Bài 2: Hacker làm cách nào để ATM 'phun' tiền?

4 giờ trướcBài gốc

Các lỗ hổng khiến ATM "phun" tiền

Dựa trên các nghiên cứu từ trường hợp chi tiết, chẳng hạn như vụ hack ATM "phun" tiền của ngân hàng FCB năm 2016 tại Đài Loan (Trung Quốc) và các vụ tương tự trên phạm vi toàn cầu gần đây, các chuyên gia an ninh mạng đã chỉ ra những lỗ hổng cho phép hacker tấn công. Cũng từ những lổ hổng đã phát hiện, các ngân hàng áp dụng chiến lược đa lớp để đối phó với hacker. Tuy nhiên đây vẫn là cuộc chiến chưa có hồi kết nếu không muốn nói là cuộc rượt đuổi "đạo cao một sào, ma cao một trượng".

Jackpotting ATM khai thác sự kết hợp giữa các điểm yếu vật lý, phần mềm và mạng, cho phép tội phạm vượt qua bảo mật và ra lệnh cho máy nhả tiền mà không cần giao dịch hợp pháp. Về cơ bản, jackpotting nhắm vào mô-đun phân phối của ATM, kiểm soát việc xuất tiền, thường thông qua phần mềm độc hại hoặc thao túng phần cứng. Vụ tấn công FCB năm 2016 minh họa cách các lỗ hổng này kết hợp với điều kiện hoàn hảo để che mắt mọi người chung quanh: một cơn bão đổ bộ khiến không ai dám ra đường.

Trong vụ tấn công này, nhóm tội phạm mạng khét tiếng Cobalt đã khởi động cuộc tấn công qua spear-phishing. Đây là kiểu mạo danh đồng nghiệp, đối tác để lừa nạn nhân tiết lộ thông tin nhạy cảm như mật khẩu hoặc cài đặt phần mềm độc hại, khác với phishing thông thường chỉ nhắm đại trà. Nhóm Cobalt gửi email chứa mã độc đến một nhân viên FCB ở London và sau khi kích hoạt mã này, họ truy cập được từ xa vào mạng nội bộ của ngân hàng. Từ đó, kẻ tấn công di chuyển đến trụ sở FCB tại Đài Loan (Trung Quốc), cài đặt hai phần mềm độc hại, một dùng để xóa nhật ký (log) nhằm che giấu dấu vết xâm nhập và một chương trình khác ra lệnh cho máy ATM nhả tiền.

Điều khiển từ xa này cho phép đồng bọn chờ sẵn và ung dung "nhặt" khoảng 2,6 triệu USD từ 41 ATM "phun" tiền ra trên khắp Đài Bắc, Tân Bắc và Đài Trung chỉ trong 48 giờ. Trường hợp của FCB xuất phát từ một số lỗ hổng phổ biến. Đầu tiên là các lỗ hổng mạng và đường truyền, nhiều ATM chạy trên hệ điều hành lỗi thời như Windows XP hoặc 7, thiếu mã hóa hiện đại và dễ bị khai thác từ xa. Trong vụ hack FCB, Europol và Interpol chỉ ra giao tiếp không mã hóa giữa máy ATM và hệ thống máy chủ (server) của ngân hàng cho phép hacker chặn và giả mạo lệnh khi dữ liệu đang trên đường truyền đi.

Thứ hai, các lỗ hổng phần mềm và thiết bị cho phép "tiêm" phần mềm độc hại. ATM thường sử dụng phần mềm cũ với các lỗ hổng đã biết. Các tính năng có thể tự động chạy mã độc từ USB chứa các biến thể phần mềm độc hại như Ploutus chèn vào. Tội phạm kết nối thiết bị vào cổng nội bộ của ATM, bỏ qua hệ điều hành để trực tiếp ra lệnh cho máy nhả tiền. Một báo cáo trắng của Sepio Cyber ước tính rằng, 69% ATM toàn cầu dễ bị xâm nhập dựa trên phần cứng do cổng USB hoặc cổng mạng lộ ra.

