a.Vấn đề
Người sử dụng máy tính hầu hết cũng đều quen thuộc khi nhắc tới các khái niệm như virus, trojan, phần mềm mã độc nhưng rất ít người lường hết được những mối nguy hiểm do chúng gây ra cũng như cách phòng chống thế nào cho có hiệu quả. Những khách hàng sử dụng internet banking là mục tiêu ưa thích của các phần mềm này nên cần có những kiến thức nhất định để có thể phòng ngừa hiệu quả.Các phần mềm mã độc, virus, trojan ngày càng xuất hiện nhiều với mức độ phức tạp tinh vi ngày càng cao, chúng được phát tán rộng rãi trên môi trường mạng internet thông qua các trang web, thư điện tử hay đính kèm các phần mềm. Không phải ngẫu nhiên mà các phần mềm mã độc có thể xâm nhập vào máy tính của khách hàng, thông thường là do khách hàng đã click chuột vào liên kết tới đoạn mã độc hay mở các file đính kèm có chứa virus . b.Thực tế
*Rootkit đánh cắp hàng trăm nghìn tài khoản ngân hàng (2009)
Trong tháng 4 năm 2009, MaOSRootkit vốn là một rootkit đã đánh cắp hàng trăm nghìn tài khoản ngân hàng đã quay trở lại với một biến thể mới. Chúng lây lan với tốc độ rất nhanh trên mạng Internet và lây lan cả đến mạng máy tính ở việt nam.
Rookit MaOS (tên gọi khác là Mebroot) là một rookit khá đặc biệt, nó lây nhiễm vào master boot record (sector khởi động đầu tiên trên đĩa cứng) nên nó có thể tác động chỉnh sửa hệ thống ngay khi hệ điều hành được khởi động và vượt qua các phần mềm diệt virus khác một cách dễ dàng. Với cách hoạt động như vậy thì nó trở lên vô hình với tất cả các phần mềm bảo mật như antivirus, tường lửa …
Rookit này hoạt động ổn định trên window xp và có khả năng ăn rất sâu vào hệ thống, phiên bản đầu tiên của nó xuất hiện vào tháng 12/2007 và được lập trình rất bài bàn, chuyên nghiệp.
Rootkit trên trở lại với đợt tấn công trên diện rộng vào ngày 31/3 , theo thông tin sơ bộ nó đã lây lan vào 180.000 máy tính và 1.2 triệu địa chỉ ip trên toàn thế giới trong đó Mỹ là nước có tốc độ lây lan cao nhất. Theo nghiên cứu của trường Đại Học California (Mỹ) công bố ngày 04.05, qua 10 ngày theo dõi MaOSRootkit bootnet, đã có 8.310 tài khoản ngân hàng, 1.235.122 mật khẩu Windows, 100.472 tài khoản SMTP, 415.206 tài khoản POP, 411.039 tài khoản HTTP và 1.258.862 tài khoản mail bị đánh cắp.
Đã có hàng nghìn website được dựng lên để phát tán loại mã độc nguy hiểm này. Ngoài ra, rất nhiều loại sâu máy tính khác được thiết lập để tải rootkit này về máy của người dùng.
*Website ngân hàng ấn độ bị hack và phát tán trojan (2007)
Ngân hàng BankOfIndia vừa bị hãng bảo mật Subelt Software cảnh báo website của ngân hàng này bị hacker tấn công và được sử dụng làm công cụ phát tán nhiều loại trojan, rootkit và phần mềm mã độc khi người sử dụng truy cập vào. Những phần mềm nguy hiểm này được dùng để thu thập các dữ liệu của nận nhân sau đó tải lên một máy chủ FTP đặt tại Nga.
Công ty Sunbelt cũng cho biết lỗi bảo mật xuât phát từ framework trên trang web, máy tính nạn nhân sẽ bị lây nhiễm do một lỗi bảo mật của internet explorer nếu người dùng chưa cập nhật bản vá lỗi MS06-042.
Hiện bộ phận kỹ thuật của ngân hàng đã nhanh chóng xử lý và khắc phục tạm thời tình trạng trên, tuy nhiên các chuyên gia khuyến cáo cần phải tìm và xử lý các lỗi gốc trong hệ thống nếu không website này vẫn là mục tiêu tấn công của hacker.
Hình 12: Website của ngân hàng tạm ngừng hoạt động c.Tìm hiểu thêm về phần mềm mã độc
Hiện nay có rất nhiều loại phần mềm mã độc khác nhau nhưng những khách hàng của internet banking thường xuyên phải đối mặt với một số loại sau đây :
*Worm
Là loại mã độc hại có thể tự lây nhiễm, tự nhân bản mà không cần vật mang, tự kích hoạt mà không cần sự tác động từ người sử dụng. Loại mã độc này thường khai thác các lỗ hổng an ninh của hệ điều hành và các phần mềm ứng dụng. Chúng còn có thể thực hiện hành vi dò quét các máy tính khác liên kết trong mạng, tìm ra các lỗ hổng và điểm
yếu để lây nhiễm sang các máy đó. Đặc tính này khiến cho worm có tốc độ lây lan rất nhanh và khó có thể tiêu diệt hoàn toàn mặc dù các phần mềm có thể phát hiện và tiêu diệt chúng (chúng vẫn có thể tồn tại ở các máy không có phần mềm av và tìm cơ hội lây lan trở lại với các máy tính ở trong mạng).
