Bài viết trên diễn đàn Whitehar đã đề cập tới tình trạng một vài chủ tài khoản ngân hàng đã trở thành nạn nhân bị đánh cắp số tiền lớn, thậm chí lên tới hàng trăm triệu đồng mà không hề hay biết.
Theo báo Thanh niên, một khách hàng ở TP HCM đã bị rút 406 triệu đồng trong tài khoản. Đáng chú ý, chỉ trong vòng 7 phút, đã có tới 4 giao dịch được thực hiện, sau đó toàn bộ số tiền 406 triệu đồng trong tài khoản của khách hàng này đã “không cánh mà bay”.
Phía ngân hàng cũng cho biết đã ghi nhận 4 giao dịch chuyển khoản nói trên đều hợp lệ và đã có 8 tin nhắn được gửi đến số điện thoại của chủ tài khoản.
Tuy nhiên, bản thân vị khách hàng khẳng định là mình không thực hiện bất kì giao dịch nào và cũng không biết người thụ hưởng là ai. Đặc biệt, khách hàng này cũng không nhận được mã xác thực OTP cũng như thông báo về biến động số dư qua tin nhắn SMS như thường lệ.
Trong các giao dịch ngân hàng trực tuyến, khách hàng thường được yêu cầu nhập mã xác thực OTP.
Đây là loại mật khẩu đặc biệt chỉ có thể sử dụng một lần và bị giới hạn thời gian sử dụng, thông thường sẽ bị mất hiệu lực trong vài phút.
Loại mã này là do ngân hàng cung cấp, sẽ được gửi về máy điện thoại của khách hàng thông qua tin nhắn SMS mỗi lần có yêu cầu thực hiện giao dịch.
Chỉ đến khi vị khách hàng này đến chi nhánh ngân hàng để làm lệnh chuyển tiền mới phát hiện ra tài khoản của mình chỉ còn lại 5 triệu đồng.
Vị khách hàng cho biết trước đó không cung cấp, chia sẻ tên truy cập dịch vụ hay mật khẩu ngân hàng cho bất cứ ai.
Trong vụ việc lần này, hiện vẫn chưa rõ lỗi thuộc về bên nào. Tuy nhiên, thực tế trong thời gian vừa qua cho thấy tần suất các vụ việc tương tự xảy ra ngày càng nhiều với các chiêu thức ngày càng tinh vi hơn.
Điều này khiến không ít người đang sử dụng các dịch vụ ngân hàng cảm thấy hoang mang bởi không biết bằng cách nào kẻ xấu đã qua mặt cả chủ tài khoản và sự bảo mật của ngân hàng để đánh cắp số tiền lớn như vậy.
Qui trách nhiệm ngân hàng đúng hay khách hàng đúng
Theo diễn đàn Whitehat tại Việt Nam, lỗ hổng ở đây chính là điểm yếu công nghệ trong phương thức xác thực SMS OTP, nơi mà kẻ xấu đã lợi dụng điều này để tấn công lừa đảo (còn gọi 'phishing') mà nạn nhân không hề hay biết.
Whitehat đã đề cập hai kịch bản, theo đó hacker có thể dựng lên để lừa người sử dụng.
Ở kịch bản thứ nhất, kẻ xấu sẽ lừa nạn nhân nhập mã OTP vào một website giả mạo (ngân hàng, dịch vụ chuyển tiền…) để chiếm mã OTP, từ đó tạo ra giao dịch chuyển tiền giả mạo.
Đối với kịch bản thứ hai, kẻ xấu sẽ lừa nạn nhân cài đặt một phần mềm gián điệp trên điện thoại. Phần mềm này sẽ theo dõi tất cả thông tin, bao gồm cả tin nhắn SMS chứa mã OTP và các thông tin đăng nhập vào ứng dụng Mobile Banking. Sau khi lấy được các thông tin này, hacker sẽ có thể tạo ra các giao dịch chuyển tiền giả mạo.
Theo báo Dân trí, ông Ngô Tuấn Anh, Phó chủ tịch phụ trách an ninh mạng của Bkav cho biết: "Việc qui trách nhiệm ngân hàng đúng hay khách hàng đúng, sẽ không thể xử lí được triệt để bởi OTP là công nghệ không có tính 'chống chối bỏ', nghĩa là không có khả năng xác định chính xác và qui trách nhiệm ai thực hiện giao dịch. Giải pháp duy nhất hiện nay đáp ứng về mặt công nghệ và pháp lí của chống chối bỏ là chữ kí số."
