Thảo Luật Chung Chủ thẻ Vietcombank mất 500 triệu

[titani]

VCB bồi thường 300 chẹo rồi. Còn đang đợi bồi thường nốt 200 chẹo nữa.

Hehe, số tiền đó là do chuyển liên bank chưa đi đc, vẫn là tiền của khách chớ ko phải tiền bồi thường. 200 thì bị rút mất rồi.

Chỉ có thể kết luận như này:

VCB xử lý truyền thông quá kém.
Chủ tài khoản bank trao hết info , từ user và pass lẫn mã OTP cho hacker, ko mất hết tiền mới lạ.

vụ này nói ra dài dòng lắm, nhưng từng chi tiết đều có sự giải thích hợp lý và có tính toán hết cả.

 

[ChelseaFC]

Vụ này có cái bí ẩn em chưa hiểu được bằng cách nào nó có được số ĐT của chủ thẻ.
Bởi vì cho dù có truy cập vào trang web giả mạo chi chăng nữa thì phải cần thêm mã xác thực tự động gửi vào ĐT bằng SMS nữa mới có thể thực hiện được giao dịch.

Không lẽ người của nhà mạng điện thoại? Vì OTP cũng có giới hạn thời gian mà...

 

[pheo@]

Hehe, số tiền đó là do chuyển liên bank chưa đi đc, vẫn là tiền của khách chớ ko phải tiền bồi thường. 200 thì bị rút mất rồi.

Chỉ có thể kết luận như này:

VCB xử lý truyền thông quá kém.
Chủ tài khoản bank trao hết info , từ user và pass lẫn mã OTP cho hacker, ko mất hết tiền mới lạ.

vụ này nói ra dài dòng lắm, nhưng từng chi tiết đều có sự giải thích hợp lý và có tính toán hết cả.

Chủ tài khoản ngây thơ dữ ta.

 

[HIRO]

ko tin vcb cung ko biet tin vao ai nua bac oi. 4k toi voi vcb la con so nho ko dang ke dau bac

Bác nói vậy em tạm yên tâm, đang hoảng định rút hết 100k VNĐ còn lại trong thẻ luôn sợ mất.

 

[HIRO]

Không lẽ người của nhà mạng điện thoại? Vì OTP cũng có giới hạn thời gian mà...

Em cũng nghi ngờ như bác, có khả năng liên quan đến người của nhà mạng ĐT.

 

[duykhaihoan]

Về phần VCB có còn an toàn và bảo mật hay không, nếu bạn không tự dưng đưa hết thông tin cho người khác thì tôi nghĩ rằng vẫn đủ an toàn và bảo mật để bạn tiếp tục sử dụng.

Nên nhớ, bảo mật hay không là do chính bản thân bạn mà thôi. Ngay cả trong trường hợp bạn dùng ngân hàng có hardware OTP mà bạn đưa OTP cho người ta đúng lúc thì bạn vẫn mất tiền như thường.

Mình thấy có 1 số câu hỏi cần được giải đáp:

1/ Chị H đã click vào link "lạ" kia từ đâu? Email hay từ tin nhắn nào? Gửi vào lúc nào, gửi từ đâu và nội dung là gì?
Điều này rất là quan trọng vì nó cho ta biết cách tiếp cận của "hacker" và họ đã có thông tin của chị H từ nguồn nào.
2/ Chị H đã cung cấp những thông tin gì khi click vào link đó? Tại sao chị lại đăng nhập user/pass VCB và thậm chí cả OTP vào website đó khi không có nhu cầu chuyển khoản hay giao dịch gì cả.
Thậm chí nếu chị đã giao dịch nhiều qua VCB iBanking thì sẽ phải nhận ra ngay rằng chưa bao giờ đăng nhập VCB mà cần OTP cả.

Mình thấy còn 1 kịch bản nữa. Mình thấy cũng khá khả thi:

Một người quen tương đối thân của chị H, trong 1 thời điểm nào đó có thể cầm được vào điện thoại của chị và nhanh chóng activate SmartOTP trên điện thoại của mình, sau đó xóa tin nhắn SMS OTP trên điện thoại của chị đi.

- Điều này lý giải được 2 vấn đề: biết số điện thoại của chị và có đọc được tin nhắn OTP, đồng thời có khả năng xóa luôn tin nhắn đó.
- Phía VCB cũng đưa ra thông tin là tin nhắn activate SmartOTP được gửi đi cho chị nhưng tin nhắn đó đã bị xóa trên máy của chị.