Không rõ chính xác thời điểm xuất hiện của worm nhưng vài năm gần đây worm đã gây hậu quả rất lớn cho các hệ thống máy tính trên thế giới. Một số loại worm nổi tiếng đã reo giắc nỗi kinh hoàng cho các hệ thống mạng trên toàn cầu như Nimda, Mydoom, Blaster, Sasser... Trong hoàn cảnh các lỗ hổng bảo mật của các hệ điều hành, các phần mềm ứng dụng được phát hiện và công bố trên mạng một cách rộng rãi nên worm có được mảnh đất tốt để khai thác, tấn công các hệ thống ngày càng hiệu quả.
*Trojan
Là mã độc có khả năng mở các cổng trên máy tính giúp hacker chiếm quyền điều hành máy tính và thực hiện các hành vi phạm pháp khác. Từ những năm 1980 đã xuất hiện các khái niệm về trojan horse và đã có những phát hiện báo cáo về trojan. Tuy nhiên cho đến nay các trojan vẫn được các hacker sử dụng để tấn công các hệ thống máy tính và đạt được hiểu quả nhất định. Đăc biệt các kỹ thuật tấn công của trojan được sử dụng khá nhiều trong các vụ tấn công phức tạp, sử dụng các kỹ thuật hỗn hợp.
*Spyware
Là phần mềm gián điệp được cài đặt bất hợp pháp tại các máy tính của khách hàng. Nó có nhiệm vụ thu thập các thông tin bí mạt đặc biệt liên quan đến tài khoản ngân hàng rồi gửi trả về cho hacker.
Khái niệm spyware được sử dụng lần đầu vào những năm 95-96, đến khoảng năm 2005 là thời kì spyware hoành hành dữ dội nhất. Hiện nay spyware không được xếp vào loại mã độc có nguy cơ lớn nhất với hệ thống máy tính, nhưng nó vẫn thuộc nhóm dẫn đầu về nguy cơ và rủi ro có thể gây ra cho các hệ thống máy tính trên thế giới.
*Rootkit
Xuất hiện vào năm 1990 trên hệ điều hành Unix, từ năm 2005 rootkit được cảnh báo là nguy cơ lớn đối với an ninh của hệ thống mạng máy tính, nó tiềm ẩn rất nhiều nguy cơ đối với hệ thống máy tính nếu được ứng dụng trong việc phát triển mã độc hại.
Rookit là kỹ thuật nhằm mục đích ẩn hết các tiến trình của các chương trình, các đoạn mã khi chạy, nhiều trường hợp rookit còn ẩn hết các entry liên quan trong registry, thậm chí còn ẩn cả file và thư mục. Xem bảng danh sách các tiến trình đang chạy trong máy sẽ không thấy tiến trình nào của chương trình (có sử dụng rootkit) xuất hiện mặc dù nó
đã được chạy. Mã độc hại sử dụng kỹ thuạt rookit để ẩn mình trước các phần mềm diệt virus, loại mã này đặc biệt nguy hiểm nếu người sử dụng chỉ dùng các chương trình diệt virus không có tính năng phát hiện rootkit.
*Virus
Là phần mềm mã độc xuất hiện sớm nhất và khá thông thuộc với người sử dụng máy tính. Chúng được tạo ra nhằm mục đích phá hoại là chính, hiếm khi xuất hiện loại virus có các hành vi khác như ăn cắp thông tin... Các hành động phá hoại chính là xóa file, thay đổi nội dung file. Virus có khả năng tự nhân bản nhưng cần có vật mang cà cần tác động ở bên ngoài để kích hoạt lần đầu.
Virus xuất hiện từ những năm 70 và đến này vẫn tiếp tục tồn tại và phát triển không ngừng, song song với sự phát triển của virus là các phần mềm phòng chống virus, cuộc chiến này sẽ còn kéo dài dai dẳng và chưa có hồi kết .
*Keylogger
Là chương trình dùng để ghi lại các thao tác thực hiện trên bàn phím sau đó các thông tin này được hacker tổng hợp, phân tích để tìm ra các thông tin nhạy cảm của khách hàng như số tài khoản, mật khẩu, số thẻ tín dụng... và các thông tin cá nhân khác. Những thông tin trộm được nhằm mục đích bất hợp pháp như rút trộm tiền từ tài khoản, dùng tài khoản để mua hàng qua mạng, chuyển tiền qua tài khoản khác, hay rao bán các thông tin về tài khoản cho người có nhu cầu…
Không có ghi nhận chính xác về thời gian xuất hiện keylogger nhưng từ năm 2000 đến nay số lượng keylogger gia tăng với tốc độ rất nhanh.
Kết luận: Hoạt động của hệ thống Internet Banking gặp rất nhiều nguy cơ, thách thức mất an toàn thông tin cả về phía ngân hàng lẫn phía khách hàng. Trên đây là một vài thách thức mà tôi tìm hiểu được khi nghiên cưu về lĩnh vực Internet Banking, một số nguy cơ đã cũ mà một số nguy cơ có tính thời sự nên các sự kiện trích dẫn có năm xuất hiện rải rác từ năm 2005 đến 2010.