Lộ chiêu thức lừa lấy mã OTP
Sau vụ chị Hoàng Thị Na Hương bị lấy 500 triệu đồng trong tài khoản, Tuổi Trẻ nhận được phản ảnh của chủ thẻ tại TP.HCM vừa bị tội phạm “dụ” cung cấp mã OTP (mật khẩu dùng một lần), sau đó lừa lấy tiền trong thẻ ATM.
Bọn tội phạm đã gửi một tin nhắn thông báo tài khoản ông H. nhận được tiền và dụ ông vào đường link do chúng cung cấp để khai báo thông tin – Ảnh: QUANG ĐỊNH
Chủ thẻ này cung cấp chi tiết phương thức lừa của bọn tội phạm với mong muốn những người khác biết cách phòng tránh.
Tường tận thông tin cá nhân của chủ thẻ
Ông P.T.H. – bác sĩ tại một bệnh viện ở quận 5 (TP.HCM) – kể khoảng 6g30 ngày 12-8, ông nhận được tin nhắn từ Facebook của chị C. là điều dưỡng trưởng khoa chấn thương chỉnh hình tại bệnh viện ông đang công tác (hiện đang học tại Philippines) với nội dung nhờ nhận 35 triệu đồng gửi về để giải quyết việc gia đình, đồng thời yêu cầu ông H. cung cấp số điện thoại và số tài khoản.
Sau khi ông H. gửi số tài khoản của một ngân hàng có trụ sở tại quận Phú Nhuận, người này yêu cầu số tài khoản có đăng ký dịch vụ Internet banking để thuận tiện thao tác nên ông H. đã cung cấp số điện thoại của Vietcombank.
Sau khi nhắn số tài khoản, khoảng hai phút sau ông H. nhận được tin nhắn từ đầu số nước ngoài (số điện thoại 48780236…) với nội dung ông H. được chuyển 35 triệu đồng với mã xác nhận và link vào trang web onlinemoneygram7.webnode.vn.
Đăng nhập vào đường link trang web đó thấy yêu cầu khai báo thông tin cá nhân khá nhiều. Do nghi ngờ mình bị lừa, ông H. đã hỏi “có phải chị C. không?”, bên kia trả lời đúng. Để chắc ăn, ông H. lại đặt câu hỏi “con của chị làm khoa nào trong bệnh viện?”, người này không trả lời được mà gửi cho ông H. hình chứng minh nhân dân của chị C..
“Tôi vẫn chưa tin nên tiếp tục kiểm tra bằng câu hỏi bí mật thứ 2 là “password WiFi của khoa là gì?”, nhưng chỉ nhận được câu trả lời “già rồi nên không nhớ” kèm theo hình thẻ tín dụng của chị C.” – ông H. kể.
Dù vẫn còn “lăn tăn” nhưng sau khi “chị C.” gợi lại câu chuyện xưa từng đưa cho ông H. một số tiền, ông H. đã tin người đang nói chuyện là “chị C.” thật nên làm theo hướng dẫn của người này, nhưng nhập thông tin nhiều lần mà không thành công. Sau đó “chị C.” nói đưa mã OTP của ngân hàng gửi để nhập thông tin.
Do gần đến 7g sáng, thời điểm phải đến bệnh viện nên ông H. lấy cớ thoái thác là “để sau”, nhưng đầu bên kia liên tục gọi điện thoại thông qua Facebook.
Tuy nhiên, điều kỳ lạ là khi ông H. bắt máy thì không nghe thấy gì, màn hình bên kia cũng đen thui chứ không hiện lên hình ảnh người gọi. Sau vài lần không trao đổi gì được, “chị C.” gửi tin nhắn cho biết “cứ alô hoài mà sao không nghe trả lời”. Do quá sát giờ đi làm trong khi bên kia cứ hối “có mã thì chuyển chị” nên ông H. đã chuyển mã OTP.
Ngay sau đó, ông H. nhận được rất nhiều tin nhắn từ Vietcombank về việc hủy dịch vụ SmartOTP rồi đăng ký lại dịch vụ SmartOTP, sau đó là thay đổi hạn mức chuyển tiền qua Internet banking từ 50 triệu đồng lên 100 triệu đồng.
Video đang HOT
Tiếp đến là tin nhắn trừ 56 triệu đồng trong tài khoản. Sau khi trừ, tài khoản của ông H. chỉ còn lại chưa đầy 1 triệu đồng. Chưa hết, tài khoản tiết kiệm của ông cũng bị rút hết 3 triệu đồng.
