Những con số đáng giật mình nêu trên vừa được ông Nguyễn Minh Đức, Giám đốc Bộ phận An ninh mạng của BKIS (Bkis Security) công bố sáng nay, 14/4/2010, tại Hà Nội.

Dịch vụ eBank là một trong những ứng dụng công nghệ ngân hàng hiện đại đang được các ngân hàng trên toàn quốc đẩy mạnh đầu tư và phát triển. Theo thống kê của Bkis thì đã có 41/50 ngân hàng ở Việt Nam triển khai eBank. Với khả năng xử lý thông tin trực tuyến, eBank mang lại nhiều tiện lợi cho khách hàng thông qua các phương thức chuyển khoản, vấn tin tài khoản online…

Tuy nhiên, cùng với sự phát triển mạnh mẽ của eBank, mối nguy bị tội phạm mạng tấn công hệ thống này cũng ngày càng lớn.

Mặc dù những cảnh báo về nguy cơ mất an toàn, an ninh mạng của các ngân hàng đã được đề cập không ít lần, song tính đến giờ, dường như sự quan tâm của các ngân hàng tới vấn đề này vẫn chưa đúng mức.

Theo đánh giá của Bkis Security, cả 4 yếu tố cấu thành eBank gồm Con người và quá trình vận hành, Cơ sở hạ tầng và đường truyền, Hệ điều hành và môi trường, Ứng dụng ngân hàng trực tuyến, đều có nguy cơ mất an toàn, an ninh.

“Lý do căn bản nhất khiến các ngân hàng tại Việt Nam mắc phải lỗ hổng an ninh mạng là thiếu quy trình đánh giá độc lập về an ninh khi triển khai các hệ thống Internet Banking, cũng như thiếu việc áp dụng các tiêu chuẩn về an ninh, an toàn thông tin”, ông Đức nhấn mạnh.

7 tình huống nguy hiểm

Hiện vẫn chưa có trường hợp khách hàng nào ở Việt Nam bị mất tiền hoặc thiệt hại bởi hành vi hacker tấn công eBank. Tuy nhiên, với thiện ý cảnh báo các ngân hàng tránh khỏi “vết xe đổ” “mất bò mới lo làm chuồng”, các chuyên gia của Bkis Security đã tích cực phân tích, tìm hiểu và liệt kê ra 7 tình huống nguy hiểm nhất mà các ngân hàng điện tử tại Việt Nam thường mắc phải. Trong đó, 3 nguy cơ từ quá trình xử lý dữ liệu đầu vào, 2 lỗ hổng do quá trình xử lý logic, và 2 lỗi do sai sót của người quản trị mạng, quản trị hệ thống. Thứ tự lần lượt như sau:

SQL Injection.

Lỗ hổng SQL Injection được liệt vào dạng “cổ điển” song đáng tiếc là vẫn có những ngân hàng Việt Nam đang là nạn nhân (theo thống kê của Bkis, đang có khoảng 10% ngân hàng điện tử mắc phải lỗi SQL Injection).

Lợi dụng lỗ hổng, hacker có thể dễ dàng lấy được tên, mật khẩu của khách hàng chỉ bằng một số chuỗi thao tác đơn giản, sau đó thoải mái “tác nghiệp” trên tài khoản của nạn nhân. Lỗi này thường xảy ra ở những module tự phát triển của ngân hàng.

Một trong những giải pháp đối phó là kiểm soát thật tốt dữ liệu đầu vào của hệ thống eBank.

Cross site scripting (XSS)

Bằng cách thực hiện một đoạn mã độc trong chức năng chuyển khoản của hệ thống eBank, hacker sẽ chiếm quyền sử dụng của nạn nhân sau khi ăn trộm được giá trị cookie của nạn nhân. Có tới 93% hệ thống eBank tại Việt Nam đang ở tình huống nguy hiểm này. Và kiểm soát dữ liệu đầu vào cũng là một trong những giải pháp hữu hiệu nhất để đối phó.

Malicious file uploading

Ở tình huống này, hacker lợi dụng module góp ý, khiếu nại trên giao diện của eBank để tấn công trực tiếp vào hosting. Dù tình huống này ít xảy ra (chỉ khoảng 16%) song sẽ đặc biệt nguy hiểm nếu thư mục upload có quyền thực thi. Theo khuyến cáo của Bkis thì để đối phó, một trong những giải pháp là phải phân quyền chặt chẽ trên hosting.

Authentication

64% ngân hàng điện tử tại Việt Nam có lỗ hổng này. Hacker có thể mạo danh để chiếm quyền sử dụng tài khoản của nạn nhân. Đối tượng tấn công của hacker là những người sử dụng khác trên cùng hệ thống. Bkis khuyến cáo rằng các ngân hàng và người sử dụng nên truyền những thông tin nhạy cảm quan session thay vì parameters, đồng thời kiểm tra sessions và tài khoản tương ứng để tránh “làm mồi” cho hacker.

Crosssite request forgery (CSRF)

Với lỗ hổng này, người sử dụng chỉ cần xem sao kê thì tiền trong tài khoản của người sử dụng sẽ tự động “chảy”vào tài khoản của hacker. Điểm đặc biệt nguy hiểm là có tới 93% ngân hàng đang “hé cửa” để hacker khai thác lỗi CSRF. Giải pháp khắc phục theo Bkis là sử dụng hard token, chữ ký số (PKI)…

Nguy cơ từ môi trường

Nguy cơ này xuất hiện khi các hệ thống eBank không cập nhật kịp thời những bản vá phần mềm mới nhất và cấu hình hệ thống chưa tốt.

Không cập nhật được bản vá mới, hệ thống sẽ dễ dàng bị hacker chiếm quyền thao tác. 80% hệ thống eBank tại Việt Nam đang tồn tại lỗi này, và một trong những nguyên nhân là do quản trị mạng chủ quan cho rằng phần mềm có thể tự cập nhật bản vá. Giải pháp để khắc phục chỉ đơn giản một câu ngắn gọn “thường xuyên cập nhật bản vá”, song cũng không dễ dàng được thực hiện bởi các ngân hàng ở nước ta.

Còn về cấu hình hệ thống, tỷ lệ ngân hàng điện tử tại Việt Nam mắc lỗi này đang là 50%. Nguyên nhân do hệ thống không đồng bộ, không nhất quán giữa các phần mềm, vẫn tồn tại nhiều chức năng thừa. Giải pháp xử lý lỗi này là loại bỏ những chức năng không cần thiết để không còn “miếng mồi” cho hacker lợi dụng khai thác.

Nguy cơ từ quy trình vận hành và chính sách an ninh thông tin

Một điều đáng lo ngại là không ít ngân hàng vẫn chưa có chế tài chặt chẽ về quy trình vận hành và chính sách an ninh thông tin. Các ngân hàng điện tử hiện nay đang có đặc điểm “chỗ thì chặt quá, chỗ thì lỏng quá”. Đơn cử cho sự “lỏng” là số tài khoản của khách hàng có thể được cung cấp một cách dễ dàng từ người phụ trách hỗ trợ khách hàng (chỉ cần gọi điện thoại để hỏi). Còn minh chứng cho sự “chặt” là quy định vô hiệu hoá toàn khoản nếu có 5 – 7 lần truy nhập sai mật khẩu (hacker có thể lợi dụng quy định này, cố tình nhập sai nhiều lần để vô hiệu hoá tài khoản của khách hàng).

Giải pháp khắc phục nguy cơ này là tuân thủ tiêu chuẩn an ninh thông tin ISO 27001, Bkis khuyến cáo.

Theo taichinhdientu.vn