Tuy nhiên, theo qui định hiện hành của Ngân hàng nhà nước Việt Nam, chữ kí số chỉ áp dụng cho hạn mức giao dịch trực tuyến ở mức rất cao, do đó không khuyến khích được các ngân hàng hay khách hàng sử dụng giải pháp đảm bảo này
“Chúng tôi cho rằng Ngân hàng nhà nước nên điều chỉnh hạn mức này thấp hơn để chữ kí số được sử dụng nhiều hơn, các giao dịch được đảm bảo an toàn”, ông Tuấn Anh cho biết thêm.
Ngoài ra, các chuyên gia bảo mật từ Whitehat cũng khuyến cáo người sử dụng cần cảnh giác trước các chiêu thức tấn công lừa đảo của kẻ xấu, đồng thời cài đặt thường trực phần mềm phòng chống mã độc trên máy tính và thiết bị di động của mình.
Theo thống kê của Viettel Cyber Security, trong tháng 3 và tháng 4/2020, đã có gần 100 tên miền lừa đảo mới được đăng kí. Trong đó, các tên miền có liên quan tới tài chính, ngân hàng chiếm hơn 6%. Tỉ lệ này tăng lên 27% vào tháng 6 và tháng 7/2020.
Các chuyên gia an ninh mạng cho biết, nhiều người sử dụng Internet Banking của ngân hàng là nạn nhân của nhiều cuộc tấn công lừa đảo trực tuyến.
Theo ngân hàng Agribank, lợi dụng tình hình đại dịch Covid-19 phức tạp, các đối tượng lừa đảo đã phát tán mã độc thông qua thông tin cập nhật về dịch bệnh và cách phòng tránh gửi tới khách hàng trên email, SMS, các ứng dụng mạng xã hội, hoặc lập số điện thoại gần giống số đường dây nóng của ngân hàng.
Sau đó, các đối tượng đã lừa người dùng cung cấp thông tin để chiếm đoạt tài khoản ngân hàng.
Ngoài cách gửi thông tin về Covid-19, các đối tượng còn lừa người dùng cung cấp thông tin bằng "Phishing website link".
Các đường link dẫn, tin nhắn lừa đảo có tiêu đề và nội dung liên quan đến dịch Covid-19, sau đó yêu cầu người dùng bấm chọn vào đường dẫn đính kèm trong mail.
Khi truy cập vào đường dẫn, hoặc đơn giản chỉ bấm chọn mở email, tin nhắn, thiết bị của người dùng có khả năng cao bị mã độc xâm nhập và đánh cắp thông tin. Đối tượng còn yêu cầu người dùng cung cấp thông tin đăng nhập Internet Banking để chiếm đoạt tiền trong tài khoản.
Cục An toàn thông tin (Bộ TT-TT) khẳng định, cùng với sự bùng nổ của công nghệ 4.0, những lỗ hổng mất an toàn ngày càng gia tăng với tốc độ khoảng 300% mỗi năm. Trong các cuộc tấn công này, ngân hàng là một trong những đích ngắm thường xuyên của tội phạm mạng.
Để chủ động phòng ngừa, ngăn chặn tổn thất, rủi ro có thể xảy ra, ngân hàng lưu ý khách hàng không nhập mật khẩu đăng nhập, mã OTP trên các trang mạng không rõ nguồn gốc, hoặc đường link không rõ nguồn gốc.
Chủ tài khoản không cung cấp các thông tin bảo mật như tên đăng nhập, mật khẩu đăng nhập, mã OTP và nội dung các tin nhắn thông báo từ ngân hàng cho bất kì ai, kể cả người tự xưng là công an, cơ quan điều tra, nhân viên ngân hàng, hoặc yêu cầu từ email, SMS, mạng xã hội.
Ngoài ra, khách hàng không nên cung cấp thông tin, đưa thông tin giao dịch lên mạng, đặc biệt là những giao dịch bán hàng online, không thực hiện giao dịch trên các thiết bị công cộng hay lưu thông tin tự động đăng nhập ngân hàng điện tử trên các thiết bị lạ.
Các ngân hàng khác như Eximbank, ngân hàng Bắc Á hay SeABank cũng lên tiếng cảnh báo khách hàng về các chiêu trò lừa đảo liên quan đến dịch vụ ngân hàng điện tử (Mobile Banking, Internet Baning), thanh toán trực tuyến qua mạng và việc cấp lại mật khẩu đăng nhập.
"Khách hàng chỉ nhập thông tin thẻ trên website biết rõ nguồn gốc, website bán hàng có danh tiếng. Không nhập thông tin thẻ trên website lạ, không cung cấp OTP xác thực giao dịch qua thẻ", Eximbank cảnh báo.
Trong trường hợp nghi ngờ bị lộ thông tin thẻ hoặc ngân hàng điện tử, người dùng cần liên hệ ngay đường dây nóng của các ngân hàng để được hỗ trợ kịp thời.