Hacker có nhiều cách vượt qua bảo mật để cài phần mềm độc hại vào hệ thống ATM, buộc máy nhả tiền mà không cần giao dịch hợp pháp

Thứ ba, các khoảng trống bảo mật vật lý như ổ khóa mặc định trên tủ ATM dễ dàng bị cạy hoặc có thể tìm mua chìa trên chợ mạng với giá chỉ 20 USD. Bọn tội phạm còn dùng camera nội soi để kiểm tra bên trong ATM mà không cần mở ra, hoặc khoan để phá ngăn chứa máy tính. Ngoài ra còn có lổ hổng từ nhà các cung cấp dịch vụ liên quan cho nơi đặt máy ATM như cung cấp điện, bộ lưu trữ điện (UPS) làm tình hình phức tạp hơn. Các kỹ thuật viên bảo trì bên thứ ba có thể vô tình đưa mã độc vào hoặc tiếp tay hacker cài mã độc vì họ có thể tiếp cận bên trong máy ATM khi thao tác. Tổng thể, ATM jackpotting phát triển nhờ sự giao thoa giữa công nghệ lạc hậu, bảo mật vật lý lỏng lẻo, biến các máy an toàn thành "đồng lõa" bất đắc dĩ.

Bảo vệ đa lớp chống Jackpotting

Để đối phó với mối đe dọa leo thang, các ngân hàng đã áp dụng cách tiếp cận bảo vệ đa lớp, kết hợp các chiến lược vật lý, mạng, phần mềm và quản lý rủi ro. Các biện pháp kiểm soát bảo mật vật lý là tuyến đầu của hàng phòng thủ. Các ngân hàng hiện nay thay thế khóa mặc định bằng các nắp chống cạy, an ninh cao và lắp đặt báo động chống can thiệp trên tủ, thường với pin dự phòng để ngăn chặn vô hiệu hóa nguồn điện.

Việc kiểm tra hàng ngày được thực hiện để phát hiện dấu hiệu xâm nhập như có keo dính hoặc thiết bị lạ. Đèn chiếu sáng nơi đặt ATM kết hợp với camera độ phân giải cao và giám sát dựa trên AI xung quanh ATM giúp phát hiện sớm các vụ tấn công trực tiếp vào ATM để ngăn chặn. Các biện pháp bảo vệ mạng và giao tiếp giải quyết các mối đe dọa từ xa. Mã hóa dữ liệu giao tiếp giữa ATM với máy chủ ngân hàng, hạn chế địa chỉ IP để chống tấn công chặn ngang đường truyền. Các ngân hàng còn áp dụng biện pháp bảo vệ thiết bị và phần mềm nhắm vào lõi ATM như nâng cấp hệ điều hành, ngăn chặn khởi động ATM trái phép và mã hóa toàn bộ ổ đĩa. Các cơ quan an ninh mạng của chính phủ nhấn mạnh, không có biện pháp đơn lẻ nào đủ chống lại các chiến thuật liên tục được hacker phát triển. Vì vậy, quản lý rủi ro tổng thể là quy trình bắt buộc, bao gồm kiểm tra định kỳ trong hệ thống ngân hàng và đào tạo nhân viên nhận diện dấu hiệu lừa đảo.

Cuộc rượt đuổi vẫn tiếp diễn

Dù nhiều biện pháp đối phó đã được áp dụng, ATM jackpotting vẫn chưa giảm, đặc biệt là trong giai đoạn 2020 - 2021 khi nhiều đô thị trên thế giới phải cách ly vì đại dịch Covid-19. Việc giảm lưu lượng người đi ra ngoài khiến ATM dễ tấn công hơn. Thêm vào đó là sự lan rộng phần mềm độc hại liên tục được nâng cấp. Hiệp hội Châu Âu về giao dịch an toàn (EAST) báo cáo có 202 cuộc tấn công thành công ở Châu Âu chỉ trong năm 2020, gây thiệt hại 1,24 triệu EUR, chủ yếu qua phương pháp cắm thiết bị trực tiếp vào ATM và cài phần mềm độc hại.

Đến năm 2021, băng đảng Venezuela Tren de Aragua ở Mỹ đã phát động chiến dịch phần mềm độc hại Ploutus, lây nhiễm ATM qua can thiệp vật lý và đánh cắp hơn 40 triệu USD. Năm 2022 chứng kiến các biến thể khôn ngoan của các phần mềm độc hại điều khiển từ xa mà không cần truy cập vật lý, lặp lại kiểu tấn công FCB năm 2016. Năm 2024, ABA Insurance Services cảnh báo về các cuộc tấn công lan tràn ở Mỹ từ năm 2018, không giảm tốc; tội phạm thích nghi với bảo vệ đa lớp bằng cách kết hợp yếu tố vật lý và mạng.

