Không giao dịch, không nhận được mã OTP, tài khoản vẫn bị 'bốc hơi" 406 triệu đồng

Theo dõi Báo Gia Lai trên Google News

Việc một người vừa bị "bốc hơi" 406 triệu đồng trong tài khoản, nhiều chuyên gia an ninh mạng cho rằng kẻ xấu đã khai thác điểm yếu của quy trình xác thực giao dịch bằng mã OTP (mật khẩu sử dụng một lần) được gửi qua tin nhắn điện thoại.

 Hầu hết ngân hàng ở Việt Nam đang dùng cách thức xác thực giao dịch qua tin nhắn SMS gửi đến số điện thoại khách hàng - Ảnh: ĐỨC THIỆN
Hầu hết ngân hàng ở Việt Nam đang dùng cách thức xác thực giao dịch qua tin nhắn SMS gửi đến số điện thoại khách hàng - Ảnh: ĐỨC THIỆN



Trong vụ việc này, nạn nhân cho biết không thực hiện giao dịch, không nhận được tin nhắn thông báo mã xác thực, biến động số dư như thông lệ.

Nhiều kịch bản mất tiền

Mặc dầu vậy, theo ngân hàng (NH) Vietcombank (VCB) đã ghi nhận 4 giao dịch chuyển khoản đều hợp lệ, có 8 tin nhắn được gửi đến số điện thoại của chủ tài khoản. Ngân hàng này cho biết tài khoản trên ứng dụng VCB Digibank của khách hàng đã được kích hoạt trên một thiết bị khác để chuyển tiền.

Công ty an ninh mạng Bkav đưa ra hai kịch bản. Thứ nhất, kẻ xấu đã lừa khách hàng nhập mã OTP vào một website giả mạo để chiếm mã OTP, tạo ra giao dịch chuyển tiền giả mạo.

Thứ hai, kẻ xấu lừa khách hàng cài đặt một phần mềm gián điệp trên điện thoại. Phần mềm này sẽ theo dõi tất cả thông tin, trong đó có tin nhắn SMS chứa mã OTP và các thông tin đăng nhập và tạo giao dịch chuyển tiền.

Ông Nguyễn Tử Quảng, CEO Công ty an ninh mạng Bkav, cho rằng hacker đã khai thác điểm yếu của công nghệ xác thực SMS OTP.

Tháng 6-2020, Bkav cũng đã đưa ra cảnh báo về một phần mềm gián điệp có tên VN84App chuyên đánh cắp dữ liệu người dùng Việt, đặc biệt tập trung đánh cắp các mã OTP.

Phân tích VN84App, các chuyên gia phát hiện máy chủ điều khiển có giao diện bằng tiếng Trung Quốc và tin nhắn được thu thập từ điện thoại là những giao dịch ngân hàng có số tiền lớn lên tới hàng tỉ đồng.

Với điểm yếu dễ khai thác của công nghệ xác thực qua tin nhắn SMS nêu trên, ông Quảng đưa ra đề xuất dùng chữ ký số thay thế.

Ông Ngô Tấn Vũ Khanh, giám đốc phát triển Hãng bảo mật Kaspersky tại Việt Nam, cũng nhận định lỗ hổng trong vụ việc trên ở công nghệ xác thực OTP. Tuy nhiên để ngăn chặn nguy cơ, ông Khanh cho rằng có nhiều giải pháp, như các NH phải có đội dò quét để loại bỏ các website Internet banking giả. Với nguy cơ nhiễm mã độc, người dùng nên cài phần mềm chống và diệt mã độc trên điện thoại.

Người dùng phải cẩn trọng

Trao đổi với Tuổi Trẻ, giám đốc trung tâm thẻ một NH cổ phần lớn cho biết theo quy định, với các giao dịch loại A từ 5 triệu đồng/ngày trở xuống chỉ cần tên đăng nhập, mật khẩu, mã PIN. Với giao dịch loại B, đến 100 triệu đồng/ngày phải xác thực bằng OTP hoặc thẻ ma trận.

