Liên quan tới việc bà Hoàng Thị Na Hương, khách hàng của Ngân hàng TMCP Ngoại thương Việt Nam (Vietcombank), bị người khác chuyển đi 500 triệu đồng từ tài khoản ATM chỉ sau 1 đêm, nhiều người đã đặt ra câu hỏi không có mã OTP sao hoàn thành giao dịch, phải chăng đây là lỗ hổng của ngân hàng.
Tài khoản của bà Hương bị người lạ chuyển đi 500 triệu đồng chỉ sau 1 đêm. |
Trên Dân trí đưa tin, trưa nay 12/8, đại diện Ngân hàng Ngân hàng TMCP Ngoại thương Việt Nam (Vietcombank) cho biết đã tiếp nhận thông báo của khách hàng Hoàng Thị Na Hương về việc tài khoản của khách hàng bị mất số tiền 500 triệu đồng vào đêm ngày 3 rạng sáng ngày 4/8.
Theo đại diện của Vietcombank, sau khi nhận được thông báo của khách hàng, Vietcombank đã có buổi làm việc với khách hàng vào chiều ngày 11/8, cùng tham gia có luật sư (do khách hàng mời).
Trên cơ sở thông tin do khách hàng cung cấp, có cơ sở để xác định khách hàng đã truy cập vào một trang web giả mạo (có địa chỉ http://creatingacreator.com/kob/1/index.htm) vào ngày 28/7/2016 qua máy điện thoại cá nhân. Từ việc truy cập này, thông tin và mật khẩu của khách hàng đã bị đánh cắp, sau đó tài khoản khách hàng đã bị lợi dụng vào đêm ngày 3 rạng sáng ngày 4/8.
Các đối tượng lừa đảo đã chuyển tiền từ tài khoản khách hàng tới nhiều tài khoản trung gian tại 3 ngân hàng khác nhau tại Việt Nam. Sau đó, đối tượng lừa đảo đã rút 200 triệu đồng qua ATM ở Malaysia. Vietcombank đã xử lý các biện pháp khẩn cấp, kịp thời khoanh giữ lại được 300 triệu đồng. Đây là các giao dịch chuyển khoản sang ngân hàng khác, chưa kịp chuyển ra khỏi hệ thống Vietcombank.
Việc mất tiền trong tài khoản xảy ra bởi khách hàng bị đánh cắp thông tin tài khoản do trước đó đã truy cập và khai báo thông tin trên đường link giả mạo website của ngân hàng như trên.
"Vietcombank khẳng định hệ thống của ngân hàng luôn an toàn, bảo mật và cam kết nỗ lực tối đa trong việc hạn chế, ngăn chặn hành vi gian lận để bảo vệ lợi ích chính đáng của khách hàng", Vietcombank nhấn mạnh.
Tuy nhiên, nhiều khách hàng tỏ ra nghi ngờ về hệ thống bảo mật của ngân hàng này, đồng thời cho rằng, lý do ngân hàng đưa ra hoàn thoàn không thuyết phục. Một số ý kiến thắc mắc "từ 19:00 đến 5:00 sang hôm sau VCB đâu có chuyển tiền được đâu".
Độc giả Nguyen Ly cho rằng: "Không thuyết phục, vậy mã otp gửi về sms ở đâu ra để tội phạm có thể thực hiện lệnh rút, trừ khi bị xâm nhập hệ thống".
Bạn Hung thắc mắc: "Vietcombank giải thích sao khi không có OTP gửi đến số điện thoại của khách hàng khi có giao dịch. Có lộ thông tin tài khoản thì việc giao dịch online phải được xác nhận qua số điện thoại người chủ sở hữu tài khoản thì giao dịch mới thực hiện được. Rõ ràng là hệ thống nh có lỗ hổng".
Đồng quan điểm, bạn Cuong Luu nghi ngờ: "Cứ coi như lộ thông tin tài khoản nhưng còn 1 lớp bảo mật nữa đó là mã OTP, tại sao ko có mã OTP gửi về sđt của khách hàng mà giao dịch vẫn thành công? Việc này ngân hàng vải đưa ra lời giải thích cho hệ thống bảo mật 2 lớp của mình?".
Hiện tại, theo vị đại diện của ngân hàng cho biết: "Vietcombank đang phối hợp với khách hàng để làm việc với cơ quan chức năng nhằm làm rõ các đối tượng chủ mưu đã thực hiện các hành vi lừa đảo này. Khách hàng đã đồng ý sẽ cung cấp máy điện thoại có lưu đường link giả mạo để tiếp tục làm việc với cơ quan chức năng".
| OTP là viết tắt 3 chữ cái đầu tiên (acronym) của One Time Password (tạm dịch là mật khẩu dùng một lần). Khi muốn chuyển tiền qua Internet, chủ thẻ cần có tài khoản (account) để đăng nhập, thao tác trên web, trên ĐTDĐ qua Mobile App hoặc qua SMS. Thực ra, quá trình đăng nhập đã yêu cầu bạn nhập mật khẩu nhưng đó là mật khẩu cố định, hay còn gọi là mật khẩu tĩnh. Nó giống như mật khẩu Gmail, Facebook vậy, cứ đăng nhập vào xài cho đến khi thay đổi mật khẩu (change password). Nhưng, sau khi đăng nhập bằng mật khẩu tĩnh người dùng vẫn chưa thể chuyển tiền đi. Vì lý do an toàn, hệ thống cần biết chủ thẻ là “người thật” chứ không phải các hệ thống được lập trình nên để hack tài khoản. OTP sẽ được gửi về cho chủ thẻ qua email, SMS hoặc qua một thiết bị gọi là Token. Email, SMS hay Token là thiết bị riêng tư của mỗi người, trừ khi chủ thẻ bị lộ mật khẩu hay đánh mất Token vào tay kẻ xấu, nếu không thì khó mà hack được cả mật khẩu tĩnh lẫn truy cập được cả email hay ĐTDĐ của chủ thẻ để lấy OTP. Mã số ngẫu nhiên có độ dài cũng ngẫu nhiên. Ngân Hàng Đông Á và HSBC thì có OTP 6 ký tự, ACB 7 ký tự, Vietcombank có đến 10 ký tự. Đông Á, HSBC, ACB thì hết thảy ký tự đều là các con số ngẫu nhiên từ 0 đến 9. |
Đức Hòa (tổng hợp)