Cuộc chiến chống tin tặc đầy cam go của các ngân hàng

Vụ mạng máy tính của ngân hàng Capital One (Mỹ) bị xâm nhập và lấy cắp dữ liệu của hơn 100 triệu khách hàng cho thấy đối với các ngân hàng, chống lại tin tặc là một cuộc chiến cam go và không được lơ là dù chỉ một phút.

Hôm 29-7, Paige Thompson, 33 tuổi, một nữ kỹ sư phần mềm, đã bị truy tố ra một tòa án liên bang ở Seattle, bang Washington về các tội danh gian lận và lạm dụng máy tính. Cô bị cáo buộc xâm nhập vào mạng máy tính của ngân hàng Capital One thông qua “một tổn thương về cấu hình cài đặt” ở phần mềm an ninh của ngân hàng này để lấy cắp dữ liệu của 106 triệu khách hàng.

Điểm tổn thương này được ví giống như việc một chi nhánh ngân hàng quên khóa cửa vào ban đêm.

Các tài liệu của tòa án cáo buộc sau khi xâm nhập được vào bên trong mạng máy tính của Capital Online, Thompson tải hàng loạt dữ liệu khách hàng của ngân hàng này bao gồm các mẫu đơn xin cấp thẻ tín dụng và mã số an sinh xã hội của họ.

Vụ xâm nhập diễn ra trong nhiều giai đoạn vào tháng 3 và tháng 4-2019 nhưng Capital One chỉ phát hiện ra sự việc vào hôm 17-7 khi nhận được tin báo dữ liệu khách hàng của ngân hàng này bị tung lên nền tảng chia sẻ mã nguồn GitHubub.

Kỹ sư phần mềm Paige Thompson, người bị cáo buộc xâm nhập vào mạng máy tính của ngân hàng Capital One để lấy cắp thông tin của 106 triệu khách hàng. Ảnh: The Peoples Ledger

Các ngân hàng lớn giống như Capital One là một mục tiêu yêu thích của bọn tin tặc. Chỉ một điểm yếu duy nhất của hệ thống an ninh mạng bị lộ ra là tất cả những gì mà những tên tin tặc lão luyện cần. Và bọn chúng thường tìm thấy những điểm yếu như vậy.

Trong năm nay, bọn tin tặc đã thực hiện thành công 3.494 vụ tấn công mạng nhằm vào các tổ chức tài chính, theo các báo cáo gửi cho Mạng lưới thực thi pháp luật chống tội ác tài chính của Bộ Tài chính Mỹ.

Mọi công ty tài chính lớn đều đối mặt với quá nhiều mối đe dọa từ nhiều nguồn đến nỗi rất khó để xác định mối đe dọa nào là nghiêm trọng. Chẳng hạn, trung bình mỗi ngày, công ty thẻ tín dụng Mastercard phải chống đỡ khoảng 460.000 vụ xâm nhập mạng.

Vụ tấn công mạng ở ngân hàng Capital One nhắc nhở về tính phức tạp của hệ thống máy tính ở các tổ chức tài chính lớn cũng như tính dễ tổn thương của chúng. Trong vài năm qua, các công ty tài chính lớn bao gồm hãng đánh giá tín dụng khách hàng Equifax, ngân hàng Morgan Stanley bị tấn công bởi vô số phương pháp.

Trong một số trường hợp, bọn tin tặc tấn công những mật mã yếu hoặc gửi các email mạo danh có kèm theo mã độc, giúp bọn chúng đột nhập vào mạng máy tính của các công ty. Trong các trường hợp khác, bọn chúng truy tìm các lỗ hổng của các phần mềm chưa được cập nhật các bản vá an ninh mới nhất. Một số vụ tấn công mạng diễn ra chỉ trong vài giờ nhưng có một số vụ kéo dài hàng tháng trời.

“Lực lượng tin tặc thực sự giỏi nhất trên thế giới đang xâm nhập vào các ngân hàng này và điều này tạo ra một cuộc chạy đua nâng cấp an ninh để phòng chống xâm nhập mạng”, Tom Kellermann, Giám đốc an ninh mạng ở công ty phần mềm an ninh mạng Carbon Black, nói.

