Trong thời gian gần đây, nhiều người dùng đã phản ánh về việc nhận được tin nhắn thông báo trừ tiền từ ngân hàng Techcombank với nội dung thanh toán qua ZaloPay trên điện thoại di động dù không thực hiện bất cứ giao dịch, chi tiêu nào qua thẻ.
Một người dùng cho biết, chị nhận được thông báo trừ 10.000.000 đồng từ tài khoản visa Techcombank, trong khi chị không thực hiện bất kỳ giao dịch nào trong khoảng thời gian này, kể cả giao dịch rút tiền qua thẻ hay thanh toán dịch vụ. Người dùng cũng khẳng định không cho ai mượn thẻ, không cung cấp mã OTP cho bất kỳ ai và cũng không click vào đường link lạ nào.
Sau khi sự việc xảy ra, người dùng này đã gọi điện đến số hotline chăm sóc khách hàng của Techcombank thông báo về sự việc. Bên phía Techcombank cho biết, tài khoản của người này được rút từ một bên thứ ba qua game hay phần mềm máy tính gì đó. Ngân hàng đã khoá thẻ vĩnh viễn và đợi truy xuất, sau 45 ngày sẽ có kết quả.
Người này đã chia sẻ câu chuyện của mình lên mạng xã hội để tìm kiếm sự giúp đỡ. Rất nhiều người đã phản hồi rằng họ cũng bị mất oan số tiền tối thiểu 10 triệu đồng trở lên, và đều dùng thẻ thanh toán quốc tế mở tại Techcombank.
Một chủ thẻ visa debit [thẻ ghi nợ quốc tế] của Ngân hàng Kỹ thương Việt Nam [Techcombank] cho biết, cô nhận được một loạt tin nhắn thông báo trừ tiền từ ngân hàng vào ngày 6/10. Tài khoản của người này đã bị trừ 21 triệu đồng chỉ trong vài phút. Nội dung cho những phần giao dịch trừ tiền được báo về là "Giao dịch qua POS số thẻ xxx... tại ZaloPay..." hoặc "Giao dịch qua POS số thẻ xxx... tại SenPay...". Tuy nhiên, chủ thẻ này cho biết cô không hề cung cấp thông tin, không cho bất kỳ ai mượn thẻ hay click vào đường link lạ và chưa hề đăng ký hay sử dụng dịch vụ tại các ví điện tử này.
Những khách hàng bị mất tiền trong tài khoản phần lớn dùng thẻ ghi nợ quốc tế. Họ đều chưa sử dụng dịch vụ của ví điện tử được đề cập trong tin nhắn trừ tiền và không nhận được bất kỳ tin nhắn OTP nào để liên kết thẻ với ví, hay thực hiện giao dịch.
Phía ngân hàng Techcombank cho biết, họ đã nắm được sự việc và sẽ thực hiện việc tra soát 3 bên trong thời gian từ 30 - 45 ngày. Sau khi có kết quả, họ sẽ có thông tin chính thức và thống nhất hướng giải quyết cụ thể.
Hiện tại, chưa thể khẳng định lỗi của sự việc này là do ai nhưng những người bỗng dưng bị mất tiền trong tài khoản ngân hàng này sẽ phải chờ đợi 45 ngày để biết mình có được hoàn tiền hay không.
Một số ý kiến cho rằng, người dùng hãy kiểm tra và bảo mật kỹ tài khoản của mình, để tránh gặp tình huống mất tiền tương tự.
Khi thực hiện các giao dịch online phải thanh toán trực tuyến hoặc thực hiện các giao dịch với tài khoản thẻ ATM nội địa… thường được yêu cầu nhập mã OTP. Mã OTP được gửi qua tin nhắn điện thoại và sẽ mất hiệu lực trong trong thời gian ngắn [sau khoảng 30 giây đến 2 phút khi bạn chưa sử dụng]. Vậy tại sao tài khoản vẫn bị hack nếu như chủ tài khoản không bị lộ, lọt thông tin.
Mới đây nhất, vào đầu tháng 10/2020, tài khoản ngân hàng của ông Trần Việt Luận [ở TP.HCM] bị kích hoạt ứng dụng trên thiết bị khác và bị chuyển 406 triệu đồng cho người khác chỉ vẻn vẹn trong 7 phút.