“Thấy tài khoản bị trừ tiền, tôi hoảng quá hỏi lại đầu dây bên kia thì “chị C.” trấn an tôi rằng do chuyển tiền nước ngoài nên như vậy, yên tâm một lúc sau tiền sẽ tự động chuyển trả vào tài khoản cho tôi kèm thêm 35 triệu đồng chị gửi. Chị cũng yêu cầu tôi trong thời gian khoảng 30 phút đừng vào tài khoản. Thấy kỳ lạ, tôi gọi lại chị qua Facebook thì đầu bên kia không nghe máy và sau đó hủy kết bạn với tôi” – ông H. kể lại.
Tạo dựng một kịch bản hoàn hảo
Do quá hoảng, ông H. gọi điện lên số điện thoại đường dây nóng của Vietcombank nhưng rất khó liên hệ nên ngay lập tức chạy lên chi nhánh của Vietcombank trình báo sự việc. Trong lúc ngồi chờ theo yêu cầu của nhân viên ngân hàng, ông H. nhận được điện thoại từ tổng đài của Vietcombank hỏi có phải ông bị lừa và vừa chuyển một số tiền lớn vào một tài khoản không.
“Ngân hàng cho tôi biết một trang web chuyên bán thẻ cào điện thoại nhận được một lượng tiền lớn để mua thẻ cào. Nghi ngờ nên bên phía trang web đã gọi điện thoại hỏi ngân hàng. Từ đó ngân hàng đã chặn kịp 28,8 triệu đồng và trả vào tài khoản cho tôi. Số tiền còn lại ngân hàng cho biết vẫn đang trong quá trình xử lý và đến chiều 15-8 vẫn chưa có thông tin chính thức” – ông H. cho biết thêm.
Ông H. tìm cách liên lạc với chị C. mới biết bọn tội phạm đã tấn công Facebook của bạn chị rồi lừa chị chụp hình chứng minh nhân dân, hình thẻ tín dụng và chuyển tiền nhưng chị không chuyển. Sau đó chúng đã cướp luôn tài khoản Facebook và email của chị.
Sau khi bị lừa, ngay buổi trưa 12-8 ông H. đăng tải thông tin trên Facebook của mình là tài khoản chị C. đã bị hack và đừng ai chuyển tiền nếu được yêu cầu, nhưng ngay sau đó ông phát hiện status đó đã bị xóa.
Nghi Facebook bị kiểm soát, ông H. đổi mật khẩu và đăng một status khác là Facebook của ông đã bị hack, chưa đầy một phút sau dòng status đó lại bị xóa.
“Tôi muốn nêu lên câu chuyện của mình để những chủ thẻ khác biết mà phòng tránh. Những ngày qua, thông tin lừa đảo qua Facebook nở rộ, đặc biệt thông tin bốc hơi 500 triệu đồng trong tài khoản nhưng mọi người chỉ biết chung chung, nay chính mình trải qua nên tôi nhận thấy chiêu thức của bọn tội phạm là tạo một kịch bản hoàn hảo” – ông H. nói.
Theo ông H., bọn lừa đảo thường lựa chọn thời điểm “con mồi” chuẩn bị đi làm, đồng thời là người được nhận tiền khiến nạn nhân mất cảnh giác, làm cho nạn nhân tin người đang nói chuyện với mình chính là người quen thật qua các hình ảnh và những kỷ niệm.
“Chúng nghiên cứu rất kỹ chị C. – người mà chúng đóng vai, đồng thời tạo ra một giao dịch phức tạp, nhiều tin nhắn phản hồi khiến tôi không thực hiện được và đã trao mã OTP cho chúng lúc nào không hay. Đến khi tài khoản bị trừ tiền, tôi mới biết bị lừa” – ông H. phân tích.
Vẫn tiếp tục lừa đảo
Không chỉ làm việc với ngân hàng, ông H. cho biết đã tìm đến cơ quan công an để trình báo nhưng gặp nhiều khó khăn, được “chỉ từ nơi này qua nơi khác” nên mất một ngày ông mới trình báo được với công an phường nơi đang sinh sống.
Tuy nhiên đến nay, sau 4 ngày tài khoản Facebook này vẫn hoạt động và đi lừa thêm nhiều người khác. Theo thông tin ông H. nắm được, trong vai “chị C.”, bọn tội phạm này đã lừa một điều dưỡng khác số tiền hơn 50 triệu đồng với thủ đoạn tương tự.
Cũng theo ông H., khách hàng rất khó liên hệ được số điện thoại đường dây nóng ngân hàng nên không thể yêu cầu khóa thẻ khẩn cấp khi xảy ra sự cố.
Không cung cấp OTP cho bất kỳ ai
Đó là khuyến cáo của Ngân hàng (NH) Nhà nước đối với người dùng thẻ và các dịch vụ NH điện tử, ví điện tử sau sự kiện một khách hàng bỗng dưng bị mất 500 triệu đồng trong tài khoản mở tại Vietcombank và một loạt NH cảnh báo về các phương thức lừa đảo qua thẻ.
