Phishing bất lương giỡn mặt giám đốc FBI về ngân hàng điện tử

PhishingScam Spooked FBI Director Off E-Banking

Postedat 3:15 PM ET, 10/ 8/2009

ByBrian Krebs

Theo:http://voices.washingtonpost.com/securityfix/

Bàiđược đưa lên Internet ngày: 08/10/2009

Lờingười dịch: Giỡn mặt hùm, chỉ có thể nóinhư vậy về trường hợp này, vì nạn nhân của bọn tintặc lần này không phải là một người thông thường,mà là giám đốc đương nhiệm của Cơ quan tình báo liênbang Mỹ FBI, ngài Robert Mueller.

TạiCâu lạc bộ của Khổi thịnh vượng của California tạiSanfrancisco, Mueller đã nói rất lâu về tính xảo quyệtcủa tội phạm không gian mạng, và cách mà bọn tội phạmkhông gian mạng đã tấn công cá nhân ông.

Cáchđây không lâu, người đứng đầu của một trong nhữngcơ quan nội địa quốc gia của chúng ta đã nhận đượcmột thư điện tử dường như là từ ngân hàng của ôngta. Ông ta đã bắt đầu tuân theo các chỉ dẫn, như sauđó nhận ra rằng điều này có thẻ sẽ không là một ýtưởng tốt như vậy.

Hóara là ông chỉ mới là vài nháy chuột cách khỏi việcrơi vào trong một mưu đồ bất lương “phishing” củaInternet kinh điển - “phishing” với một “P-H”. Đâylà việc ai đó muốn bỏ ra một ý tưởng tốt về cuộcsống chuyên nghiệp của mình cảnh báo những người khácvề những nguy hiểm của tội phạm không gian mạng. Vângông thực sự đã chộp được chính ông đúng lúc.

Ôngchắc chắn đã phải biết tốt hơn. Tôi có thể nói điềunày với sự chắc chắn, vì nó đã chính là tôi.

Saukhi thay đổi tất cả các mật khẩu, tôi đã cố vượtqua sự việc tới vợ tôi như một “thời điểm có thểdạy dỗ được”. Và vợ tôi đã trả lời: “Bây giờkhông phải là thời điểm có thể dạy dỗ được củatôi. Tuy nhiên, đây là tiền của chúng ta. Không có chuyệnngân hàng Internet đối với anh nữa!”.

Nênvới các đó như một tấm màn sau sân khấu, hôm nay tôimuốn nói về bản chất tự nhiên của những mối đe dọakhông gian mạng, vai trò của FBI trong việc đấu tranh vớichúng, và cuối cùng, cách mà chúng ta có thể giúp lẫnnhau để giữ chúng trong chuồng.

Inannouncing a crackdown on "phishing" e-mail scams thatnetted one of the FBI's largestcyber crime cases ever, FBIDirector Robert Muelleron Wednesday offered a candid revelation: A personal close call witha phishing scam has kept his family away f-rom online bankingaltogether.

Addressingthe CommonwealthClub of Californiain San Francisco, Mueller spoke at length about the insidiousness ofcyber crime, and how cyber criminals had affected him personally.

Notlong ago, the head one of our nation's domestic agencies received ane-mail purporting to be f-rom his bank. It looked perfectlylegitimate, and asked him to verify some information. He started tofollow the instructions, but then realized this might not be such agood idea.

Itturned out that he was just a few clicks away f-rom falling into aclassic Internet "phishing" scam--"phishing" witha "P-H." This is someone who spends a good deal of hisprofessional life warning others about the perils of cyber crime. Yethe barely caught himself in time.

Hedefinitely should have known better. I can say this with certainty,because it was me.

Afterchanging all our passwords, I tried to pass the incident off to mywife as a "teachable moment." To which she replied: "Itis not my teachable moment. However, it is our money. No moreInternet banking for you!"

Sowith that as a backd-rop, today I want to talk about the nature ofcyber threats, the FBI's role in combating them, and finally, how wecan help each other to keep them at bay.

