Tài chính

Thực hư chuyện hacker nắm tài khoản khách hàng, lừa lấy thêm OTP

09:35 | 17/10/2019

Chia sẻ

Gần đây trên mạng xã hội lan truyền câu chuyện những kẻ lừa đảo đã nắm được thông tin của khách hàng, thậm chí biết rõ đến từng số tiền và nội dung giao dịch, lại có khả năng “khóa” tài khoản khách hàng khiến nhiều người thực sự cảm thấy lo lắng về tài khoản ngân hàng của mình. Vụ việc đang được xác thực thông tin cụ thể.
Thực hư chuyện hacker nắm tài khoản khách hàng, lừa lấy thêm OTP - Ảnh 1.

Các vụ lừa đảo lấy mật khẩu, mã OTP của khách hàng diễn ra ngày càng nhiều và tinh vi hơn. Nguồn: VNE.

Sự việc được chia sẻ nhiều diễn ra ở tài khoản của một người bán hàng trực tuyến trên mạng xã hội Facebook. Người này mô tả sự việc rằng đã nhận được cuộc điện thoại từ một người tự xưng là nhân viên ngân hàng T, yêu cầu xác thực thông tin giao dịch mà khách hàng đã thực hiện.

Để tạo lòng tin, kẻ tự xưng là nhân viên ngân hàng đã đọc đúng toàn bộ các giao dịch của ngày hôm trước và cả số thẻ ATM nên khiến chủ nhân bất ngờ. 

Sau đó, kẻ lừa đảo này chọn giao dịch có giá trị lớn nhất, cũng đọc đúng số tiền và nội dung chuyển khoản, nói rằng không xác định được người gửi tiền nên nhờ chủ tài khoản xác định và yêu cầu đọc lại mã OTP (mật khẩu chỉ sử dụng một lần), nếu không tài khoản sẽ bị phong tỏa tài khoản trong 72 tiếng và số tiền giao dịch trên sẽ chuyển hoàn trở lại.

May mắn là chủ nhân của tài khoản ở ngân hàng T. nói trên không chịu cung cấp mã OTP, nhưng sau đó, chuyện kỳ lạ nữa là tài khoản ngân hàng của khách hàng bị treo 10 phút không giao dịch được, như lời dọa của người gọi. Khách hàng này sau đó phải đến phòng giao dịch của ngân hàng để trao đổi thông tin cụ thể.

Trao đổi với TBKTSG Online, người đại diện ngân hàng T. cho biết ngân hàng đã tiếp nhận thông tin và đang tiến hành các nội dung xác thực để phản hồi cho khách hàng.

Thực hư chuyện hacker nắm tài khoản khách hàng, lừa lấy thêm OTP - Ảnh 2.

Ngoài chia sẻ trên, chủ tài khoản L.T. còn cung cấp hình chụp tin nhắn các giao dịch ngân hàng của mình. Ảnh chụp màn hình điện thoại.

Theo ông Ngô Tuấn Anh, Phó Chủ tịch phụ trách An ninh mạng của Tập đoàn BKAV, những thông tin từ phía khách hàng đang lan truyền trên mạng xã hội hiện nay chưa đủ để khẳng định điều gì. “Mấu chốt của vấn đề nằm ở chỗ khách hàng nói rằng đã bị “hack” tài khoản trong vòng 10 phút, nên sẽ có nhiều kịch bản khác nhau”, ông Tuấn Anh nói.

Theo đó, nếu sự việc đúng như khách hàng nói thì kịch bản có khả năng xảy ra cao nhất là khách hàng đã bị mất mật khẩu tài khoản, nên kẻ lừa đảo có thể đăng nhập, xem được lịch sử giao dịch, và bắt đầu gọi điện thoại để lừa lấy thêm mã OTP nhưng không thành công. Từ phía khác, việc ngân hàng bị lộ thông tin cũng là một khả năng có thể xảy ra dù rất thấp.

Một kịch bản khác nữa là khách hàng có thể bị lộ thông tin giao dịch ở nhiều nguồn khác nhau, một trong số đó có thể là sao kê ngân hàng ở một cửa hàng nào đó mà khách hàng đã giao dịch, trong đó có đầy đủ thông tin như số tài khoản, họ tên, số tiền và nội dung giao dịch.