Có trường hợp, chủ tài khoản xác định được nguyên nhân như kích hoạt vào đường link lạ và bị chiếm quyền sử dụng tài khoản.
Đơn cử như trường hợp chị Hoàng Hồng Đ. [ở Hà Nội, chuyên kinh doanh online] khi thanh toán chuyển khoản bị kẻ gian chiếm đoạt 450 triệu đồng.
Cơ quan công an vào cuộc đã lật tẩy hành vi của đối tượng Nguyễn Quang Hiệp [SN 1999, ở Quảng Trị] sử dụng các chiêu trò như giả mạo tin nhắn chuyển tiền, lập trang web chuyentienquoctetructuyen, đồng thời thực hiện giao dịch mua bán và chuyển khoản qua Internet Banking với chị Đ. để chiếm quyền sử dụng tài khoản.
Thậm chí, có trường hợp, tài khoản của khách hàng bị cán bộ ngân hàng “xài chùa” như vụ việc từng bị phát giác tại Bắc Kạn.
Theo bản án phúc thẩm, Nguyễn Đức Việt [SN 1990, ở Bắc Kạn] là giao dịch viên quầy của một ngân hàng. Lợi dụng vị trí được giao, ngày 18/9/2018, Việt đã tự ý hủy đăng ký Mobile banking của khách hàng Nông Thị Y. và đăng ký lại bằng số điện thoại của mình.
Bị cáo mượn tài khoản user của thủ quỹ để đăng nhập vào hệ thống BillPayment nhằm đăng ký dịch vụ liên kết ví điện tử Momo với tài khoản của khách hàng Y.
Với cách thức trên, từ ngày 19/9/2018 đến ngày 23/11/2018, Việt đã sử dụng điện thoại thực hiện 166 giao dịch nạp tiền từ tài khoản của bà Y. vào ví điện tử Momo số tiền 232,4 triệu đồng. Bằng hành vi trên, Việt chiếm đoạt số tiền 229,8 triệu đồng.
Đến chiều ngày 23/11/2018, bà Y. đến khách hàng rút tiền. Lúc này số dư tài khoản của bà Y. chỉ còn 73.823 đồng. Nhằm che mắt khách hàng, Việt đã giả chữ ký của bà Y. để nộp khống số tiền 227 triệu đồng vào tài khoản bà Y. Bà Y. vẫn rút tiền mặt số tiền 200 triệu đồng. Do đó, bà Y. không phát hiện tài khoản của mình bị lợi dụng.
Trong những ngày sau đó, Việt tiếp tục thực hiện 9 giao dịch nạp tiền từ tài khoản của bà Y. vào ví điện tử Momo để chiếm đoạt 9 triệu đồng.
Để tránh bị ngân hàng phát hiện việc nộp khống tiền, ngày 23/11/2018, Việt tự ý hủy đăng ký Mobile bank của bà Y. Bị cáo giả chữ ký của một khách hàng khác để rút số tiền 300 triệu đồng và thực hiện ủy nhiệm chi vào tài khoản của bà Y. để bù đắp số tiền đã chiếm đoạt.
Đến ngày 29/11/2018, bà Y. nhận được tin nhắn điện thoại báo tài khoản còn nợ phí tin nhắn SMS là 143.220 đồng. Bà Y. đã đến ngân hàng thắc mắc. Ngân hàng kiểm tra lịch sử giao dịch thì phát hiện hành vi sai phạm của Nguyễn Đức Việt.
Cơ quan điều tra còn xác định Việt thực hiện trên một số tài khoản của khách hàng khác và chiếm đoạt ngân hàng số tiền 367,8 triệu đồng. Bị cáo đã khắc phục số tiền trên.
Tuy nhiên với hành vi rất nghiêm trọng, vừa qua, TAND tỉnh Bắc Kạn xử phạt bị cáo Việt mức án 4 năm tù về tội Lạm dụng chức vụ quyền hạn chiếm đoạt tài sản.