Cácbình luận của Mueller là một sự tương phản thú vịđối với các cách nhìn được thể hiện bởi cựu giámđốc của bộ phận không gian mạng của FBI, James Finch,người đã nói ông đã không định để những kẻ sátnhân không gian mạng cướp đoạt của ông tính hiệu quảvà sự tiện lợi mà ngân hàng trực tuyến phải đưa ra.

Dướiđây là một trích đoạn từ một cuộc phỏng vấn màtôi đã có với Finch vào tháng 8 năm ngoái:

Hỏi:Ông có sử dụng ngân hàng trực tuyến không?

Đáp:Có, tôi có sử dụng

Hỏi:Ông đã sử dụng được bao lâu rồi?

Đáp:Có lẽ là 10 năm rồi chăng?

Hỏi:Và ông đã không bị lốm đốm bởi những gì ông thấyhàng ngày sao? Tôi chắc chắn làm.

Đáp:Vâng, vợ tôi làm thế. Tôi sử dụng ngân hàng trựctuyến. Tôi trả các hóa đơn của mình trực tuyến. Tôinộp thuế của mình trực tuyến. Tôi thực sự tin tưởngvào Internet. Liệu tôi có tin nó là nơi đáng sợ không ư?Với một sự ngờ vực. Tôi ở trong sự tăng cường phápluật, và tôi lãnh đạo bộ phận không gian mạng cho FBI.Tôi không muốn nói rằng tôi bị hù dọa bởi những kẻbất lương mà tôi sẽ phải cho phép chúng đặt điềubằng việc nói toàn những ưu điểm của những gì tôixem xét sẽ là những lợi ích của Internet. Vâng, có nhữngngười mà họ đang tập trung vào các tài khoản ngân hàngtrực tuyến một cách thường xuyên, nhưng chưa tới thờiđiểm nơi mà nó làm cho tôi phải dùng sử dụng nó.

Nhưmột người tiêu dùng, việc những ủy nhiệm tài khoảnngân hàng trực tuyến của bạn bị ăn cắp – hoặcthông qua phishing hoặc thông qua các phần mềm độc hạiăn cắp mật khẩu – có thể là một kinh nghiệm đauđớn, nhưng nó thường không đáng giá. Luật Chuyển tiềnĐiện tử hạn chế sự tin cậy của người tiêu dùngđối với những giao dịch không được xác thực tới50USD, miễn là sự lưu ý được đưa ra trong vòng 10 ngàylàm việc, hoặc tới 500 USD miễn là lưu ý được đưara trong vòng 60 ngày làm việc. Ngay cả như vậy, các ngânhàng bán lẻ thường sẽ làm việc để thực hiện chotất cả các khách hàng mà họ là những nạn nhân củalừa đảo không gian mạng.

Mueller'scomments are an interesting contrast to the views expressed by theformer director of the FBI's cyber division, JamesFinch,who said he wasn't going to let cyber thugs deprive him of theefficiencies and convenience that online banking have to offer.

Thefollowing is an excerpt f-rom aninterview I had with Finch last August:

Q:Do you do online banking?

A:Yes, I do.

Q:How long have you been doing that?

A:Maybe 10 years?

Q:And you don't get freaked out by what you see every day? I certainlydo.

A:Yeah, so does my wife. I do online banking. I pay my bills online. Ifile my taxes online. I truly believe in the Internet. Do I believeit's a scary place? Without a doubt. I'm in law enforcement, and Irun the cyber division for the FBI. I don't want to say that I'm sointimidated by the bad guys that I am going to allow them to dictatetaking full advantage of what I consider to be the benefits of theInternet. Yes, there are people who are targeting online bankaccounts on a regular basis, but not to the point whe-re it's going tocause me to stop using it.

Asa consumer, having your online banking account credentials stolen --either via phishing or through password-stealing malicious software-- can be a harrowing experience, but it is usually not a costly one.The federal ElectronicFunds Transfer Act("Regulation E"), limits consumer liability forunauthorized transactions to $50, provided notice is given within 10business days, or to $500 provided notice is given within 60 businessdays. Even so, retail banks often will work to make whole thosecustomers who are victims of cyber fraud.

