Thông tin cảnh báo nguy cơ tấn công vào các cơ quan, tổ chức qua lỗ hổng trong VMware được Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC) thuộc Cục An toàn thông tin, Bộ TT&TT gửi tới các đơn vị chuyên trách về CNTT các bộ, cơ quan ngang bộ, cơ quan thuộc Chính phủ; các Sở TT&TT; các Tập đoàn, Tổng công ty nhà nước; các Ngân hàng TMCP; các tổ chức tài chính và hệ thống các đơn vị chuyên trách về an toàn thông tin vào ngày 24/2.  

Các lỗ hổng bảo mật "CVE-2021-21972", "CVE-2021-21973" và "CVE-2021-21974" trong các sản phẩm của VMware (vCenter, ESXi, Cloud Foundation) đã được hãng phần mềm này công bố ngày 23/2/2021. Những lỗ hổng bảo mật này cho phép đối tượng tấn công chèn và thực thi mã từ xa.

Đặc biệt, lỗ hổng "CVE-2021-21972" trong VMware vCenter Server có mức độ ảnh hưởng nghiêm trọng. Qua đánh giá sơ bộ của các chuyên gia Trung tâm Giám sát an toàn không gian mạng quốc gia, các mã khai thác của lỗ hổng bảo mật này sẽ sớm được công khai trên Internet.

Sử dụng các mã khai thác này, tin tặc có thể tấn công vào các máy chủ VMware vCenter, qua đó kiểm soát hệ thống thông tin của các cơ quan, tổ chức trong các chiến dịch tấn công nguy hiểm.

Theo ước tính, hiện có khoảng 6.748 hệ thống sử dụng VMware vCenter đang hoạt động công khai trên Internet, trong đó có hơn 150 hệ thống tại Việt Nam.

Để đảm bảo an toàn thông tin cho hệ thống thông tin của đơn vị, góp phần bảo đảm an toàn cho không gian mạng Việt Nam, Trung tâm Giám sát an toàn không gian mạng quốc gia đề nghị các cơ quan, tổ chức, doanh nghiệp kiểm tra, rà soát, xác minh hệ thống thông tin có khả năng bị ảnh hưởng bởi các lỗ hổng bảo mật nêu trên và có phương án xử lý, khắc phục lỗ hổng.

Các đơn vị cũng được khuyến nghị nên cập nhật, nâng cấp lên phiên bản VMware mới nhất để khắc phục lỗ hổng bảo mật nghiêm trọng "CVE-2021-21972" và các lỗ hổng bảo mật mới phát hiện khác.

Bên cạnh đó, các cơ quan, tổ chức, doanh nghiệp cần tăng cường giám sát và sẵn sàng phương án xử lý khi phát hiện có dấu hiệu bị khai thác, tấn công mạng.

Đối với các cơ quan, tổ chức có nhân sự kỹ thuật tốt có thể thử nghiệm xâm nhập vào hệ thống thông qua lỗ hổng này.

Trong trường hợp cần thiết có thể liên hệ đầu mối hỗ trợ của Cục An toàn thông tin (Bộ TT&TT): Trung tâm Giám sát an toàn không gian mạng quốc gia theo số điện thoại 02432091616 và địa chỉ thư điện tử [email protected].

CNIL cũng đề cập đến một bản kiến ​​nghị với hơn 10.000 chữ ký đang lưu hành ở Pháp, kêu gọi sự can thiệp của cơ quan quản lý. Cơ quan giám sát tuyên bố đã xác nhận chủ sở hữu Clubhouse không thành lập chi nhánh ở EU, điều đó có nghĩa là bất kỳ cơ quan bảo vệ dữ liệu nào tại châu Âu (EU DPAs) nhận được khiếu nại hoặc có lo ngại về dữ liệu của chính công dân đều có thể tiến hành điều tra ứng dụng này.  

