Hacker chuyển hướng tấn công nhân viên, khách hàng dùng dịch vụ ngân hàng
Nhấn mạnh con người là điểm yếu nhất trong hệ thống, Cục trưởng Cục CNTT - Ngân hàng Nhà nước Lê Mạnh Hùng cho biết, hiện tội phạm mạng chuyển hưởng tấn công sang nhân viên và khách hàng sử dụng dịch vụ.
Nhận định nêu trên vừa được người đứng đầu Cục CNTT - Ngân hàng Nhà nước chia sẻ tại hội thảo “Đẩy mạnh ứng dụng sản phẩm mật mã dân sự phục vụ phát triển kinh tế xã hội” diễn ra ngày 8/8/2017 tại Hà Nội.
Ông Lê Mạnh Hùng, Cục trưởng Cục CNTT - Ngân hàng Nhà nước chia sẻ về thực trạng và giải pháp bảo đảm an toàn thông tin trong lĩnh vực ngân hàng.
Ông Hùng cho biết, song song với việc mở rộng sản xuất kinh doanh, ngành Ngân hàng cũng rất quan tâm đảm bảo an ninh bảo mật để các hệ thống thông tin hoạt động liên tục và an toàn.
“Vì thế, từ chỗ tấn công thẳng, trực tiếp vào hệ thống CNTT ngành Ngân hàng, với hiệu quả đạt được không như mong muốn, hiện nay tội phạm mạng chuyển sang tấn công qua trung gian là người dùng các dịch vụ và nhân viên ngành ngân hàng-những đối tượng dễ dàng hơn”, ông Hùng chia sẻ.
Ông Hùng cũng dẫn chứng thêm, theo báo cáo khảo sát năm 2016 của VNISA, các nguy cơ mất an toàn thông tin từ cán bộ đang làm việc chiếm 9,2%; và từ cán bộ đã nghỉ việc chiếm 5,8%.
Bên cạnh đó, các hệ thống CNTT quan trọng của Việt Nam, trong đó có hệ thống CNTT ngành Ngân hàng cũng đang phải đối mặt với nguy cơ tấn công mạng có tổ chức. Ông Hùng phân tích, nếu như những năm trước, tình hình tội phạm mạng đa phần chỉ diễn ra với các cá nhân, doanh nghiệp nhỏ; thì thời gian gần đây, đã xảy ra những cuộc tấn công mạng nhằm vào các hệ thống lớn, quan trọng.
“Những diễn biến phức tạp, bất ổn về vấn đề an ninh trên thế giới, khu vực cũng như đang làm gia tăng nguy cơ tấn công mạng xuyên biên giới, gia tăng tội phạm mạng có tổ chức và được tài trợ bởi các Chính phủ, có mục tiêu tấn công rõ ràng”, ông Hùng nhấn mạnh.
Một nguy cơ nữa với các hệ thống CNTT ngành Ngân hàng, theo ông Hùng chính là sự gia tăng mã độc khai thác lỗ hổng zero-day và các mã độc mới.
Theo ghi nhận của các hãng bảo mật, năm 2016, số lượng mã độc mới đã tăng 36%, trong đó mã độc tấn công vào ngành tài chính, ngân hàng cũng tăng tương ứng. Tiếp đó, đầu năm 2017, hơn 140 ngân hàng ở 40 nước bị dính malware có khả năng ẩn mình trong bộ nhớ máy tính, điều khiển các hệ thống ATM tự động nhả tiền.
Đặc biệt, vào tháng 5/2017, mã độc tống tiền WannaCry đã khiến cả thế giới “chao đảo” khi lan rộng tới hơn 150 quốc gia trong đó có Việt Nam, ảnh hưởng tới 10.000 tổ chức, 200.000 cá nhân.
Đáng chú ý, xu hướng phát triển, cung cấp dịch vụ ngân hàng số với nhiều kênh dịch vụ trên môi trường mạng Internet đã và đang làm xuất hiện thêm nhiều rủi ro, thách thức mới. Dự đoán trong 1-2 năm tới, tin tặc sẽ tập trung các hoạt động vào việc lấy trộm tiền qua hệ thống ngân hàng tự động.