Trên thực tế, khi khách hàng bị hack tài khoản thì mong muốn lớn nhất là lấy lại tiền. Song việc này có thể mất rất nhiều thời gian, đôi khi phải chờ sự vào cuộc của các cơ quan chức năng.
Do đó, Bộ Công an từng khuyến cáo người dân, cần thận trọng, xác minh kỹ thông tin khi thực hiện các giao dịch chuyển tiền. Người dân chỉ thực hiện giao dịch trên các website chính thức, công khai của các tổ chức tài chính, ngân hàng. Tuyệt đối không cung cấp mã OTP cho người khác. Hạn chế việc công khai ngày sinh, số căn cước công dân, số điện thoại, số tài khoản ngân hàng trên không gian mạng.
Đối với các tài khoản công khai, dùng để giao dịch online cần hạn chế số tiền dư quá lớn, tránh để các đối tượng lợi dụng chiếm đoạt tài sản.
Hà Linh
Lợi dụng nhu cầu mua sắm tiêu dùng tăng cao, kẻ gian sử dụng chiêu trò giả danh cán bộ ngân hàng để lấy cắp thông tin bảo mật thẻ, tài khoản như mật khẩu và mã số OTP, từ đó chiếm đoạt tiền của khách hàng. Một trong những hình thức mới nhất là gọi điện giả danh cán bộ nhân viên ngân hàng "mời" rút tiền qua thẻ tín dụng, hoàn phí dịch vụ thường niên, chuyển đổi hình thức sử dụng.
Giả nhân viên ngân hàng để rút 15 triệu trong thẻ VISA
Khoảng 16h chiều ngày 1/3/2022, chị N.T. T [quận Hoàn Kiếm, Hà Nội] nhận được điện thoại của một người tự giới thiệu là nhân viên ngân hàng Techcombank. Người này cho biết, ngân hàng đang có chính sách hoàn phí dịch vụ thường niên thẻ tín dụng cho những khách hàng mới sử dụng và ít dùng thẻ này. Người này, sau đó yêu cầu chị T. xác nhận 3 số cuối trên thẻ tín dụng và đọc số CMND.
“Khi nhận được cuộc gọi, tôi không nghi ngờ vì trước đó, nhân viên làm thẻ tín dụng của Techcombank có thông báo sau 3 tháng, nếu chi tiêu từ 500.000 trở lên sẽ được hoàn lại phí thường niên. Tài khoản giả mạo gọi đến và tư vấn đúng nội dung này, nói tài khoản của tôi mới đăng ký, ít giao dịch nên sẽ thuộc nhóm được hoàn lại tiền. Sau đó yêu cầu xác nhận 4 số cuối trong thẻ tín dụng, kẻ này cũng tự đọc 12 số đầu trong thẻ yêu cầu tôi xác nhận đúng không và đúng như vậy”- Chị T. kể lại.
Sau khi cuộc gọi kết thúc, chị T. kiểm tra tài khoản và phát hiện bị trừ 15 triệu đồng từ tài khoản tín dụng.
Theo chị T. tin nhắn báo về cho thấy kẻ này đã thực hiện giao dịch thông qua ví điện tử ALEPAY. [Cụ thể tin nhắn thông báo: Chi tiêu: 15.000.000 VNĐ vào 1/3 tại NL-ALEPAY*bactom1…]. Số điện thoại đã gọi đến cho chị là: 0366177315, số điện thoại này có đăng ký tài khoản zalo với tên Tuyết Nhung, để ảnh đại diện là quầy giao dịch Techcombank.
Chị T., cho biết, từ khi làm thẻ tín dụng, chị mới sử dụng vài lần để thanh toán tại siêu thị Vinmart. Và điều chị băn khoăn là tại sao kẻ lừa đảo lại có 12 số đầu trong thẻ tín dụng của chị, thông tin này bị lộ do những lần thanh toán tại siêu thị hay chính hệ thống ngân hàng đang có những lỗ hổng làm lộ thông tin khách hàng?
“Với hành vi lừa đảo tinh vi như trên, tôi tin rằng không chỉ riêng mình tôi mà có thể nhiều khách hàng khác cũng đang vô tình bị mất tiền một cách oan uổng”- chị T. nói.
