Phishing bất lương giỡn mặt giám đốc FBI về ngân hàng điện tử

Phishing Scam Spooked FBI Director Off E-Banking

Posted at 3:15 PM ET, 10/ 8/2009

By Brian Krebs

Theo: http://voices.washingtonpost.com/securityfix/

Bài được đưa lên Internet ngày: 08/10/2009

Lời người dịch: Giỡn mặt hùm, chỉ có thể nói như vậy về trường hợp này, vì nạn nhân của bọn tin tặc lần này không phải là một người thông thường, mà là giám đốc đương nhiệm của Cơ quan tình báo liên bang Mỹ FBI, ngài Robert Mueller.

Trong việc tuyên bố một biện pháp thẳng tay về những mưu đồ bất lương của thư điện tử “phishing” mà nó đánh lưới một trong những trường hợp tội phạm không gian mạng lớn nhất của FBI từ trước tới nay, Giám đốc FBI Robert Mueller hôm thứ tư đã đưa ra một phát giác không thiên vị: Một cuộc gọi rất cá nhân với một mưu đồ bất lương phishing đã tách gia đình ông khỏi ngân hàng trực tuyến.

Tại Câu lạc bộ của Khổi thịnh vượng của California tại Sanfrancisco, Mueller đã nói rất lâu về tính xảo quyệt của tội phạm không gian mạng, và cách mà bọn tội phạm không gian mạng đã tấn công cá nhân ông.

Cách đây không lâu, người đứng đầu của một trong những cơ quan nội địa quốc gia của chúng ta đã nhận được một thư điện tử dường như là từ ngân hàng của ông ta. Ông ta đã bắt đầu tuân theo các chỉ dẫn, như sau đó nhận ra rằng điều này có thẻ sẽ không là một ý tưởng tốt như vậy.

Hóa ra là ông chỉ mới là vài nháy chuột cách khỏi việc rơi vào trong một mưu đồ bất lương “phishing” của Internet kinh điển - “phishing” với một “P-H”. Đây là việc ai đó muốn bỏ ra một ý tưởng tốt về cuộc sống chuyên nghiệp của mình cảnh báo những người khác về những nguy hiểm của tội phạm không gian mạng. Vâng ông thực sự đã chộp được chính ông đúng lúc.

Ông chắc chắn đã phải biết tốt hơn. Tôi có thể nói điều này với sự chắc chắn, vì nó đã chính là tôi.

Sau khi thay đổi tất cả các mật khẩu, tôi đã cố vượt qua sự việc tới vợ tôi như một “thời điểm có thể dạy dỗ được”. Và vợ tôi đã trả lời: “Bây giờ không phải là thời điểm có thể dạy dỗ được của tôi. Tuy nhiên, đây là tiền của chúng ta. Không có chuyện ngân hàng Internet đối với anh nữa!”.

Nên với các đó như một tấm màn sau sân khấu, hôm nay tôi muốn nói về bản chất tự nhiên của những mối đe dọa không gian mạng, vai trò của FBI trong việc đấu tranh với chúng, và cuối cùng, cách mà chúng ta có thể giúp lẫn nhau để giữ chúng trong chuồng.

In announcing a crackdown on "phishing" e-mail scams that netted one of the FBI's largest cyber crime cases ever, FBI Director Robert Mueller on Wednesday offered a candid revelation: A personal close call with a phishing scam has kept his family away from online banking altogether.

Addressing the Commonwealth Club of California in San Francisco, Mueller spoke at length about the insidiousness of cyber crime, and how cyber criminals had affected him personally.

Not long ago, the head one of our nation's domestic agencies received an e-mail purporting to be from his bank. It looked perfectly legitimate, and asked him to verify some information. He started to follow the instructions, but then realized this might not be such a good idea.

It turned out that he was just a few clicks away from falling into a classic Internet "phishing" scam--"phishing" with a "P-H." This is someone who spends a good deal of his professional life warning others about the perils of cyber crime. Yet he barely caught himself in time.

He definitely should have known better. I can say this with certainty, because it was me.

