Nhiều giả thuyết xung quanh vụ khách hàng mất tiền trong tài khoản Vietcombank
Còn nhiều điểm khó hiểu
Bình luận về sự việc khách hàng của Vietcombank bị mất 500 triệu đồng trong tài khoản gây xôn xao dư luận cuối tuần qua, một chuyên gia an ninh mạng (đề nghị không nêu tên) cho biết, khi giải thích về nguyên nhân của sự việc, ngân hàng Vietcombank mới chỉ nhắc tới việc khách hàng bị mất username (tên người dùng), password (mật khẩu) mà không đề cập tới yếu tố xác thực khi thực hiện giao dịch/chuyển tiền. Trong khi đó, với các giao dịch chuyển tiền, hacker (tin tặc) cần phải có mã xác thực dùng một lần (OPT) để lấy được tiền từ tài khoản của nạn nhân. “Thông thường, OPT được gửi bằng tin nhắn SMS tới số điện thoại của khách hàng đã đăng ký với ngân hàng. Hacker rất khó chiếm được quyền điều khiển điện thoại của khách hàng, nhất là khi khách hàng đang sử dụng điện thoại có tính bảo mật cao như iPhone”. Cũng theo vị chuyên gia này, hacker có thể nghe lén tin nhắn OPT khi tin nhắn được gửi từ ngân hàng tới nhà mạng hoặc từ nhà mạng tới thuê bao, nhưng giả thiết này cũng rất khó xảy ra, vì bảo mật của nhà mạng và ngân hàng đều cao. Các chuyên gia an ninh mạng khác cũng đặt ra một số giả thuyết khác và cho rằng, Vietcombank cần giải thích rõ ràng hơn về sự việc để khách hàng cũng như dư luận hiểu tường tận hơn, có thêm cơ sở để phòng tránh rơi vào tình huống tương tự. Theo một chuyên gia trong lĩnh vực ngân hàng, không loại trừ khả năng trên một giao diện giả mạo Internet Banking của Vietcombank, tin tặc đã từng bước lừa người dùng vào cài đặt Smart OTP mà khách hàng không hay biết. Để kích hoạt được phương thức xác thực mới này, khách hàng sẽ nhận một mã xác thực OTP bằng tin nhắn SMS. Tất nhiên, trên website giả mạo sẽ không hiển thị nội dung thực hiện giao dịch của khách hàng là kích hoạt Smart OTP mà có thể chỉ đơn giản là dẫn dụ để xác nhận một thông tin nào đó về tài khoản.
Phân tích về cơ chế bảo mật của Smart OTP, vị chuyên gia này cũng đưa ra giả thuyết, Smart OTP có thể tạo mã OTP bất kỳ lúc nào, không cần phải có sóng điện thoại. Sơ hở có thể phát sinh nếu Vietcombank cho phép người dùng cài Smart OTP trên một thiết bị di động khác, không phải số điện thoại mà khách hàng đã đăng ký với ngân hàng.
Làm rõ nguyên nhân để có hướng xử lý
Trao đổi với phóng viên Báo ANTĐ, Luật sư Trương Thanh Đức - Chủ tịch Hội đồng thành viên Công ty Luật Basico; đồng thời là Trọng tài viên thuộc Trung tâm Trọng tài quốc tế Việt Nam (VIAC) cho rằng, mã xác thực OPT là tầng bảo mật rất quan trọng khi khách hàng thực hiện các giao dịch trực tuyến với ngân hàng, ngay cả trong trường hợp các tầng bảo mật khác đã kẻ gian phá vỡ. Nếu như tầng bảo mật cuối cùng này cũng bị hacker chiếm mất thì hệ thống bảo mật của ngân hàng quá lỏng lẻo, không đảm bảo an toàn cho khách hàng. “Nếu trường hợp đó đã xảy ra, ngân hàng phải chịu một phần trách nhiệm”- ông Trương Thanh Đức nói.
Với vụ việc đã xảy ra, vị luật sư này cho rằng, khách hàng và ngân hàng cần thương lượng, phối hợp với cơ quan chức năng để tìm ra nguyên nhân thực sự và nếu ngân hàng có lỗi, nên xem xét đền bù cho khách hàng. Đồng thời, ngân hàng cần kịp thời chấn chỉnh hệ thống bảo mật an toàn, đảm bảo chặt chẽ hơn để tránh xảy ra các vụ việc tương tự.
Trước đó, chị Hoàng Thị Na Hương (trú tại phường Trung Hoà, quận Cầu Giấy, Hà Nội) cho biết, trong đêm ngày 3, rạng sáng 4-8, tài khoản Vietcombank của chị đã bị đối tượng nào đó thực hiện 7 giao dịch chuyển khoản với tổng số tiền là 500 triệu đồng. Giải thích về sự việc nghiêm trọng trên, Vietcombank cho biết, có cơ sở để xác định khách hàng đã truy cập vào một trang web giả mạo (có địa chỉ http://creatingacreator.com/kob/1/index.htm) vào ngày 28-7-2016 qua máy điện thoại cá nhân. Từ việc truy cập này, thông tin và mật khẩu của khách hàng đã bị đánh cắp, sau đó tài khoản khách hàng đã bị lợi dụng vào đêm ngày 3 rạng sáng ngày 4-8-2016. Các đối tượng lừa đảo đã chuyển tiền từ tài khoản khách hàng tới nhiều tài khoản trung gian tại 3 ngân hàng khác nhau tại Việt Nam. Sau đó, đối tượng lừa đảo đã rút 200 triệu đồng qua ATM ở Malaysia.
Vietcombank đã xử lý các biện pháp khẩn cấp, kịp thời khoanh giữ lại được 300 triệu đồng. Đây là các giao dịch chuyển khoản sang ngân hàng khác, chưa kịp chuyển ra khỏi hệ thống Vietcombank. Vietcombank cũng khẳng định đang phối hợp với khách hàng để làm việc với cơ quan chức năng nhằm làm rõ các đối tượng chủ mưu đã thực hiện các hành vi lừa đảo này.
