Tấn công đoán thẻ
Samuel Gibbs đã rất ngạc nhiên khi thông tin cá nhân của mình được sử dụng để trả tiền cho món đồ của một người lạ.
Trong bài viết trên tờ Guardian, Gibbs kể: "Tôi không xa lạ gì với chiêu trò gian lận thẻ tín dụng. Thế nhưng, tôi cho rằng một chiếc thẻ mà tôi chưa bao giờ sử dụng sẽ an toàn trước các mối đe dọa. Hóa ra tôi đã nhầm".
Làm thế nào tội phạm có thể ăn cắp thông tin chi tiết trên thẻ của bạn nếu bạn thậm chí chưa bao giờ sử dụng tới nó? Đây là câu hỏi mà nhiều người thắc mắc.
"Vào lúc 10 giờ tối một đêm thứ Năm yên tĩnh trong tháng Giêng 2022, tôi nhận được tin nhắn từ ngân hàng của mình, Halifax. Họ thông báo rằng thẻ tín dụng của tôi đã được sử dụng tại Domino Pizza cho đơn hàng trị giá 30,67 bảng Anh" - Gibbs kể - "Sau 30 phút chờ đợi trên đường dây nóng liên tục bận của Halifax, đại diện dịch vụ khách hàng đã hỏi tôi tại sao lại gọi".
"Lừa đảo!" - Tôi nói.
"Thưa quý khách, có phải ở Domino Pizza?" - Nhân viên nam đáp lời.
Hóa ra, Gibbs không phải là người duy nhất bỗng trả tiền cho bánh pizza của người khác.
Ảnh minh họa: Mint
Trong trường hợp của Gibbs, ngân hàng Halifax đã hỗ trợ đóng băng thẻ của anh để tránh bị phát sinh các giao dịch khác. Sáng hôm sau, chiếc thẻ đã bị hủy, anh nhận được thông báo các khoản phí sẽ được hoàn trả. Ba ngày sau, một tấm thẻ mới được ngân hàng Halifax giao tận tay anh.
Sau khi kích hoạt, Gibbs cất chiếc thẻ cẩn thận trong ngăn kéo. Ngày hôm sau, khi anh kiểm tra bảng sao kê của thẻ cũ để đảm bảo rằng tiền pizza đã được hoàn trả thì lại phát hiện ra 7 khoản phí gian lận mới với tổng giá trị lên tới 465 bảng Anh.
Đáng nói, tất cả đều là giao dịch phát sinh từ chiếc thẻ mới. Các khoản chi tiêu lần này không ở Domino's Pizza mà ở một công ty đồ thể thao xa lạ tại Midlands.
"Tôi mới chỉ kích hoạt thẻ 16 giờ trước, chưa sử dụng, chưa nhập số thẻ vào Apple Pay hay bất cứ dịch vụ nào khác, thẻ vẫn chưa rời khỏi nhà và không ai khác có quyền truy cập thẻ. Làm thế quái nào lại có người tiêu tiền được? - Gibbs băn khoăn.
Sau khi kiểm tra, nhóm điều tra gian lận của Halifax cho biết, Gibbs đã trở thành nạn nhân của cái gọi là "tấn công đoán thẻ", trong đó một băng nhóm tội phạm có tổ chức sẽ tìm ra số thẻ và ngày hết hạn trên thẻ của các nạn nhân. Chúng thậm chí không cần phải đánh cắp số thẻ thông qua hành vi trộm cắp tài sản hay hack trên mạng.
Ảnh minh họa. Nguồn: Mint
Tội phạm đoán số thẻ tín dụng như thế nào?
Nhìn vào số thẻ gồm 16 chữ số và ngày hết hạn gồm 4 chữ số của thẻ ngân hàng, bạn nghĩ rằng sự kết hợp này quá phức tạp để đoán ra. Thật không may, sự thật không phải như bạn nghĩ.
Jake Moore, cố vấn an ninh mạng toàn cầu tại Eset cho biết: "Điều đầu tiên cần biết là bạn không đoán ngẫu nhiên toàn bộ 16 số trên thẻ, mà có quy luật cả. Sáu chữ số đầu tiên của thẻ tín dụng biểu thị mạng thẻ và ngân hàng phát hành, trong khi chữ số cuối cùng là tổng kiểm tra theo công thức Luhn".
Điều đó có nghĩa nhóm tội phạm chỉ phải đoán khoảng 7 số, trong khi số Luhn cuối cùng giúp xác minh xem phần còn lại của số thẻ có hợp lệ hay không.
Số Luhn ban đầu được thiết kế để giúp phát hiện các lỗi nhập thủ công, chẳng hạn như nhập sai hoặc chuyển đổi chuỗi. Song, tội phạm cũng có thể sử dụng tính năng này để xác định xem một số có thể là số đúng hay không.
Ảnh minh họa. Nguồn: Deposit Photos
"Có những trang Web có trình xác minh Luhn, giúp tìm thấy những con số này trong thời gian ngắn, khiến cơ hội tìm thấy số thẻ đang được sử dụng tương đối cao" - Ông Moore cho hay.
Khi một băng nhóm tội phạm có trong tay số thẻ hợp lệ tiềm năng, chúng có thể dùng thử để xem liệu nó có sử dụng được hay không. Mã số bảo mật thẻ (CVV) - ba chữ số thường được in ở mặt sau của thẻ bên cạnh dải chữ ký - sẽ giúp ngăn chặn kiểu tấn công này bằng cách tạo thêm gánh nặng cho tội phạm.
Tuy nhiên, hiện vẫn có nhiều trang web chấp nhận thanh toán thẻ mà không cần số CVV.
Các ngân hàng và công ty thẻ đã trang bị một số công nghệ tinh vi để phát hiện và ngăn chặn các loại tấn công này xảy ra trong thời gian thực, bằng cách sử dụng các đặc điểm nhất định của từng giao dịch. Các báo cáo sau khi thực tế giúp tinh chỉnh hệ thống để họ có thể ngăn chặn những cuộc tấn công tương tự.
Tuy nhiên, cách tốt nhất vẫn là bạn nên đề cao cảnh giác, không bao giờ phê duyệt giao dịch lạ và luôn kiểm tra sao kê ngân hàng để phát hiện kịp thời bất cứ giao dịch không mong muốn nào phát sinh.