After changing all our passwords, I tried to pass the incident off to my wife as a "teachable moment." To which she replied: "It is not my teachable moment. However, it is our money. No more Internet banking for you!"

So with that as a backdrop, today I want to talk about the nature of cyber threats, the FBI's role in combating them, and finally, how we can help each other to keep them at bay.

Các bình luận của Mueller là một sự tương phản thú vị đối với các cách nhìn được thể hiện bởi cựu giám đốc của bộ phận không gian mạng của FBI, James Finch, người đã nói ông đã không định để những kẻ sát nhân không gian mạng cướp đoạt của ông tính hiệu quả và sự tiện lợi mà ngân hàng trực tuyến phải đưa ra.

Dưới đây là một trích đoạn từ một cuộc phỏng vấn mà tôi đã có với Finch vào tháng 8 năm ngoái:

Hỏi: Ông có sử dụng ngân hàng trực tuyến không?

Đáp: Có, tôi có sử dụng

Hỏi: Ông đã sử dụng được bao lâu rồi?

Đáp: Có lẽ là 10 năm rồi chăng?

Hỏi: Và ông đã không bị lốm đốm bởi những gì ông thấy hàng ngày sao? Tôi chắc chắn làm.

Đáp: Vâng, vợ tôi làm thế. Tôi sử dụng ngân hàng trực tuyến. Tôi trả các hóa đơn của mình trực tuyến. Tôi nộp thuế của mình trực tuyến. Tôi thực sự tin tưởng vào Internet. Liệu tôi có tin nó là nơi đáng sợ không ư? Với một sự ngờ vực. Tôi ở trong sự tăng cường pháp luật, và tôi lãnh đạo bộ phận không gian mạng cho FBI. Tôi không muốn nói rằng tôi bị hù dọa bởi những kẻ bất lương mà tôi sẽ phải cho phép chúng đặt điều bằng việc nói toàn những ưu điểm của những gì tôi xem xét sẽ là những lợi ích của Internet. Vâng, có những người mà họ đang tập trung vào các tài khoản ngân hàng trực tuyến một cách thường xuyên, nhưng chưa tới thời điểm nơi mà nó làm cho tôi phải dùng sử dụng nó.

Như một người tiêu dùng, việc những ủy nhiệm tài khoản ngân hàng trực tuyến của bạn bị ăn cắp – hoặc thông qua phishing hoặc thông qua các phần mềm độc hại ăn cắp mật khẩu – có thể là một kinh nghiệm đau đớn, nhưng nó thường không đáng giá. Luật Chuyển tiền Điện tử hạn chế sự tin cậy của người tiêu dùng đối với những giao dịch không được xác thực tới 50USD, miễn là sự lưu ý được đưa ra trong vòng 10 ngày làm việc, hoặc tới 500 USD miễn là lưu ý được đưa ra trong vòng 60 ngày làm việc. Ngay cả như vậy, các ngân hàng bán lẻ thường sẽ làm việc để thực hiện cho tất cả các khách hàng mà họ là những nạn nhân của lừa đảo không gian mạng.

Mueller's comments are an interesting contrast to the views expressed by the former director of the FBI's cyber division, James Finch, who said he wasn't going to let cyber thugs deprive him of the efficiencies and convenience that online banking have to offer.

The following is an excerpt from an interview I had with Finch last August:

Q: Do you do online banking?

A: Yes, I do.

Q: How long have you been doing that?

A: Maybe 10 years?

Q: And you don't get freaked out by what you see every day? I certainly do.

A: Yeah, so does my wife. I do online banking. I pay my bills online. I file my taxes online. I truly believe in the Internet. Do I believe it's a scary place? Without a doubt. I'm in law enforcement, and I run the cyber division for the FBI. I don't want to say that I'm so intimidated by the bad guys that I am going to allow them to dictate taking full advantage of what I consider to be the benefits of the Internet. Yes, there are people who are targeting online bank accounts on a regular basis, but not to the point where it's going to cause me to stop using it.