Khi sử dụng các dịch vụ NH điện tử cần bảo mật thông tin về tên/mật khẩu đăng nhập các dịch vụ NH điện tử, mã xác thực giao dịch OTP. Đặc biệt, không cung cấp các thông tin này cho bất kỳ đối tượng nào, kể cả nhân viên NH qua điện thoại, email, mạng xã hội…
Cũng theo NH Nhà nước, người sử dụng thẻ và các dịch vụ NH điện tử cần cài đặt phần mềm phòng chống mã độc hại, thiết lập tính năng xác thực khi truy cập như mật mã hoặc vân tay… cho điện thoại hoặc thiết bị di động khi sử dụng các thiết bị này cho các dịch vụ NH trực tuyến.
Chỉ thực hiện đăng nhập trên website chính thức của các NH và mua sắm, thanh toán trực tuyến tại các trang mạng uy tín, tin cậy.
Theo Tuổi Trẻ
Bốc hơi 500 triệu đồng: Ngân hàng không thể phủi trách nhiệm
Sự việc khách hàng Hoàng Thị Na Hương bị mất 500 triệu đồng trong tài khoản mở ở Vietcombank đã gây dư luận xôn xao mấy ngày qua.
Người dân không nên để quá nhiều tiền trong tài khoản ATM - Ảnh: TỰ TRUNG
Trao đổi với Tuổi Trẻ, ông NGUYỄN ÁI DÂN, chuyên gia về công nghệ ngân hàng, khẳng định hệ thống của Vietcombank có vấn đề và ngân hàng này không thể phủi trách nhiệm, đẩy hết lỗi cho khách hàng.
Ông Dân nói: "Nếu đặt vị trí vào Vietcombank, tôi không thể chỉ nói nguyên nhân khách hàng bị mất tiền là do chị truy cập trang web giả mạo.
Nói như vậy là chưa đầy đủ vì có cả lỗi của ngân hàng ở đây. Vietcombank khẳng định hệ thống của mình luôn an toàn, bảo mật thì tại sao xảy ra sự cố khiến khách hàng mất tiền? Không có hệ thống của ngân hàng nào có thể tuyên bố là khỏe tuyệt đối cả. Vấn đề là sau khi xảy ra sự cố thì ngân hàng phải xử lý để làm sao khách hàng yên tâm".
* Vậy lỗi là do cơ chế bảo mật của Vietcombank có vấn đề?
- Điều đó thể hiện ở việc là không có tin nhắn chứa mã OTP (mật khẩu chỉ sử dụng một lần gửi tới chủ tài khoản qua điện thoại) từ Vietcombank để xác thực giao dịch mà người ta vẫn chuyển khoản được. Đây là lỗ hổng của ngân hàng, có thể không phải là lỗ hổng do công nghệ mà do nhân sự. Với nhiều phần mềm, giao dịch viên có thể chuyển tiền được.
Với thông tin ban đầu mà Vietcombank đưa ra, theo tôi, rủi ro này có thể đến từ phía ngoài và cũng có thể đến từ nội bộ của ngân hàng. Rủi ro có thể bên ngoài hệ thống là 50%, tức do hacker đột nhập và 50% từ phía ngân hàng là do nhân sự, quy trình, công tác kiểm tra... Thực tế việc bảo mật hệ thống không chỉ Vietcombank mà rất nhiều ngân hàng đang có nhiều khiếm khuyết.
* Trách nhiệm của ngân hàng với 200 triệu đồng đã bị rút mất như thế nào, thưa ông (300 triệu đồng đã thu hồi được)?
- Dư luận có hai luồng thông tin là từ khách hàng - chị Na Hương và từ phía Vietcombank, song đang mâu thuẫn nhau. Do đó chỉ có thể nói chính xác mức độ ai sai thế nào sau khi có kết luận của cơ quan công an. Tuy nhiên, tôi nghĩ việc chị Na Hương có dùng trang web giả mạo nào đó hay không thì trách nhiệm đền bù vẫn thuộc ngân hàng. Vì phần mềm khác có thể vào được hệ thống của Vietcombank nên ngân hàng này phải nhận trách nhiệm.