Tháng trước, cơ quan quản lý quyền riêng tư của Hamburg cũng bày tỏ quan ngại về Clubhouse, họ đã yêu cầu ứng dụng cung cấp thêm thông tin về cách bảo vệ quyền riêng tư của người dùng châu Âu.

Tại EU, các trường hợp bảo vệ dữ liệu xuyên biên giới liên quan đến những gã khổng lồ công nghệ thường tránh được tình huống tương tự, bởi Quy định chung về bảo vệ dữ liệu (GDPR) bao gồm một cơ chế thông qua cơ quan giám sát dữ liệu chính (nghĩa là việc thành lập công ty ở một quốc gia thuộc EU) để giải quyết các khiếu nại.

Cơ chế một cửa (OSS, one-stop shop) đã đóng một vai trò trong việc làm chậm việc thực thi GDPR đối với những gã khổng lồ như Facebook, vì Facebook đã thành lập một trụ sở khu vực ở Ireland. Tuy nhiên, đối với những người đến sau, chẳng hạn như Clubhouse (hiện không được bao gồm trong danh mục một cửa), nếu cơ chế này được kết hợp với việc thực thi quyền riêng tư đơn phương nhanh hơn, sẽ có những tác động pháp lý có lợi cho các công ty công nghệ.

Các nhà quản lý của Pháp rõ ràng đã thể hiện sự sẵn sàng hành động nhanh chóng, không bị cản trở bởi cơ chế một cửa, để thực thi luật chống lại những gã khổng lồ công nghệ như Google và Amazon - chẳng hạn, gần đây họ đã áp đặt án phạt 1,6 tỷ USD vì hành vi chặn các quảng cáo tìm kiếm trực tuyến của các đối tác.

Vào năm 2019, Google cũng phải gánh chịu khoản phạt 57 triệu USD từ các cơ quan quản lý của Pháp do vi phạm GDPR, sau đó Google đã chuyển quyền tài phán của người dùng trong khu vực sang Ireland. Vì vậy trong cuộc điều tra đối với Clubhouse, CNIL không có lý do gì để không thể hiện sự nhanh nhẹn tương tự. Mặc dù theo thông báo mới nhất trong cuộc họp báo diễn ra ngày 18/3, Châu Âu “đang trao đổi về vấn đề này để trao đổi thông tin và đảm bảo việc triển khai GDPR một cách phối hợp”.

Các vấn đề về quyền riêng tư của Clubhouse bao gồm việc tải lên danh bạ của người dùng, bằng cách sử dụng các số điện thoại có được để xây dựng biểu đồ sử dụng, để khi người dùng được yêu cầu chọn và mời các liên hệ sử dụng dịch vụ, Clubhouse có thể hiển thị số lượng bạn bè và thông tin những người chưa kết nối với ứng dụng.

Đơn kiện mà CNIL nhận được cũng cho thấy "cơ sở dữ liệu bí mật" về các liên hệ của người dùng Clubhouse có thể được bán cho một bên thứ ba. "Trong nhiều năm, các nhà lập pháp đã không dám tấn công Facebook để đánh cắp dữ liệu của chúng tôi. Ngày nay nền dân chủ của chúng tôi đang phải trả giá đắt", những người đệ trình đơn kiện tới CNIL đã viết.

"Clubhouse hy vọng rằng chúng tôi không biết rút kinh nghiệm từ Facebook và các hoạt động đáng ngờ của Facebook sẽ không bị chú ý. Nhưng cơ quan quản lý quyền riêng tư của Đức đã cáo buộc công ty này vi phạm luật của EU. Giờ đây, chúng tôi cần các cơ quan quản lý ở các quốc gia khác làm theo và gây áp lực lên Clubhouse", nội dung đơn kiện nhấn mạnh.

Đồng thời, trong bản kiến nghị có chữ ký của hơn 10.000 người vừa được công bố tại Pháp, những người ủng hộ vụ kiện vẫn tiếp tục kêu gọi: "Nếu hàng nghìn người yêu cầu CNIL thực thi pháp luật, chúng tôi có thể chấm dứt hành vi xâm phạm đời tư trắng trợn này. Đây cũng là cơ hội để gửi tín hiệu mạnh mẽ tới các đại gia công nghệ: dữ liệu của chúng tôi là của chúng tôi, không phải của người khác".

