền thiết bị cài đặt app bank “ cái này sẽ gồm nhiều bước, check sinh trắc học là 1 phần thôi, còn cả SMS, … tùy thuật toán và bảo mật từng banks.
4) bank cũng cải tiến tiên tục phần bảo mật
 
Thông tin thớt
Đang tải
Top