Phải chăng các hãng thanh toán thẻ đã vô tình tiếp tay cho thủ phạm đánh cắp 130 triệu thẻ tín dụng? (ảnh minh họa)

Bài học từ vụ mất 130 triệu thẻ tín dụng

ICTnews – Sự thật “đau đớn” là các hệ thống mạng vẫn có thể bị hạ gục một cách dễ dàng bằng những thủ thuật hack sơ đẳng.

Một đại diện của Bộ Tư pháp Mỹ đã phải thốt lên rằng vụ đánh cắp 130 triệu thẻ tín dụng của Albert Gonzalez là “lớn nhất trong lịch sử nước Mỹ” và mang bóng dáng của một kịch bản phim do Hollywood dàn dựng: Một hacker tìm được cách xâm nhập vào hệ thống mạng, có thể truy cập được vào cơ sở dữ liệu của hàng triệu thẻ tín dụng và ghi nợ, với số thẻ này, thủ phạm hoàn toàn có thể sử dụng để “hạ gục” cả một quốc gia.

Theo bản cáo trạng mà tòa án vừa công bố ngày 18/8, thủ phạm Gonzalez, 28 tuổi, đã “đứng chân” được vào hệ thống thanh toán bằng thẻ tín dụng của một loạt các hãng bán lẻ lớn trên nước Mỹ như Heartland Payment Systems, OfficeMax, Barnes & Noble hay TJX Cos. Mà chỉ cần dùng đến những kỹ thuật tấn công rất a-ma-tơ có tên là "wardriving" – trong đó thủ phạm chỉ cần dò tìm những điểm truy cập Internet không dây rồi lần tìm ra những lỗ hổng của các mạng lưới. Ngay khi kết nối được với hệ thống của nạn nhân, thủ phạm cũng chỉ cần sử dụng một kỹ thuật hack rất “sơ đẳng” khác là "SQL injection" (lén cài đặt những đoạn mã vào hệ thống cơ sở dữ liệu SQL), đánh lừa các công cụ bảo mật và cho phép chúng truy cập vào sâu hơn trong hệ thống.

Trong mô hình bảo mật 7 lớp của Open System Interconnection (những chỉ dẫn về bảo mật hệ thống  có tích hợp phần mềm) lớp trên cùng bao giờ cũng chứa các ứng dụng. “SQL injection” là thủ thuật tấn công web nhằm vào chính lớp này nên việc đảm bảo an toàn cho lớp chứa ứng dụng cũng được coi là yêu cầu đầu tiên và quan trọng nhất đối với mỗi nhân viên bảo mật. Nhưng vụ án của Albert Gonzalez khiến không ít người đặt câu hỏi: Tại sao các hãng chịu trách nhiệm xử lý các thương vụ thanh toán qua thẻ tín dụng lại có thể để hổng lớp này một cách dễ dàng đến thế?

“Chúng không nên là điểm yếu của mỗi hệ thống mạng”, Kurt Roemer, giám đốc chiến lược và bảo mật của hãng Citrix Systems nói.

Roemer cho rằng các doanh nghiệp cần thiết phải có cả công cụ quét ứng dụng web và tường lửa cho các ứng dụng web để chống lại hình thức tấn công “SQL injection”. Một công cụ quét ứng dụng web sẽ cho phép họ nhanh chóng phát hiện ra những đoạn mã được dùng để khai thác cơ sở dữ liệu SQL mà Gonzalez đã từng lợi dụng. Nếu công cụ quét này không phát hiện ra, hệ thống tường lửa sẽ thực hiện nhiệm vụ cô lập kẻ tấn công và không cho phép chúng truy cập vào những phần quan trọng của hệ thống.

"Những tên tội phạm đã cho thấy chúng chỉ cần sử dụng những thủ thuật tấn công đơn giản vẫn có thể khiến chúng ta thiệt hại nghiêm trọng. Tôi thực sự “ngưỡng mộ” Albert Gonzalez  khi hắn đã dạy cho các nạn nhân biết rằng thế nào là một vụ tấn công thực sự”, Kurt Roemer nói.

Lương Hương

Theo Forbes