Nội dung chính sách bảo mật của Clubhouse có viết "công ty sẽ không bán dữ liệu cá nhân của bạn" - nhưng liệt kê nhiều lý do tại sao dữ liệu người dùng có thể bị "chia sẻ" với các bên thứ ba, bao gồm "dịch vụ quảng cáo và tiếp thị". Hiện Clubhouse chưa đưa ra bình luận về vụ việc. 　　

Phong Vũ (Tổng hợp)

Dữ liệu âm thanh của Clubhouse bị rò rỉ làm tăng lo ngại về bảo mật

Hiện vẫn chưa xác định được nguồn gốc hoặc danh tính của kẻ tấn công là nguyên nhân gây ra vụ rò rỉ vào cuối tuần trước.  

(Ảnh minh họa. Nguồn: bitcoinexchangeguide.com)

Dù đã được cảnh báo nhưng thời gian gần đây, các vụ việc khách hàng bị kẻ gian giả mạo nhân viên ngân hàng lừa đảo, chiếm đoạt tài sản vẫn có chiều hướng gia tăng. Trong đó thủ đoạn mạo danh nhân viên ngân hàng để lừa khách hàng mở thẻ tín dụng không lãi suất và thu phí phát hành thẻ, mạo danh nhân viên ngân hàng yêu cầu cung cấp thông tin… đang khiến nhiều khách hàng mắc bẫy.

Nhiều chiêu trò tinh vi

Chị Nguyễn Thị Loan (Đông Anh, Hà Nội) cho biết mấy ngày trước chị có đăng bán lại vài món đồ trên một group, một khách hàng đã đồng ý mua và chuyển khoản cho chị nhưng lại yêu cầu chị nhấp vào đường link để nhận tiền.

Do chưa ‘’buôn bán’’ bao giờ nên chị Loan đã bấm vào đường link trên và điền các yêu cầu, vài giây sau chị đã mất hơn 5 triệu trong tài khoản.

Tương tự, bà T.T.K.Đ (nạn nhân) có nhà cho thuê tại Thành phố Hồ Chí Minh. Ngày 2/10/2020, một người xưng là Nguyễn Việt Thắng nhắn tin qua Zalo nói muốn thuê nhà. Bà Đ yêu cầu đặt cọc thì đối tượng đồng ý đặt cọc 100 USD.

Đối tượng gửi một đường link Westernunion.banking247... và đề nghị bà Đ nhấn vào đường link này để nhận tiền. Bà Đ truy cập vào đường link và thao tác nhiều lần nhưng hệ thống báo lỗi, không nhận được tiền. Bà Đ lên mạng nhắn lại thì tài khoản zalo của "khách hàng" cũng không tồn tại.

Đến ngày 5/10/2020, bà Đ kiểm tra tài khoản tiết kiệm online đã phát hiện bị rút hơn 1,2 tỷ đồng. Bà Đ ra ngân hàng sao kê tài khoản thì được biết tiền trong tài khoản của bà đã chuyển đến nhiều tài khoản khác nhau và các đối tượng rút sạch sau khi chuyển khoản. Cho rằng đã bị lừa đảo, bà Đ ra Cơ quan Công an tố giác.

Ngoài ra, nhiều khách hàng khác bị kẻ gian lừa chung một cách thức là dụ đăng nhập vào đường link giả và bị chiếm đoạt tiền trong tài khoản ngân hàng. Theo đó, các nạn nhân sẽ nhận được đường link (thông qua tin nhắn, email, facebook messenger...) với nội dung nhận tiền trúng thưởng, thanh toán tiền hàng hay nhận tiền từ người thân ở nước ngoài... Và kẻ lừa đảo sẽ cung cấp và yêu cầu truy cập vào các đường link, trang web để có cơ sở nhận thưởng hoặc nhận tiền.