Capital One là ngân hàng lớn thứ 10 nước Mỹ tính theo giá trị tài sản. Ảnh: Getty

Vẫn chưa rõ có liệu có thông tin nào từ nội bộ Capital One giúp Thompson xâm nhập vào mạng máy tính của Capital One như các công tố viên cáo buộc hay không.

Cách đây ba năm, Thompson làm việc cho công ty dịch vụ điện đám mây Amazon Web Services của Amazon, nơi lưu trữ dữ liệu của Capital One. Tuy nhiên, cô đã nghỉ việc ở công ty này trước khi thực hiện vụ tấn công. Amazon Web Services quản lý các máy chủ và công nghệ mạng lưới kết nối chúng của Capital Online nhưng phần mềm mà Thompson nhắm đến là do Capital One quản lý.

Thompson sử dụng một lỗ hổng ở phần mềm bức tường lửa của Capital One để truy cập vào hồ sơ khách hàng mà Capital One lưu trữ ở dịch vụ đám mây của Amazon.

Các đại diện của Capital Online từ chối trả lời các câu hỏi về việc liệu Thompson thực sự tấn công để xâm nhập vào hệ thống máy tính của ngân hàng này hay đơn giản chỉ là “trèo qua” một cánh cửa an ninh mạng vô tình mở toang.

“Những vụ xâm nhập này xảy ra vì lỗi của con người. Các hệ thống máy tính rất phức tạp và có rất nhiều chi tiết, do vậy, mọi người có thể phạm sai lầm”, chuyên gia an ninh mạng Chris Vickery, nhận định.

Hơn 11 tỉ hồ sơ thông tin đã bị lộ trong các vụ tấn công mạng lấy cắp dữ liệu kể từ năm 2005. Trong những năm gần đây, hàng loạt vụ lấy cắp dữ liệu nhạy cảm xảy ra trong các vụ tấn công mạng nhằm vào nhiều công ty nắm giữ và quản lý khối lượng dữ liệu cá nhân khổng lồ bao gồm hãng bảo hiểm y tế Anthem, hãng đánh giá tín dụng khách hàng Equifax, công ty dịch vụ tài chính First American, công ty dịch vụ web Yahoo..

Với nguồn tài chính dồi dào và mạng lưới an ninh phức tạp, các ngân hàng sẵn sàng phân bổ các khoản chi tiêu lớn cho các biện pháp bảo vệ an ninh. Chằng hạn, Mastercard thiết lập hẳn một trung tâm dữ liệu kiên cố nằm ngầm dưới đất ở bang Missouri. 

Ngân hàng Citigroup điều hành ba trung tâm phản ứng tấn công mạng ở Budapest (Hungary), New York (Mỹ) và Singapore. Ngân hàng JPMorgan Chase chi gần 600 triệu mỗi năm cho an ninh.

Trong thư gửi cho các cổ đông hồi tháng 4, Jamie Dimon, Giám đốc điều hành JPMorgan Chase cho biết an ninh mạng “có thể là mối đe dọa lớn nhất đối với hệ thống tài chính Mỹ”. JPMorgan Chase từng là nạn nhân của một vụ xâm nhập mạng, ăn cắp dữ liệu của 76 triệu hộ gia đình vào năm 2014 sau khi bọn tin tặc khai thác một mật mã yếu của nhân viên.

Theo một nghiên cứu chung của công ty IBM Security và Viện Ponemon, thiệt hại trung bình của một vụ xâm nhập mạng ở Mỹ đã tăng nhanh trong những năm gần đây lên mức 8,2 triệu đô la Mỹ. Thiệt hại đối với các ngân hàng lớn như Capital One có thể rất lớn bao gồm các đơn kiện đòi bồi thường tập thể và các khoản phạt từ các cơ quan quản lý.

Tuần trước, hãng xếp hạng tín dụng khách hàng Equifax cho biết hãng này sẽ trả khoảng 650 triệu đô la và có thể còn cao hơn để giải quyết các đơn kiện đòi bồi thường nảy sinh từ vụ tấn công mạng máy tính của Equifax hồi năm 2017 để lấy cắp thông tin của 147 triệu người Mỹ.