Với các giao dịch từ loại C trên 100 triệu đồng phải xác thực bằng Soft OTP hoặc Token OTP loại cơ bản… Vị này cho biết hiện đã áp dụng Soft OTP (bước người dùng phải đăng nhập vào ứng dụng trên app của NH để duyệt giao dịch), tức là thêm một bước nữa để tăng bảo mật.

Tuy nhiên theo vị này, người dùng cũng phải cảnh giác với các chiêu như thông báo trúng thưởng, giả là công an để yêu cầu khai tên đăng nhập… sau đó lấy sạch tiền trong tài khoản. Các NH liên tục cảnh báo nhưng nhiều trường hợp vẫn dính bẫy.

Hiện một số NH cho khách chọn một trong hai hình thức: nhận tin nhắn trong app (miễn phí) hoặc tin nhắn viễn thông (có thu phí) để thông báo thay đổi số dư.

Sau vụ khách hàng bị mất 406 triệu đồng, nhiều cảnh báo cho rằng không nên bỏ dịch vụ thông báo biến động số dư qua tin nhắn bởi nếu chỉ nhận thông báo trong app, điện thoại phải được kết nối WiFi hoặc 3G, 4G liên tục, nếu không sẽ không nhận được tin nhắn kịp thời.

 


Ngân hàng khẳng định hệ thống vẫn an toàn

Trao đổi với Tuổi Trẻ chiều 6-10, đại diện VCB cho hay đã tiếp nhận thông tin khiếu nại của khách hàng T.V.L. (TP.HCM) bị mất 406 triệu đồng trong tài khoản và cho hay đã làm việc trực tiếp 2 lần với khách, hướng dẫn trình báo công an để xác minh và truy bắt tội phạm.

VCB cho biết thêm theo kết quả rà soát dữ liệu giao dịch của khách hàng và thông tin từ cung cấp dịch vụ gửi tin nhắn, ngân hàng này ghi nhận các giao dịch đã được thực hiện bởi đúng thông tin định danh của chủ tài khoản (tên tài khoản, mật khẩu và mã OTP).

Ngân hàng này cũng khẳng định hệ thống của mình vẫn an toàn, bảo mật. Chỉ khi tên truy cập, mật khẩu truy cập và mã OTP xác thực giao dịch được cung cấp đúng thì giao dịch mới được VCB xử lý.

L.THANH


Theo ĐỨC THIỆN - ÁNH HỒNG (TTO)

Có thể bạn quan tâm

Thấy gì từ thu thuế đất tăng?

Thấy gì từ thu thuế đất tăng?

Số liệu của Bộ Tài chính cho biết, thu thuế từ nhà, đất đạt 198,3 nghìn tỉ đồng, tăng 105% so cùng kỳ 2024. Không chỉ bổ sung cho ngân sách một khoản quan trọng, đằng sau con số đột biến này còn rất nhiều vấn đề cần mổ xẻ thấu đáo để tạo điều kiện cho doanh nghiệp phát huy tối đa nội lực.

Thanh toán bằng bitcoin được chấp nhận tại Kibera, Kenya. (Ảnh: Independent.co)

Khu ổ chuột lớn nhất châu Phi dần quen với việc sử dụng bitcoin cho các khoản thanh toán hàng ngày

(GLO)- Trong khi bitcoin vẫn còn khá xa lại với nhiều người, thì tại khu ổ chuột nghèo khó Kibera, Kenya, thay vì chỉ giao dịch bằng tiền mặt, một bộ phận cư dân nơi đây đã bắt đầu sử dụng bitcoin cho các khoản thanh toán hàng ngày, đặc biệt là tại các quầy hàng thực phẩm và rau củ.

Cuộc đối thoại về niềm tin và nghĩa vụ

Cuộc đối thoại về niềm tin và nghĩa vụ

Nghị định 70/2025/NĐ-CP có hiệu lực từ ngày 1/6/2025 quy định: hộ kinh doanh có doanh thu trên 1 tỷ đồng/năm, hoạt động trong các lĩnh vực tiêu dùng trực tiếp như quán ăn, khách sạn, bán lẻ, vận tải... bắt buộc phải sử dụng hóa đơn điện tử từ máy tính tiền, kết nối trực tiếp với cơ quan thuế.