Không chỉ lừa khách hàng bằng đường link giả mạo mà kẻ gian còn giả danh là nhân viên ngân hàng, người của Bộ Công an gọi điện cho khách hàng đe dọa.

Điển hình, mới đây một khách hàng 87 tuổi đến Ngân hàng Xây dựng (CB) chi nhánh Đồng Nai yêu cầu vay cầm cố 2 sổ tiết kiệm với tổng số tiền là 260 triệu đồng và chuyển số tiền vay này cho một tài khoản Techcombank mở tại Thành phố Hồ Chí Minh.

Thấy bất thường, nhân viên ngân hàng trao đổi hỏi han khách hàng và được chia sẻ bị một đối tượng lạ tự xưng là cơ quan công an gọi điện đe dọa liên quan đến đường dây tội phạm về ma túy. Chúng yêu cầu cung cấp thông tin tài khoản ngân hàng và chuyển tiền vào tài khoản do chúng cung cấp để kiểm tra. Nếu sau 1 tháng điều tra, khách hàng không liên quan đến đường dây tội phạm thì sẽ chuyển tiền trả lại. Do lo sợ nên khách hàng đã làm theo hướng dẫn của kẻ “giả công an.”

Đây chỉ là một trong số ít khách hàng may mắn đã được ngăn chặn kịp thời.

Hồi cuối năm ngoái, một khách hàng tại Phú Thọ đã bị đối tượng giả danh công an gọi điện đe dọa với phương thức như trên và khách hàng này đã bị mất 200 triệu đồng.

Làm gì để tránh bị lừa?

Từ đầu năm đến nay, các ngân hàng như ACB, Sacombank, VPBank, ABBANK, Vietcombank, VietinBank, BIDV, Agribank… liên tục đưa ra các cảnh báo đối với khách hàng, tuy nhiên vẫn có nhiều khách hàng bị mất tiền mà không hiểu vì sao.

Theo các chuyên gia kẻ xấu mạo danh các tin nhắn thương hiệu (brandname) của các ngân hàng gửi tin nhắn SMS đến người dùng dưới dạng cảnh báo về tài khoản, kèm theo đó là địa chỉ website mạo danh ngân hàng để người dùng đăng nhập xác thực lại tài khoản. Các địa chỉ website mạo danh được gửi kèm trong các tin nhắn SMS mà nhiều người dùng nhận được thời gian gần đây như: mbtk-bank.com, hethongbank.com, v-acb.com, i-sacombank.com, i-vietcombank.com…

Do nằm chung với luồng tin nhắn thực của ngân hàng, nhiều người dùng đã nghĩ đó là tin nhắn từ chính ngân hàng của mình mở tài khoản nên đã truy cập theo địa chỉ website trong tin nhắn, vào một trang có giao diện tương đối giống với ngân hàng hay ví điện tử đang dùng, nhưng thực ra là trang giả mạo. Những thông tin người dùng nhập vào trang web này (tên đăng nhập, mật khẩu, mã xác thực OTP) được gửi thẳng cho kẻ xấu và tiền trong tài khoản của người dùng cũng "bốc hơi" khỏi ngân hàng.

Phòng An toàn thông tin, Khối Công nghệ ngân hàng ABBANK trong quá trình rà soát định kỳ đã phát hiện một số đường link dẫn đến website giả mạo đang thực hiện tấn công phishing (tấn công giả mạo) nhằm chiếm đoạt thông tin, tài khoản người dùng E-Banking của ABBANK.

Các website được tạo ra với giao diện khá tương đồng với website chính thống của ngân hàng nhằm yêu cầu khách hàng truy cập nhập tên đăng nhập, mật khẩu. Nếu khách hàng làm theo sẽ lập tức bị hacker lấy được thông tin tài khoản E-Banking, dẫn đến mất tiền trong tài khoản.

