Hé lộ nguyên nhân chủ tài khoản Vietcombank bị mất 500 triệu đồng

19:35, 16/08/2016
|
Câu chuyện chị Hoàng Thị Na Hương sau 1 đêm bị mất 500 triệu đồng từ tài khoản Vietcombank đang thu hút sự quan tâm của dư luận và khiến nhiều người lo ngại khi để tiền trong ngân hàng điện tử.
 
Cụ thể, vào đêm ngày 03 rạng sáng ngày 04/8/2016, tài khoản Vietcombank của chị Hương đã bị đối tượng xấu thực hiện giao dịch chuyển nhiều lần sang ngân hàng khác với tổng số tiền của các giao dịch là 500 triệu đồng. Các đối tượng lừa đảo đã chuyển tiền từ tài khoản khách hàng tới nhiều tài khoản trung gian tại 3 ngân hàng khác nhau tại Việt Nam. Sau đó, đối tượng đã rút 200 triệu đồng qua ATM ở Malaysia. Vietcombank đã xử lý các biện pháp khẩn cấp, kịp thời khoanh giữ lại được 300 triệu đồng vẫn chưa kịp chuyển ra khỏi hệ thống Vietcombank.
 
Phía Vietcombank cho biết đã có buổi làm việc với chị Na Hương vào chiều ngày 11/8/2016. Trên cơ sở thông tin thu thập được cùng các biện pháp kỹ thuật nghiệp vụ, ngân hàng có cơ sở xác định chị Hương đã truy cập vào một trang web giả mạo (có địa chỉ http//creatingacreator.com/kob/1/index.htm ) vào ngày 28/7/2016 qua điện thoại cá nhân. Từ việc truy cập này, thông tin và mật khẩu tài khoản Internet Banking của chị Hương đã bị đánh cắp, sau đó các đối tượng lừa đảo đã thực hiện hành vi rút tiền trái phép vào đêm ngày 3 rạng sáng ngày 04/8/2016.
Chị Hoàng Thị Na Hương trao đổi về sự việc với PV báo VTC (ảnh cắt từ clip)
Chị Hoàng Thị Na Hương trao đổi về sự việc với PV báo VTC1 (ảnh cắt từ clip)
Trước thắc mắc của chị Hương là  tại sao chị không hề nhận được tin nhắn chứa mã OTP để xác thực giao dịch khi kẻ gian tiến hành. Tại sao tiền vẫn bị lấy mất? Đối tượng xấu đã thực hiện giao dịch chuyển khoản liên ngân hàng ở khung giờ ngoài giờ hành chính mà giao dịch vẫn hoàn thành nhanh chóng.
 
Qua sự việc xảy ra với chị Hương nhiều người dùng thường xuyên sử dụng dịch vụ Internet Banking của Vietcombank mới biết rằng hóa ra ngoài giờ hành chính (tầm sau 7h tối), khách hàng vẫn có thể chuyển khoản liên ngân hàng thành công được (đây là chuyển khoản liên ngân hàng chứ không phải chuyển vào thẻ trực tiếp). Trong khi thông báo của VCB  tới khách hàng là trong khung thời gian từ  khoảng 7h tối đến 7h sáng sẽ không thực hiện được giao dịch chuyển tiền liên ngân hàng vì khi đó hệ thống đang đóng để đồng bộ giao dịch. Thực tế là sau 5h sáng, hệ thống ngân hàng điện tử của VCB đã có thể chuyển khoản liên ngân hàng được.
 
Từ những thông tin trao đổi trên báo chí thì phía ngân hàng Vietcombank cáo buộc tin nhắn OTP gửi đến máy điện thoại của chị Hương để xác thực việc sử dụng dịch vụ SmartOTP đã bị xóa trên máy điện thoại của chị. 
 