Khách hàng phải bảo vệ được các thông tin về tài khoản và mã OTP
Ông Ngô Cao Đại, Giám đốc an ninh mạng của SecurityBox cho rằng, đây là 1 cuộc tấn công lừa đảo người dùng thông qua các kỹ thuật xã hội [Social Engineering] mà cụ thể hơn là kỹ thuật Phising.
Thông thường, với kỹ thuật tấn công ngày, hacker cần có thông số tài khoản [đôi khi là số điện thoại đối với 1 số ngân hàng], mật khẩu đăng nhập và mã OTP khi thực hiện giao dịch.
Với những thông tin đó, hacker sẽ chia ra làm 3 giai đoạn tấn công chính:
Giai đoạn 1 thu thập thông tin xã hội của nạn nhân[Gathering Information]: Có thể là thông tin số điện thoại, thông tin số thẻ tín dụng mà thu thập được trên mạng xã hội hoặc trên website có thể do nạn nhận thực hiện việc mua bán online mà vô tình để lộ các thông tin về tài khoản ngân hàng này.
Giai đoạn 2, dùng các kĩ thuật xã hội để lừa nạn nhân [Phising]: Sau khi có các thông tin về họ tên, số tài khoản ngân hàng và số điện thoại của nạn nhân, Hacker sẽ dựa vào các kỹ thuật khai thác tâm lý xã hội của nạn nhân để lừa nạn nhân cung cấp thông tin nhạy cảm là mật khẩu như: để đăng nhập lại tài khoản đã bị khóa hoặc để nhận một khoản tiền thưởng lớn hoặc dựa vào các vấn đề nổi cộm gần đây như là hoàn trả phí SMS Banking.
Giai đoạn 3 tiếp tục lừa lấy mã OTP để chiếm đoạt tiền trong tài khoản: Sau khi có thông tin tài khoản và mật khẩu, Hacker sẽ tiến hành gửi tiền từ tài khoản nạn nhân đến các ví điện tử hoặc tài khoản che dấu thân phận. Ở bước này, hacker sẽ yêu cầu nạn nhân gửi thông tin OTP cho hacker.
“Có 1 số thủ đoạn tinh vi hacker giả mạo nhà mạng lừa người dùng chuyển sim 3G sang sim 4G nếu không sẽ bị khóa số, đồng thời thực hiện 1 số biện pháp lừa đảo để chuyển số điện thoại sang sim của đối tượng và sau đó hacker có thể lấy được mật khẩu Ebank. Những bước tấn công trên đều sử dụng các kỹ thuật xã hội để lừa đảo và không phải là lỗ hổng từ phía ngân hàng”- ông Ngô Cao Đại lưu ý.
Để đảm bảo an toàn khi sử dụng các tài khoản ngân hàng, ví điện tử, ông Ngô Cao Đại, Giám đốc an ninh mạng của SecurityBox cho rằng, phía các đơn vị Ngân hàng luôn luôn tìm cách cải thiện 3 yếu tố là quy trình, công nghệ và con người để bảo vệ khách hàng của họ. Tuy nhiên điều quan trọng nhất là khách hàng phải bảo vệ được các thông tin về tài khoản và mã OTP của mình.
Để bảo vệ mình trước các cuộc tấn công lừa đảo ngày càng tinh vi, theo ông Đại mọi người nên chú ý các điều sau: Không truy cập các đường dẫn, website không có cơ chế bảo mật kênh truyền HTTPS. Không truy cập các đường dẫn, website lạ trực tiếp từ email, hay tin nhắn lạ. Không đăng nhập vào tài khoản ngân hàng từ các thiết bị lạ, các thiết bị công cộng.
“Tuyệt đối không cung cấp thông tin tài khoản, mật khẩu, OTP, mã PIN hay mã CVV2 cho bất kỳ ai, kể cả nhân viên ngân hàng cũng không được phép yêu cầu những thông tin này. Nâng cao cảnh giác đối với các tin nhắn, email hoặc cuộc gọi tự nhận là ngân hàng và yêu cầu cung cấp thông tin nhạy cảm. Khi có nghi vấn về lừa đảo thì liên hệ với ngân hàng chủ quản để hỏi rõ thông tin”- ông Đại nhấn mạnh./.