Trái tim rỉ máu' và vụ hack ngân hàng lớn nhất lịch sử nước Mỹ

Vào tháng 4/2014, cộng đồng bảo mật toàn cầu rúng động khi phát hiện ra lỗ hổng Heartbleed nằm trên cơ chế mã hóa SSL, thành phần tối quan trọng của kết nối bảo mật HTTPS trên toàn cầu. Cũng giống như các lỗ hổng bảo mật khác, hậu quả của Heartbleed chỉ được phát hiện sau một thời gian dài theo dõi.

Đến nay, các nhà hành pháp Mỹ vừa đưa ra xét xử "vụ đánh cắp thông tin người tiêu dùng từ các tổ chức tài chính lớn nhất lịch sử" do một nhóm hacker thực hiện. Băng nhóm này đã tận dụng Heartbleed để tấn công vào "Nạn nhân thứ 2", một công ty tài chính lớn được giấu tên có trụ sở tại Boston.

Nhưng Heartbleed mới chỉ là một phần trong vụ trộm "số" khổng lồ này. Phần lớn thiệt hại trong vụ việc có vẻ đã được gây ra bởi hình thức social engineering (lừa đảo qua mạng). Theo các nhà điều tra, 4 tên hacker đã truy cập được vào nhiều mạng lưới thuộc về JP Morgan và các ngân hàng lớn khác, thu thập các thông tin cá nhân của người dùng để điều khiển giá cổ phiếu. Một số vụ hack khác do chúng thực hiện lại nhắm vào các tổ chức tin tức tiền tệ.

3 bị cáo bị đưa ra xét xử với tội danh "lừa đảo trái phiếu" bao gồm Gery Shalon và Ziv Orenstein người Israel, và Joshua Samuel Aaron người Mỹ. Bị cáo thứ tư, Anthony Murgio bị buộc tội điều hành một mạng lưới Bitcoin bất hợp pháp để rửa khoản tiền khổng lồ thu được từ các vụ hack này.

Hacker đã tấn công vào các ngân hàng lớn như thế nào?

Thông thường, vụ hack sẽ bắt đầu qua các tài khoản hợp lệ ví dụ của Joshua Aaron. Bằng cách sử dụng quyền truy cập hợp lệ khi giả danh Aaron làm khách hàng bình thường, các hacker sẽ truy cập vào các mạng lưới chứa thông tin của những khách hàng khác - những người đầu tư vào cổ phiếu.

Qua nhiều năm, chúng đã thu thập được thông tin cá nhân của hơn 100 triệu người!

Nhóm hacker này không hề chiếm quyền truy cập vào tài khoản ngân hàng của nạn nhân, bởi chúng không muốn và cũng không cần tới các thông tin này. Theo các nhà điều tra, các tên này sẽ gửi thông tin cá nhân của các khách hàng khác tới các ông chủ để giúp làm tăng giá các loại cổ phiếu mà chúng đã mua với giá rẻ. Khi bán đi các loại cổ phiếu này, chúng sẽ thu lợi lớn.

Đây được gọi là kỹ thuật "bơm giá và đổ đi" (bump and dump).

Các ngân hàng có thể làm gì?

Khó có thể nói rằng các nạn nhân có thể đã làm được gì hơn. Trong một trường hợp, một trong số các công ty đã phát hiện ra tình trạng bất thường nhưng lại không thể làm được gì.

Nạn nhân nói trên là "Nạn nhân thứ 3", một công ty có trụ sở tại Omaha, bang Nebraska (Mỹ). Các hacker này đã sử dụng một máy chủ tại Ai Cập để truy cập vào mạng lưới của "Nạn nhân 3" thông qua tài khoản hợp lệ của Aaron.

Khi đội ngũ bảo mật của "Nạn nhân 3" phát hiện ra địa điểm truy cập bất thường, họ đã tiến hành khóa tài khoản này lại. Nhưng, theo văn bản tòa án, "Aaron đã gọi cho nạn nhân 3, và khi được thông báo rằng tài khoản của anh ta đã bị khóa và được hỏi rằng liệu Aaron có đến Ai Cập vào tháng 3/2014 hay không, Aaron lại nói dối và khẳng định rằng mình đã đến Ai Cập. Thực tế, 'Aaron' cũng biết, anh ta đã không ở Ai Cập và chỉ cố thuyết phục Nạn nhân 3 cho anh ta và các đồng phạm được truy cập tài khoản của Aaron để thực hiện các vụ hack vào hệ thống của Nạn nhân 3".

Với các ngân hàng và thậm chí là tất cả các doanh nghiệp số lớn, việc phải cân đối giữa quá trình tăng cường bảo mật cho hệ thống song cũng không làm các khách hàng rối trí vì các biện pháp bảo mật rắc rối luôn là một công việc không đơn giản. Nếu bảo mật quá phức tạp, khách hàng có thể bỏ đi vì khó sử dụng.

"Lợi nhuận" khổng lồ thu được từ "ăn trộm số"

Các nhà điều tra đang gọi vụ việc này là vụ trộm tài khoản dữ liệu người tiêu dùng từ các tổ chức tài chính lớn nhất lịch sử từng được ghi nhận. Nhưng đó không phải là tất cả các cáo buộc nhắm vào 4 bị can. Theo các tài liệu của tòa án, những người này đã thu thập một khối tài sản khổng lồ qua hành vi hack: 100 triệu USD được lưu giữ trong các tài khoản tại Thụy Sỹ.

Bên cạnh việc thao túng thị trường chứng khoán và điều hành một sàn giao dịch Bitcoin trái phép để rửa tiền, những người này còn tạo ra những sòng bạc trực tuyến trái phép, bán các phần mềm chống virus giả mạo và thậm chí còn bán thuốc giả.