Bảo mật chỉ mang tính tương đối. Hacker còn đột nhập lấy dữ liệu của Bộ Quốc phòng Mỹ cơ mà, thế nên phía Việt Nam cũng không thể ngăn chặn hoàn toàn việc này. Tôi không tin là chỉ có chuyện mất 200 triệu đồng của chị Na Hương, vì như ở nước ngoài, những kẻ lừa đảo còn làm giả ATM lấy trộm hàng trăm triệu USD. Vụ việc của chị Na Hương chỉ là điển hình được nêu ra. Không nên tin tưởng vào hệ thống của mình được bảo mật tuyệt đối. Qua vụ việc này, chúng ta thấy hệ thống đang có nhiều lỗ hổng và cần phải cải thiện để kiểm soát tốt hơn.
* Ông có khuyến cáo gì với chủ thẻ?
- Điều đầu tiên là người dân không nên để quá nhiều tiền trong tài khoản ATM. Với thẻ dùng để đi mua bán thường xuyên, phục vụ chi tiêu trong gia đình chỉ nên có số dư tối đa 20 - 50 triệu đồng. Với một người mà mọi chi tiêu từ nhận lương, thanh toán điện thoại, điện, nước sinh hoạt, thanh toán các giao dịch lớn khi kinh doanh, Internet Banking cũng cùng một thẻ thì tiềm ẩn rất nhiều rủi ro nếu không may bị mất mã PIN...
Mặt khác, chủ thẻ nên hạn chế sử dụng nhiều thiết bị để giao dịch trực tuyến. Chỉ nên sử dụng một máy tính mà cá nhân người chủ tài khoản quản lý được. Không nên sử dụng máy tính ở gia đình để chuyển tiền, thanh toán trực tuyến. Bởi thông thường nhiều thành viên trong gia đình dùng chung máy tính này như con cái có thể vào học, lên mạng xã hội, chơi điện tử... nên có thể rất dễ nhiễm virút. Đây là một trong những nguy cơ mà hacker có thể truy cập lấy cắp dữ liệu.
Bên cạnh đó, tôi cũng không đồng tình với việc là dịch vụ tiện ích có thể ngồi mọi nơi mọi lúc chuyển tiền được. Hiện nay, nhiều ngân hàng cứ chạy đua quảng cáo rộn ràng là có thể chuyển tiền mọi nơi mọi lúc, chuyển tiền được qua Facebook. Tiện ích quá cũng có nghĩa là nhiều rủi ro, nguy hiểm. Nhất là với doanh nghiệp thì không thể ngồi máy tính nào cũng thực hiện chuyển tiền, mà phải có máy tính nhất định.
Sự việc này cũng cảnh báo các ngân hàng cần phải xem xét lại hệ thống của mình, cần phải có chế độ kiểm soát hệ thống tốt hơn. Để ngăn chặn rủi ro cho khách hàng, tôi cho rằng tới đây các ngân hàng nên quy định khách hàng muốn chuyển tiền phải giao dịch trên chính thiết bị máy tính, điện thoại mà có mã đã đăng ký. Bởi mỗi máy tính, điện thoại có mã riêng. Chất lượng dịch vụ có thể giảm một chút nhưng an toàn hơn.
Còn đối với những người quản trị trong ngân hàng thì nên sử dụng ít nhất hai máy tính. Một máy để giao dịch với bên ngoài, làm việc với email, Internet, với thông tin từ khách hàng. Và một máy chỉ làm việc với cơ sở dữ liệu như là các phần mềm, quản trị... Giả sử một ngày nào đó bị hacker xâm nhập từ email thì nhiều thông tin sẽ bị lộ, sẽ rất nguy hiểm.
Luật sư Trương Thanh Đức (chủ tịch Công ty luật Basico):
Ngân hàng không thể đứng ngoài cuộc
Cách thức bảo mật, nguyên lý đảm bảo an toàn của Vietcombank có vấn đề. Ngân hàng đã thu lại được 300 triệu đồng, còn 200 triệu đồng bị mất rồi thì xem xét trách nhiệm lỗi chính ở bên nào. Trường hợp này cần phải có sự chia sẻ trách nhiệm của ngân hàng chứ không thể đẩy trách nhiệm cho khách hàng. Vì Vietcombank là đơn vị cung cấp dịch vụ, mà dịch vụ gây rủi ro cho khách hàng thì ngân hàng phải có trách nhiệm chia sẻ tổn thất chứ không thể đứng ngoài cuộc.
Theo Tuổi Trẻ
Yêu cầu kiểm tra, rà soát, đảm bảo an toàn cho hệ thống thông tin Liên quan tới việc hệ thống thông tin thuộc Vietnam Airlines và một số đơn vị liên quan bị tấn công, xảy ra sự cố, ngày 30/6 Bộ Thông tin và Truyền thông chính thức ra công văn yêu cầu tăng cường kiểm tra, rà soát, bảo đảm an toàn thông tin. Website bị hacker thay đổi giao diện. (Ảnh: Trung Hiền/Vietnam )...