Xóa sổ tài khoản 'ngủ đông'

Xóa sổ tài khoản 'ngủ đông'

Trước làn sóng gia tăng tội phạm công nghệ cao và lừa đảo tài chính qua mạng, ngành ngân hàng đang phối hợp các cơ quan liên quan tiến hành làm sạch hệ thống, trong đó có việc xóa sổ hàng chục triệu tài khoản ngân hàng nếu không xác thực danh tính, còn gọi là tài khoản “ngủ đông”.

Khát vọng trung tâm tài chính toàn cầu

Khát vọng trung tâm tài chính toàn cầu

Thế giới hiện có 119 trung tâm tài chính quốc tế, song chỉ có khoảng 20 trung tâm thành công, hiệu quả. 'Sinh sau đẻ muộn', làm sao để trung tâm tài chính tại VN cạnh tranh được với các trung tâm rất lớn của khu vực như Thượng Hải (Trung Quốc), Dubai, Singapore…?

Tăng tốc xử lý tài chính, ngân sách nhà nước trước khi sắp xếp lại đơn vị hành chính

Tăng tốc xử lý tài chính, ngân sách nhà nước trước khi sắp xếp lại đơn vị hành chính

(GLO)- Sở Tài chính Gia Lai và các đơn vị liên quan đang tăng tốc rà soát, tổng hợp số liệu xử lý tài chính, ngân sách nhà nước trước khi tổ chức lại đơn vị hành chính các cấp. Đồng thời, hướng dẫn các đơn vị xây dựng phương án bàn giao nguồn tài chính, ngân sách theo đúng quy định.

Khẩn trương phân bổ vốn chương trình phát triển vùng dân tộc thiểu số

Khẩn trương phân bổ vốn chương trình phát triển vùng dân tộc thiểu số

(GLO)- Tại hội nghị trực tuyến về đánh giá tình hình thực hiện và thúc đẩy tiến độ Chương trình MTQG phát triển kinh tế-xã hội vùng đồng bào DTTS và miền núi năm 2025 do UBND tỉnh Gia Lai tổ chức chiều 4-6, các đại biểu đều cho rằng cần khẩn trương phân bổ vốn để triển khai chương trình này.

Ngành Thuế siết chặt quản lý hóa đơn điện tử

Ngành Thuế siết chặt quản lý hóa đơn điện tử

(GLO)- Thông qua việc siết chặt quản lý hóa đơn điện tử, Chi cục Thuế khu vực XIV đã chủ động phát hiện, cảnh báo và ngăn chặn các hành vi vi phạm nhằm góp phần phòng-chống gian lận thương mại, chống thất thu ngân sách nhà nước.

Đồng Yên mệnh giá 5.000 và 10.000 của Nhật Bản. (Ảnh: Internet)

Quốc gia nào đang là “chủ nợ” lớn nhất thế giới?

(GLO)- Lần đầu tiên sau 34 năm, Nhật Bản không còn là quốc gia nắm giữ vị thế chủ nợ lớn nhất thế giới, khi bị Đức vượt qua về quy mô tài sản ròng ở nước ngoài. Đây là một cột mốc đáng chú ý, diễn ra trong bối cảnh tài sản ròng ở nước ngoài của Nhật vẫn tăng lên mức cao kỷ lục trong năm 2024.

“Nhiệm vụ kép”trong lĩnh vực đầu tư công

“Nhiệm vụ kép” trong lĩnh vực đầu tư công

(GLO)-Để công tác đầu tư công không bị gián đoạn trong quá trình sắp xếp, tinh gọn tổ chức bộ máy của hệ thống chính trị, Gia Lai đang tiến hành “nhiệm vụ kép”: vừa khẩn trương rà soát, tổng hợp các chương trình, dự án; vừa quyết liệt thực hiện mục tiêu giải ngân theo chỉ đạo của Chính phủ.

null