Mặtkhác, doanh nghiệp mà ngân hàng trực tuyến hưởng bấtkỳ sự bảo vệ nào khắc nghiệt như vậy. Bổn phậnchính xác của một ngân hàng thương mại và các kháchhàng kinh doanh của họ sẽ được nêu ra trong thỏa thuậnmà các công ty đó ký, nhưng thường các khách hàng doanhnghiệp đồng ý để thông báo cho ngân hàng của họ vềbất kỳ sự ngờ vực nào hoặc những giao dịch khôngđược xác thực nào trong cùng một ngày mà giao dịch đóđược xảy ra. Ngay cả sau đó, không có đảm bảo rằngngân hàng sẽ có khả năng khóa hoặc đảo ngược đượcbất kỳ sự chuyển gian lận nào.

Bấtchấp việc liệu bạn sử dụng ngân hàng trực tuyến nhưmột khách hàng hay khách hàng doanh nghiệp, thì ở đây cóvài khuyến cáo để giúp tránh trở thành một nạn nhâncủa bọn kẻ cắp của không gian mạng.

• Không nháy vào các đường liên kết hoặc các tệp gắn kèm trong thư điện tử không theo yêu cầu.

• Vứt bỏ bất kỳ giao tiếp thư điện tử nào mà chúng nói sẽ tới từ ngân hàng của bạn cảnh báo bạn rằng bạn cần ký vào hoặc cập nhật các thông tin của bạn. Vì các mối đe dọa như phishing thư điện tử, ít ngân hàng sử dụng phương tiện này nữa để giao tiếp với các khách hàng. Nhưng nếu bạn thấy bản thân bạn nghi ngờ liệu một thư điện tử mà bạn đã nhận được có thực sự là về một vấn đề với tài khoản của bạn hay không, hãy nhấc điện thoại và gọi cho ngân hàng của bạn.

• Hãy giữ cho máy tính của bạn, trình duyệt web và các phần mềm khác cập nhật với các cập nhật về an ninh phần mềm mới nhất: nhiều mối đe dọa của phần mềm độc hại ăn cắp dữ liệu tới thông qua các website bị tổn thương mà chúng thúc đẩy các trình cài cắm cho trình duyệt không an ninh hoặc quá hạn.

• Xem xét kỹ bản cân đối tài khoản kiểm tra và tiết kiệm. Hãy thông báo cho ngân hàng của bạn ngay lập tức về bất kỳ khoản tiền thu ngờ vực nào.

Mộtbản sao những lưu ý của Giám đốc Mueller có ởđây.

Onthe other hand, business that bank online enjoy hardly any suchprotection. The precise obligations of a commercial bank and theirbusiness customers are spelled out in the agreement that thosecompanies sign, but generally business customers agree to notifytheir bank of any suspicious or unauthorized transactions on the sameday that the transaction in question occurs. Even then, there is noguarantee that the bank will be able to block or reverse anyfraudulent transfers.

Regardlessof whether you bank online as a consumer or business customer, hereare a few recommendations to help avoid becoming a victim of cyberthieves.

-Donot click on links or attachments in unsolicited e-mail.

-Junkany e-mail communications that claims to come f-rom your bank alertingyou that you need to sign in or up-date your information. Due tothreats like phishing e-mails, few banks use this medium any more tocommunicate with customers. But If you find yourself wonderingwhether an e-mail you received really was about a problem with youraccount, pick up the phone and call your bank.

-Keepyour computer, Web browser and other software up-to-date with thelatest software security up-dates: Many data-stealing malware threatsarrive via hacked Web sites that leverage outdated or insecurebrowser plug-ins.

-Keepa close eye on your checking and savings account balances. Notifyyour bank immediately of any suspicious c-harges.

Acopy of Director Mueller's remarks is available here.

Dịch tài liệu: LêTrung Nghĩa

letrungnghia.foss@gmail.com