Song câu trả lời này càng dấy lên hoài nghi về lỗ hổng bảo mật và trách nhiệm bảo vệ quyền lợi của khách hàng?
Sự cố trộm tiền mới đây lại bất ngờ xảy ra ở Vietcombank – ngân hàng lớn và có hệ thống bảo mật hiện đại, an toàn cao. Trước đó, chị Hoàng Thị Na Hương (Hà Nội)- chủ thẻ Vietcombank Connect 24 hours, hốt hoảng thông báo số tiền 500 triệu đồng đã bị “bốc hơi” khỏi tài khoản ngân hàng này vào đêm ngày 3/8 và rạng sáng 4/8.
Lỗi do “website giả mạo”
Ngày 12/8, Vietcombank chính thức thông báo trên website về diễn biến vụ “bốc hơi” 500 triệu đồng. Theo đó, các đối tượng lừa đảo đã chuyển tiền từ tài khoản khách hàng tới nhiều tài khoản trung gian tại ba ngân hàng khác nhau tại Việt Nam.
Sau đó, thực hiện rút 200 triệu đồng qua cây ATM ở Malaysia. Vietcombank đã khoanh giữ lại được 300 triệu đồng do vẫn chưa chuyển ra khỏi hệ thống Vietcombank. Nhân viên ngân hàng cũng đã hướng dẫn chị Hương làm thủ tục truy soát giao dịch để nhận lại số tiền 300 triệu đồng.
Về nguyên nhân mất tiền, Vietcombank khẳng định: khách hàng bị đánh cắp thông tin tài khoản do trước đó đã truy cập vào một trang website giả mạo địa chỉ: “http://creatingacreator.com/kob/1/index.htm”. Khi khách hàng tự kiểm tra lại điện thoại thì phát hiện địa chỉ trang giả mạo vẫn lưu trên máy.
Tuy nhiên, theo phản ánh của chủ thẻ, ngày 4/8, khi phát sinh 7 giao dịch chuyển tổng số tiền 500 triệu đồng, Vietcombank không hề gửi mã OTP (mã bảo mật xác nhận thanh toán online) về điện thoại cho khách hàng như thường lệ.
Người dùng thẻ ngân hàng nên cảnh giác với tội phạm công nghệ cao
Đây là số tiền lớn, gây ảnh hưởng tới gia đình chị Hương và cũng khiến nhiều chủ thẻ ngân hàng khác cảm thấy bất an, lo sợ gặp phải rủi ro bị “trộm” tiền tương tự. Một cán bộ ngân hàng cho biết, theo quy trình thanh toán ngân hàng điện tử (Internet-bankink, Mobile-Banking), các chủ tài khoản được bảo mật bằng mật khẩu riêng và cao hơn là mã OTP gửi vào số điện thoại do khách hàng đăng kí. Mã OTP là bước xác nhận giao dịch của chính chủ tài khoản.
“Khách hàng không nhận được mã OTP khi phát sinh 7 giao dịch chuyển 500 triệu đồng nêu trên là điều rất bất thường, có vấn đề. Có khả năng chủ thẻ đã bị đánh cắp thông tin tài khoản và quyền tiếp nhận mã OTP khi truy cập vào trang website giả mạo như Vietcombank đã thông báo. Nhưng cũng có một khả năng khác là hệ thống bảo mật của ngân hàng có “lỗ hổng”, và kẻ gian có thể lặp lại hành vi đánh cắp thông tin tài khoản của nhiều khách hàng khác để thực hiện các vụ trộm tiền tương tự” – cán bộ này chia sẻ.
Bảo mật của Vietcombank có vấn đề?
Theo tìm hiểu, được biết, hiện tại trên giao diện Internet-Banking của Vietcombank có ba hình thức nhận mã OTP trong giao dịch, gồm: tin nhắn SMS qua điện thoại, Smart OTP và sử dụng EMV. Với hình thức SMS, tất cả mọi giao dịch của khách hàng được ngân hàng thông báo mã xác nhận về điện thoại của khách hàng.
Trường hợp thứ hai, các đối tượng lừa đảo muốn chuyển hình thức nhận OTP từ SMS sang Smart OTP thì bắt buộc Vietcombank phải gửi tin nhắn tới điện thoại của khách hàng để kích hoạt phần mềm này. Trường hợp thứ ba, nếu kẻ gian muốn chuyển sang hình thức thẻ EMV thì bắt buộc phải có thẻ của khách hàng mới thực hiện được giao dịch.
Tuy nhiên, phương thức này ít được khách hàng lựa chọn vì cần có thiết bị đi kèm, gây bất tiện. Sự chuyển đổi nhận mã OTP giữa ba hình thức này liên quan đến mức độ bảo mật, an toàn của Vietcombank. Và trong cả ba trường hợp, nếu khách hàng không nhận được tin nhắn thông báo giao dịch, tin nhắn chuyển đổi hình thức nhận OTP thì sẽ do lỗi của hệ thống Vietcombank.
Đến thời điểm này, phía Vietcombank cho biết đang phối hợp với khách hàng để làm việc với cơ quan chức năng nhằm làm rõ các đối tượng chủ mưu đã thực hiện các hành vi lừa đảo này. Trước đó, Vietcombank đã thường xuyên gửi thông tin tới khách hàng cảnh báo về các giao dịch giả mạo, tội phạm công nghệ cao và hướng dẫn cách giao dịch an toàn…
Dù vậy, ngân hàng vẫn chưa thể khẳng định việc mất 500 triệu đồng là lỗi của ai, khách hàng hay ngân hàng. Số tiền 200 triệu đồng đã bị kẻ trộm rút ra ở Malaysia chưa rõ khi nào và liệu có thể thu hồi được hay không? Thực tế, những vụ trộm cắp tiền trong tài khoản thẻ ngân hàng Việt Nam xuất hiện ngày càng nhiều với mức độ tinh vi, sử dụng công nghệ cao, đánh cắp số tiền lớn và giao dịch xuyên biên giới…
Đơn cử, năm 2012, chị Trần Thị Mai Hương- chủ thẻ Visa của Vietinbank – đã bị ghi nợ ba khoản thanh toán với tổng số tiền 2.400 USD, được thực hiện tại một siêu thị lớn tại Mỹ. Phí ngân hàng xác nhận các giao dịch này là hoàn toàn hợp lệ, song chị Hương khẳng định, mình không đi Mỹ vào thời điểm đó, cũng không nhận được tin nhắn báo giao dịch và chữ ký trên hoá đơn không hợp lệ… Sự việc “không đi Mỹ vẫn bị tiêu 2.400 USD” đã gây mất niềm tin cho chủ thẻ, dấy lên nghi vấn lỗ hổng bảo mật thẻ Visa của ngân hàng…
Hai sự cố mất tiền trên tài khoản đã xảy ra ở Vietcombank và Vietinbank là dấu hiệu cảnh báo tội phạm công nghệ cao đã xâm nhập, đánh cắp thông tin khách hàng và rút tiền thành công. Điều kỳ lạ, với hệ thống bảo mật hiện đại, có mức độ an toàn cao nhưng khi xảy ra giao dịch bất thường, ngân hàng lại không đưa ra bất kỳ cảnh báo hay ngăn chặn nào? Điều này khiến cho nhiều khách hàng có nguy cơ bị mất tiền nếu họ vô tình để lộ thông tin hoặc bị đánh cắp thông tin, sử dụng vào mục đích phi pháp.
Theo Thu Hằng/TBKD