Năm 2016, Ngân hàng Quốc tế Nga và Ngân hàng Metallinvestbank đã gánh chịu các cuộc tấn công nghiêm trọng vào hệ thống ngân hàng tự động, thiệt hại tới 1 tỷ rúp. Tại Việt Nam, 2 năm gần đây, C50-Bộ Công an cũng đã phát hiện, bắt giữ hàng chục vụ trộm tiền trong tài khoản ngân hàng với các thủ đoạn ăn cắp thông qua ATM.
Ngoài ra, xu hướng tập trung hóa tài nguyên điện toán đám mây, hệ thống công nghệ ngày càng kết nối nhiều và phức tạp làm gia tăng nguy cơ, mức độ rủi ro.
Các chuyên gia bảo mật dự đoán, trong 1-2 năm tới, hacker sẽ tập trung vào việc lấy trộm tiền thông qua hệ thống ngân hàng tự động
Trong bối cảnh phải đối mặt với hàng loạt nguy cơ, số liệu khảo sát của Ngân hàng Nhà nước về thực trạng sử dụng sản phẩm an toàn thông tin trong ngành Ngân hàng còn hạn chế.
Đơn cử như, theo số liệu khảo sát cuối 2016, khoảng 70% tổ chức tín dụng (TCTD) định kỳ đánh giá các điểm yếu, lỗ hổng an ninh bảo mật của hệ thống CNTT; 55% TCTD dùng giải pháp hệ thống chữ ký số dựa trên nền tảng PKI tích hợp với các hệ thống ứng dụng nghiệp vụ ngân hàng; 35% TCTD đầu tư các giải pháp an ninh bảo mật khác như hệ thống quản lý sự kiện an ninh-SIEM, hệ thống phòng chống tấn công từ chối dịch vụ, hệ thống firewall lớp ứng dụng; hơn 60% TCTD áp dụng tiêu chuẩn dữ liệu thẻ PCI DSS và tiêu chuẩn ISO 27001...
Khảo sát cũng chỉ ra rằng, hệ thống thẻ thanh toán chủ yếu vẫn là thẻ từ. Và trong thanh toán trực tuyến, phần lớn các TCTD vẫn dùng giải pháp xác thực 2 yếu tố dựa trên SMS OTP tiềm ẩn nhiều rủi ro.
“Các công nghệ xác thực mạnh như sử dụng OTP Token, ký xác thực giao dịch, chữ ký điện tử có độ an toàn cao hơn nhưng do triển khai phức tạp, chi phí cao và chưa có chính sách bắt buộc nên chưa được các TCTD quan tâm đầu tư”, đại diện Ngân hàng Nhà nước cho hay.
Robusta - trung tâm đào tạo CNTT luôn sẵn sàng hỗ trợ và đón nhận những thông tin mới mẻ và cập nhật nhất để đưa ra những xu hướng giải quyết mới cho giới IT. Đặc biệt về các khóa Security luôn nằm trong các khóa đào tạo thế mạnh của Robusta. Robusta thường xuyên khai giảng các khóa học thuộc mảng Security từ căn bản đếnnâng cao như: CEH, CHFI, CISSP, Phân tích mã độc, từ căn bản đến nâng cao. Để có thêm thật nhiều thông tin về các khóa học, lịch khai giảng các khóa Security, vui lòng xem tại: https://robusta.vn/vi/chuong-trinh-dao-tao/bao-mat-an-toan-thong-tin hoặc liên hệ với Robusta qua email: Learn@robusta.vn ; Hotline: 0939 586 168 để được hỗ trợ và tư vấn tốt nhất.
Trích nguồn bài viết từ: http://ictnews.vn (http://ictnews.vn/cntt/bao-mat/hacker-chuyen-huong-tan-cong-nhan-vien-khach-hang-dung-dich-vu-ngan-hang-157345.ict)