Việc hack tài khoản chứng khoán ngày càng tinh vi

Rate this post

Các giao dịch điện tử thường khó tránh khỏi các lỗ hổng bảo mật. Ảnh internet

(ĐTCK) Cơ quan điều tra Công an TP. Hà Nội vừa khởi tố bị can Nguyễn Trần Minh Hòa (27 tuổi, ở quận Tân Bình, Vĩnh Long) về hành vi sử dụng mạng máy tính, mạng viễn thông, phương tiện điện tử thực hiện hành vi chiếm đoạt tài sản.

Trước đó, khoảng tháng 3/2022, Công ty Chứng khoán A. (có địa chỉ tại Hà Nội) có phản ánh về trường hợp tài khoản của khách hàng bị hack trái phép. Công an Tp. Hà Nội đã sử dụng các biện pháp nghiệp vụ kỹ thuật xác định được hung thủ gây án là Nguyễn Trần Minh Hòa.

Qua đấu tranh, Hòa khai nhận, khoảng đầu năm 2022, đối tượng phát hiện một diễn đàn chứng khoán tại Việt Nam bị lỗi SQL Injection (lỗi cơ sở dữ liệu khiến trang web có thể chiếm đoạt dữ liệu người dùng). ) nên đã xâm nhập bất hợp pháp và thu thập 156.000 tài khoản và mật khẩu người dùng.

Những ai nghĩ có thể sử dụng tài khoản và mật khẩu này để đăng nhập các sàn giao dịch chứng khoán ở Việt Nam thì nên thử đăng nhập thành công nhiều tài khoản. Trong đó có tài khoản của ông Phạm Văn S. (47 tuổi, ngụ Bà Rịa – Vũng Tàu). Hòa làm giả ảnh chứng minh nhân dân để mở tài khoản ngân hàng đứng tên ông S., liên kết tài khoản giả với tài khoản chứng khoán.

Đối tượng đặt lệnh bán toàn bộ hàng chục mã chứng khoán của ông S., với tổng số tiền hơn 3,4 tỷ đồng. Hòa rút tiền từ tài khoản chứng khoán của anh S. chuyển vào tài khoản ngân hàng giả rồi dùng số tiền chiếm đoạt được để mua tiền kỹ thuật số USDT, sau đó bán USDT để lấy VND.

Tại sao sở giao dịch chứng khoán liên kết tài khoản ngân hàng của chủ sở hữu và gửi mã OTP về điện thoại của nhà đầu tư nhưng vẫn có lỗ hổng bảo mật để hacker dễ dàng đột nhập tài khoản, chiếm đoạt tài sản?

Cơ quan chức năng nhận định, trong vụ án này, đối tượng đã lợi dụng lỗ hổng bảo mật tại các sở giao dịch chứng khoán và ngân hàng.

Theo đó, mặc dù sở giao dịch chứng khoán có cơ chế xác thực giao dịch mua bán chuyển tiền bằng mã OTP gửi đến số điện thoại của khách hàng đã đăng ký với sở giao dịch chứng khoán nhưng không giới hạn số lần nhập sai mã OTP. . Lợi dụng lỗ hổng này, đối tượng đã sử dụng phần mềm dò mã OTP để xác thực thành công các giao dịch mua bán, chuyển tiền từ tài khoản chứng khoán bị chiếm đoạt.

Mặt khác, mặc dù sở giao dịch chứng khoán có quy định chỉ được liên kết tài khoản ngân hàng trùng tên với tài khoản trên sở giao dịch chứng khoán nhưng việc liên kết tài khoản ngân hàng mới chỉ cần thực hiện trực tuyến, không cần đến văn phòng. văn phòng công ty hoặc hợp đồng.

Nhiều ngân hàng cho phép khách hàng đăng ký tài khoản ngân hàng trực tuyến, chỉ cần ảnh chứng minh nhân dân và video xác thực nên đã tạo kẽ hở để nhiều người tạo tài khoản ngân hàng giả nhằm mục đích phạm tội.

Cơ quan công an cũng nhận định, đối tượng am hiểu về công nghệ thông tin, thực hiện hành vi qua mạng Internet nên khó lần ra dấu vết. Việc mua bán sim điện thoại rất dễ dàng nên các đối tượng mua sim rác sử dụng để tránh bị cơ quan công an phát hiện. Ngoài ra, đối tượng sử dụng tiền vi phạm pháp luật để mua bán các loại tiền kỹ thuật số nên việc truy tìm dòng tiền gặp nhiều khó khăn.

Giao dịch điện tử thường khó tránh khỏi các lỗ hổng bảo mật, do đó, cơ quan công an khuyến cáo các nhà đầu tư có ý thức bảo vệ thiết bị điện tử nên sử dụng mật khẩu mạnh (bao gồm số, chữ, ký hiệu, …). ) tách biệt với các tài khoản mạng xã hội, diễn đàn, v.v.

Ủy ban Chứng khoán Nhà nước cũng yêu cầu các công ty chứng khoán rà soát các lỗ hổng bảo mật trên hệ thống công nghệ thông tin, đặc biệt là hệ thống giao dịch chứng khoán trực tuyến; kiểm tra lại các thủ tục khi nhà đầu tư thực hiện xác thực giao dịch trực tuyến để khắc phục rủi ro cho nhà đầu tư khi thực hiện giao dịch; Điều chỉnh hệ thống để các giao dịch chuyển tiền, ứng tiền, thay đổi tài khoản của khách hàng phải xác thực OTP ngay lập tức …

Trên thị trường, một số công ty chứng khoán đã cải tiến quy trình nhằm đảm bảo an toàn tài khoản của khách hàng. Ví dụ, tại TVSI, khách hàng muốn thay đổi tài khoản ngân hàng liên kết phải thực hiện tại quầy giao dịch của công ty và phải là chủ sở hữu giao dịch.

Tại FPTS, nhà đầu tư muốn chuyển tiền trực tuyến từ tài khoản chứng khoán sang tài khoản ngân hàng của người khác phải sử dụng thiết bị xác thực người dùng – thẻ Token. Theo khuyến cáo của các công ty chứng khoán, nhà đầu tư nên đổi mật khẩu 3 tháng một lần.

Thanh Thuy

Leave a Reply

Your email address will not be published.