Ở những trường hợp này, việc khóa tài khoản xảy ra cũng có thể là do kẻ lừa đảo cố tình đăng nhập sai mật khẩu, sau đó hệ thống ngân hàng tự động khóa lại trong một khoảng thời gian ngắn để bảo đảm an toàn cho chủ tài khoản.

Những cuộc gọi lừa đảo khách hàng diễn ra từ lâu nhưng trong vòng 2 năm trở lại đây, các vụ việc diễn ra thường xuyên hơn và mức độ lừa đảo được đánh giá ngày càng tinh vi.

Ngày 1-10, báo Vietnamnet dẫn lại thông tin từ Công an TPHCM cho biết, cơ quan này đang làm rõ đơn trình báo của bà N.V.Q. (46 tuổi, ngụ quận Bình Tân) về việc bị mất 11 tỉ đồng trong 2 tài khoản ngân hàng, sau cuộc gọi điện thoại của đối tượng tự xưng là nhân viên ngân hàng và một đối tượng khác tự xưng là cán bộ công an điều tra. Bà Q cho biết đã cung cấp thông tin tài khoản ngân hàng của mình, bao gồm cả mật khẩu.

Trong khi đó, thông tin từ báo Thanh Niên cho biết, nhóm đối tượng sử dụng công nghệ cao có khả năng cài đặt số điện thoại “ảo”, khiến cho điện thoại của nạn nhân hiện ra số điện thoại của ngành Công an hoặc Tòa án. Người dân tra lại số thì đúng với thực tế nên nhiều người tin đây là cuộc gọi thực sự từ cơ quan chức năng.

Thực hư chuyện hacker nắm tài khoản khách hàng, lừa lấy thêm OTP - Ảnh 3.

Cảnh báo khách hàng cẩn trọng với giao dịch điện tử của một ngân hàng. Nguồn: TPBank

Công nghệ cao giúp khách hàng giao dịch thuận tiện hơn nhưng cũng đem lại rủi ro với những ai chưa có hiểu biết đầy đủ về các sản phẩm và dịch vụ tài chính. Ngành ngân hàng không ngừng nỗ lực cải thiện công nghệ bảo mật nhưng các vụ lừa đảo vẫn diễn ra liên tiếp không ngừng.

Ông Nguyễn Thành Long, Phó Tổng giám đốc VPBank cho biết, các ngân hàng luôn phải đấu tranh với các thủ đoạn lừa đảo tinh vi lợi dụng thông tin, đặc biệt là tình trạng giả danh ngân hàng, yêu cầu khách hàng cung cấp OTP để chiếm đoạt tiền của khách hàng, làm tổn hại đến uy tín nhà băng. “Nếu có người tự xưng là nhân viên ngân hàng yêu cầu cung cấp thông tin về thẻ hay mã OTP, chắc chắn đó là đối tượng lừa đảo”, ông Long khẳng định.

Việc giữ bảo mật mã OTP được xem là mấu chốt quan trọng để khách hàng chặn các giao dịch bất hợp pháp và hầu như ngân hàng nào cũng khuyến cáo điều này với khách hàng, rằng “không cung cấp mã OTP cho bất kỳ ai, kể cả nhân viên ngân hàng”.

Phương thức xác thực OTP (One-Time Password, mã xác thực một lần) được sử dụng để xác nhận các giao dịch của khách hàng. Mã OTP có thể được gửi đến khách hàng dưới nhiều hình thức như tin nhắn (SMS), hoặc các loại Token mà ngân hàng cung cấp.


Để tăng cường bảo mật, ngày 1-7 vừa qua, theo yêu cầu của Ngân hàng Nhà nước, các ngân hàng đồng loạt chuyển đổi phương thức xác thực OTP mới là Smart OTP. Theo đó, mã giao dịch được tạo ra trên ứng dụng di động của ngân hàng, có cấp độ an toàn cao hơn so với phương thức truyền thống là tin nhắn SMS. Nhiều ngân hàng đã bắt buộc khách hàng phải sử dụng Smart OTP với những giao dịch có giá trị lớn.

Dũng Nguyễn