Nội dung của website giả mạo thường thể hiện các dịch vụ của ngân hàng như: sao kê tài khoản, cho vay tín dụng cá nhân, chuyển khoản, mở thấu chi… 

Vietcombank cũng vừa gửi gấp cảnh báo đến tất cả các khách hàng của mình bằng email. Đại diện Vietcombank cho biết đối tượng lừa đảo thực hiện gửi nội dung thông báo kèm theo đường link lừa đảo qua tin nhắn SMS, email, phần mềm chat…, thậm chí giả mạo tin nhắn SMS thương hiệu Vietcombank, để lừa khách hàng bấm vào link và cung cấp thông tin bảo mật dịch vụ ngân hàng số và dịch vụ thẻ (tên đăng nhập, số thẻ, mật khẩu, mã OTP), từ đó chiếm đoạt tiền trong tài khoản khách hàng. 

Vietcombank cảnh báo một số hình thức lừa đảo mới nhằm đánh cắp thông tin dịch vụ ngân hàng.

Đại diện các ngân hàng cho biết chưa bao giờ yêu cầu khách hàng cung cấp thông tin cá nhân qua các kênh như tin nhắn SMS, email,  phần mềm chat (Zalo, Viber, Facebook messenger…).

Trường hợp đã bấm vào đường link, khách hàng tuyệt đối không cung cấp thôn tin bảo mật tài khoản, dịch vụ ngân hàng số (tên đăng nhập, mật khẩu, mã OTP), dịch vụ thẻ (số thẻ, mã OTP), thông tin tài khoản hay bất cứ thông tin bảo mật dịch vụ ngân hàng, thông tin cá nhân nào khác.

Do đó, Vietcombank cũng như các ngân hàng đều đưa ra khuyến cáo khách hàng tuyệt đối không truy cập vào các liên kết (link) từ email, tin nhắn SMS, hoặc thông tin trên mạng xã hội giả mạo… để bảo mật thông tin cá nhân, tránh mất tiền oan.

Tại hội thảo “Phòng ngừa, đấu tranh tội phạm sử dụng công nghệ cao trong lĩnh vực ngân hàng” mới đây, Phòng An ninh mạng và phòng chống tội phạm sử dụng công nghệ cao (PA05) - Công an thành phố Hà Nội đã chỉ ra 5 phương thức phạm tội cơ bản của tội phạm công nghệ cao trong lĩnh vực ngân hàng, gồm: Trộm cắp dữ liệu của ngân hàng, thông tin tài khoản khách hàng, thông tin thẻ tín dụng; thủ đoạn phishing câu nhử, lấy cắp thông tin tài khoản; lợi dụng kẽ hở trong quy trình, lỗ hổng bảo mật để chiếm quyền quản trị hệ thống; tấn công vào cơ sở dữ liệu, chiếm quyền điều khiển hệ thống để chiếm đoạt tiền của tổ chức tín dụng; sử dụng tài khoản, thẻ ngân hàng, thẻ cào trong quá trình thực hiện hành vi vi phạm pháp luật.

Vì vậy, PA05 khuyến cáo các tổ chức tín dụng cần thường xuyên rà soát các website giả mạo

, cảnh báo khách hàng về việc không nên đăng nhập vào các website có dấu hiệu nghi vấn, đường link nghi vấn, không cung cấp thông tin tài khoản, thẻ trên các đường link này. Cơ quan công an cũng đề nghị các tổ chức tín dụng thiết lập cảnh báo khi tài khoản của khách hàng đăng nhập từ thiết bị lạ hoặc khi thay đổi phương thức xác thực...

(Theo Vietnam+)

Cảnh báo phương thức dùng BTS giả mạo phát tán tin nhắn lừa người dùng ngân hàng

Theo Cục An toàn thông tin, các tin nhắn mạo danh tổ chức tài chính, ngân hàng để gửi những nội dung giả mạo, lừa đảo người dùng thời gian gần đây đã được kẻ xấu phát tán qua các thiết bị phát sóng di động (BTS) giả mạo.