As a consumer, having your online banking account credentials stolen -- either via phishing or through password-stealing malicious software -- can be a harrowing experience, but it is usually not a costly one. The federal Electronic Funds Transfer Act ("Regulation E"), limits consumer liability for unauthorized transactions to $50, provided notice is given within 10 business days, or to $500 provided notice is given within 60 business days. Even so, retail banks often will work to make whole those customers who are victims of cyber fraud.

Mặt khác, doanh nghiệp mà ngân hàng trực tuyến hưởng bất kỳ sự bảo vệ nào khắc nghiệt như vậy. Bổn phận chính xác của một ngân hàng thương mại và các khách hàng kinh doanh của họ sẽ được nêu ra trong thỏa thuận mà các công ty đó ký, nhưng thường các khách hàng doanh nghiệp đồng ý để thông báo cho ngân hàng của họ về bất kỳ sự ngờ vực nào hoặc những giao dịch không được xác thực nào trong cùng một ngày mà giao dịch đó được xảy ra. Ngay cả sau đó, không có đảm bảo rằng ngân hàng sẽ có khả năng khóa hoặc đảo ngược được bất kỳ sự chuyển gian lận nào.

Bất chấp việc liệu bạn sử dụng ngân hàng trực tuyến như một khách hàng hay khách hàng doanh nghiệp, thì ở đây có vài khuyến cáo để giúp tránh trở thành một nạn nhân của bọn kẻ cắp của không gian mạng.

• Không nháy vào các đường liên kết hoặc các tệp gắn kèm trong thư điện tử không theo yêu cầu.

• Vứt bỏ bất kỳ giao tiếp thư điện tử nào mà chúng nói sẽ tới từ ngân hàng của bạn cảnh báo bạn rằng bạn cần ký vào hoặc cập nhật các thông tin của bạn. Vì các mối đe dọa như phishing thư điện tử, ít ngân hàng sử dụng phương tiện này nữa để giao tiếp với các khách hàng. Nhưng nếu bạn thấy bản thân bạn nghi ngờ liệu một thư điện tử mà bạn đã nhận được có thực sự là về một vấn đề với tài khoản của bạn hay không, hãy nhấc điện thoại và gọi cho ngân hàng của bạn.

• Hãy giữ cho máy tính của bạn, trình duyệt web và các phần mềm khác cập nhật với các cập nhật về an ninh phần mềm mới nhất: nhiều mối đe dọa của phần mềm độc hại ăn cắp dữ liệu tới thông qua các website bị tổn thương mà chúng thúc đẩy các trình cài cắm cho trình duyệt không an ninh hoặc quá hạn.

• Xem xét kỹ bản cân đối tài khoản kiểm tra và tiết kiệm. Hãy thông báo cho ngân hàng của bạn ngay lập tức về bất kỳ khoản tiền thu ngờ vực nào.

Một bản sao những lưu ý của Giám đốc Mueller có ở đây.

On the other hand, business that bank online enjoy hardly any such protection. The precise obligations of a commercial bank and their business customers are spelled out in the agreement that those companies sign, but generally business customers agree to notify their bank of any suspicious or unauthorized transactions on the same day that the transaction in question occurs. Even then, there is no guarantee that the bank will be able to block or reverse any fraudulent transfers.

Regardless of whether you bank online as a consumer or business customer, here are a few recommendations to help avoid becoming a victim of cyber thieves.

-Do not click on links or attachments in unsolicited e-mail.

-Junk any e-mail communications that claims to come from your bank alerting you that you need to sign in or update your information. Due to threats like phishing e-mails, few banks use this medium any more to communicate with customers. But If you find yourself wondering whether an e-mail you received really was about a problem with your account, pick up the phone and call your bank.

-Keep your computer, Web browser and other software up-to-date with the latest software security updates: Many data-stealing malware threats arrive via hacked Web sites that leverage outdated or insecure browser plug-ins.

-Keep a close eye on your checking and savings account balances. Notify your bank immediately of any suspicious charges.

A copy of Director Mueller's remarks is available here.

Dịch tài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com