Tính đến năm 2025, mối đe dọa vẫn tồn tại. Điều tra của tạp chí PCMag (một tạp chí máy tính của Mỹ) mô tả chi tiết chiến dịch của Tren de Aragua khiến ATM "phun ra toàn bộ tiền mặt", trong khi báo The Register tiếp tục cảnh báo việc ATM bị can thiệp bằng thiết bị. ATM jackpotting phơi bày sự cân bằng mong manh giữa tiện lợi và an ninh trong ngân hàng. Các lỗ hổng như hệ thống lỗi thời và truy cập vật lý vẫn tồn tại, nhưng bảo vệ đa lớp mang lại hy vọng. Tuy nhiên, với các cuộc tấn công phát triển mạnh sau năm 2020, sự cảnh giác là chìa khóa. Các ngân hàng phải đầu tư vào cập nhật và chia sẻ thông tin tình báo để dẫn trước trong trò chơi mèo vờn chuột bất tận này.

Tháng 9/2025, Trung tâm Thông tin Tín dụng Quốc gia (CIC) thuộc Ngân hàng Nhà nước Việt Nam có dấu hiệu bị xâm nhập, đánh cắp dữ liệu cá nhân. Dù CIC sau đó đã khắc phục được lỗ hổng, song sự việc vẫn gây nhiều lo ngại bởi cơ quan này là đầu mối cung cấp dữ liệu tín dụng của khoảng 52 triệu khách hàng cá nhân và khoảng 1,2 triệu doanh nghiệp. Sự lo ngại lan rộng vì mức độ ảnh hưởng không chỉ riêng của CIC, mà có thể lan truyền đến các ngân hàng, tổ chức dùng dữ liệu đó.

Ngay sau vụ việc, Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao đã chỉ đạo Trung tâm Ứng cứu khẩn cấp không gian mạng Việt Nam (VNCERT) chủ trì, phối hợp các đơn vị nghiệp vụ điều phối các doanh nghiệp cung cấp dịch vụ an toàn thông tin mạng (Viettel, VNPT, NCS), CIC, đơn vị chức năng của Ngân hàng Nhà nước xác minh thông tin; triển khai các biện pháp nghiệp vụ, kỹ thuật ứng phó sự cố; tăng cường các giải pháp bảo đảm an ninh mạng, thu thập dữ liệu, chứng cứ để xử lý theo quy định. VNCERT cũng yêu cầu các tổ chức, cá nhân tuyệt đối không tự ý tải về, chia sẻ, khai thác hoặc sử dụng các dữ liệu bị lộ. Trường hợp vi phạm sẽ bị xử lý theo quy định pháp luật. Bên cạnh đó, VNCERT đề nghị các cơ quan, doanh nghiệp, đặc biệt là tổ chức tài chính và ngân hàng, chủ động rà soát, triển khai đáp ứng theo tiêu chuẩn TCVN 14423:2025 về an ninh mạng đối với hệ thống thông tin quan trọng. Người dân cũng được khuyến cáo nâng cao cảnh giác, phòng tránh nguy cơ bị lợi dụng thông tin cá nhân để phát tán mã độc, lừa đảo và chiếm đoạt tài sản.

Mặc dù hệ thống CIC vẫn hoạt động bình thường sau đó, nhưng vụ việc được coi là "điểm báo động" về an ninh dữ liệu trong lĩnh vực tài chính - tín dụng. Đây là trường hợp điển hình, phản ánh những lỗ hổng tương tự vẫn đang tồn tại ở nhiều doanh nghiệp và tổ chức trong nước. Vụ việc cũng là tiếng chuông cảnh báo cho ngành tài chính - ngân hàng trong việc cần có quy trình kiểm tra định kỳ công tác bảo mật, giám sát bất thường và chuẩn bị sẵn các kịch bản ứng phó khi có sự cố. Trước đó, Việt Nam cũng từng đối mặt với những vụ tấn công vào hệ thống ngân hàng Việt Nam (2023 - 2024), hacker chiếm quyền kiểm soát tạm thời hệ thống, nghi có lỗ hổng từ quản trị người dùng/remote access, gây mất niềm tin người dùng, thiệt hại về dữ liệu và uy tín.

Tân Phong - Xuân Hương

Nguồn CA TP.HCM : http://congan.com.vn/vu-an/phong-su/bai-2-hacker-lam-cach-nao-de-atm-phun-tien_187413.html