Một khi một tài khoản khách hàng đăng ký thành công dịch vụ SmartOTP thì có thể thực hiện chuyển khoản Internet Banking mà không cần mã xác thực OTP đối với mỗi giao dịch chuyển tiền. Cụ thể hơn, đây là dịch vụ do Vietcombank cung cấp trong đó sử dụng ứng dụng VCB SmartOTP chạy trên điện thoại di động tạo ra mã xác thực khi thực hiện giao dịch trên các dịch vụ của Vietcombank. Để đăng ký sử dụng VCB Smart OTP, khách hàng cần phải nhận mã OTP do ngân hàng gửi về số điện thoại đăng ký để kích hoạt dịch vụ này. 
Thao tác đăng ký dịch vụ Smart OTP trên tài khoản iBanking của Vietcombank
Thao tác đăng ký dịch vụ Smart OTP trên tài khoản iBanking của Vietcombank
Như vậy, trong trường hợp của chị Hương, có khả năng kẻ gian đã kích hoạt dịch vụ SmartOTP sau khi có được tài khoản đăng nhập Internet Banking của chị Hương. Vấn đề mấu chốt ở đây là làm sao kẻ gian có được mã OTP gửi về máy điện thoại của chị sau khi kích hoạt dịch vụ này. Nếu máy điện thoại của chị Hương đã bị dính mã độc (Trojan) và nội dung tin nhắn SMS (bao gồm cả tin nhắn mã OTP) cũng có thể được tin tặc lấy cắp thì sự việc này có thể hiểu được. Trong thời gian đi ngủ, chị Hương tắt máy điện thoại và khi đó đồng nghĩa với điện thoại đã bị ngắt kết nối Internet nhưng rất có thể tin tặc đã thực hiện đăng ký dịch vụ SmartOTP từ trước thời điểm chị Hương tắt điện thoại, tin tặc cũng có thể chủ động xóa tin nhắn SMS trên máy điện thoại của chị, giả thuyết nào cũng có thể xảy ra. 
 
Sự việc xảy ra với chị Hương chưa có kết luận cuối cùng của các cơ quan chức năng nhưng ngày 11/8 vừa qua, nhiều khách hàng của Vietcombank bất ngờ bị dừng dịch vụ Smart OTP mà không hề nhận được thông báo từ trước. Động thái này của Vietcombank khiến nhiều khách hàng thấy hoang mang vì không hiểu có vấn đề gì đang xảy ra với hệ thống hay không. Trước đó, ngày 10/8, Vietcombank đã phát đi cảnh báo với nội dung: “VCB khuyến cáo khách hàng tuyệt đối không cung cấp tên/mật khẩu truy cập Ngân hàng điện tử, mã OTP, số thẻ qua điện thoại, email, mạng xã hội, web, link lạ…”. Tuy nhiên, ngân hàng không nhắc gì về việc ngừng dịch vụ Smart OTP. 
 
Vấn đề an toàn thông tin trên Internet tại Việt Nam thời gian qua đã nóng lên sau sự việc nhóm tin tặc Trung Quốc tấn công vào hệ thống website của hãng hàng không quốc gia Vietnam Airlines, đồng thời dữ liệu của hơn 400.000 tài khoản khách hàng tham gia chương trình Bông Sen Vàng cũng bị rò rỉ. Liệu có phải là một sự tình cờ không khi chị Na Hương, khách hàng bị mất 500 triệu qua hệ thống iBanking của Vietcombank sau 1 đêm cũng là hội viên Bông Sen Vàng của Vietnam Airlines. Chưa hề có bằng chứng rõ ràng về mối liên quan giữa 2 sự việc trên nhưng những cảnh báo dành cho người dùng là không hề thừa.
 
Người dùng cần hết sức cảnh giác trước những liên kết lạ, đặc biệt khi gõ những tài khoản quan trọng liên quan đến tiền bạc nên nhìn lại đường dẫn có chính xác từ những địa chỉ uy tín và đường dẫn website trên trình duyệt có chuyển sang màu xanh lá cây hay không cùng với biểu tượng ổ khóa ở đầu. Đây là biểu tượng thể hiện website đã được trang bị công nghệ bảo mật EV (Extended Validation) đảm bảo an toàn giao dịch. 
 
Ngoài ra, người dùng nên tránh dùng các ứng dụng hack/crack/cheating được chia sẻ trên mạng khi chơi game hoặc muốn bẻ khóa phần mềm. Đây cũng là một nguồn phát tán mã độc hay trojan đáng kể hiện nay. Hãy tỉnh táo trước những nguy cơ rủi ro có thể xảy ra trong thế giới mạng.
 
Hải An

Ý kiến bạn đọc