Tiếp theo, có thể trước hoặc sau khi activate SmartOTP, người đó đã cài được Trojan vào máy tính của chị hoặc dụ chị bấm vào 1 link phishing và cung cấp user/pass của VCB.
Cũng có thể người đó đã cài trojan từ lâu và có user/pass của chị, trang web kia chỉ là 1 đòn đánh lạc hướng điều tra mà thôi.
Có được cả 2 rồi thì chỉ cần lên kế hoạch rút tiền, lập account/thẻ ở 1 số ngân hàng khác nhau, tìm kiếm 1 đồng bọn hoặc chính bản thân bay qua Malaysia, canh lúc tài khoản có tiền rồi chuyển đi và rút ngay.
Đây là kịch bản hoàn toàn khả thi nhất và bất kỳ 1 người nào có 1 chút hiểu biết về công nghệ + iBanking đều có thể thực hiện được, với điều kiện là có thể cầm được điện thoại của chị H.

Tôi đã sài VCB khá lâu và tôi tin kô thể có chuyện dễ dàng chuyển tiền ra ngoài một cách đơn giản như chị H. miêu tả.

 

[HIRO]

Chủ tài khoản ngây thơ dữ ta.

Chưa chắc là do ngây thơ đâu bác, chủ tài khoản lúc đó đang ngủ thì bằng cách nào trao hết thông tin user và pass lẫn mã OTP cho hacker.


Hé lộ nguyên nhân chủ tài khoản Vietcombank bị mất 500 triệu đồng

19:35, Thứ Ba, 16/08/2016 (GMT+7)
Câu chuyện chị Hoàng Thị Na Hương sau 1 đêm bị mất 500 triệu đồng từ tài khoản Vietcombank đang thu hút sự quan tâm của dư luận và khiến nhiều người lo ngại khi để tiền trong ngân hàng điện tử.

Cụ thể, vào đêm ngày 03 rạng sáng ngày 04/8/2016, tài khoản Vietcombank của chị Hương đã bị đối tượng xấu thực hiện giao dịch chuyển nhiều lần sang ngân hàng khác với tổng số tiền của các giao dịch là 500 triệu đồng. Các đối tượng lừa đảo đã chuyển tiền từ tài khoản khách hàng tới nhiều tài khoản trung gian tại 3 ngân hàng khác nhau tại Việt Nam. Sau đó, đối tượng đã rút 200 triệu đồng qua ATM ở Malaysia. Vietcombank đã xử lý các biện pháp khẩn cấp, kịp thời khoanh giữ lại được 300 triệu đồng vẫn chưa kịp chuyển ra khỏi hệ thống Vietcombank.

Phía Vietcombank cho biết đã có buổi làm việc với chị Na Hương vào chiều ngày 11/8/2016. Trên cơ sở thông tin thu thập được cùng các biện pháp kỹ thuật nghiệp vụ, ngân hàng có cơ sở xác định chị Hương đã truy cập vào một trang web giả mạo (có địa chỉ http//creatingacreator.com/kob/1/index.htm ) vào ngày 28/7/2016 qua điện thoại cá nhân. Từ việc truy cập này, thông tin và mật khẩu tài khoản Internet Banking của chị Hương đã bị đánh cắp, sau đó các đối tượng lừa đảo đã thực hiện hành vi rút tiền trái phép vào đêm ngày 3 rạng sáng ngày 04/8/2016.
[xtable=skin1|bcenter|600x@]
{tbody}
{tr}
{td}

{/td}
{/tr}
{tr}
{td}Chị Hoàng Thị Na Hương trao đổi về sự việc với PV báo VTC1 (ảnh cắt từ clip){/td}
{/tr}
{/tbody}
[/xtable]
Trước thắc mắc của chị Hương là tại sao chị không hề nhận được tin nhắn chứa mã OTP để xác thực giao dịch khi kẻ gian tiến hành. Tại sao tiền vẫn bị lấy mất? Đối tượng xấu đã thực hiện giao dịch chuyển khoản liên ngân hàng ở khung giờ ngoài giờ hành chính mà giao dịch vẫn hoàn thành nhanh chóng.

Qua sự việc xảy ra với chị Hương nhiều người dùng thường xuyên sử dụng dịch vụ Internet Banking của Vietcombank mới biết rằng hóa ra ngoài giờ hành chính (tầm sau 7h tối), khách hàng vẫn có thể chuyển khoản liên ngân hàng thành công được (đây là chuyển khoản liên ngân hàng chứ không phải chuyển vào thẻ trực tiếp). Trong khi thông báo của VCB tới khách hàng là trong khung thời gian từ khoảng 7h tối đến 7h sáng sẽ không thực hiện được giao dịch chuyển tiền liên ngân hàng vì khi đó hệ thống đang đóng để đồng bộ giao dịch. Thực tế là sau 5h sáng, hệ thống ngân hàng điện tử của VCB đã có thể chuyển khoản liên ngân hàng được.

Từ những thông tin trao đổi trên báo chí thì phía ngân hàng Vietcombank cáo buộc tin nhắn OTP gửi đến máy điện thoại của chị Hương để xác thực việc sử dụng dịch vụ SmartOTP đã bị xóa trên máy điện thoại của chị.

Một khi một tài khoản khách hàng đăng ký thành công dịch vụ SmartOTP thì có thể thực hiện chuyển khoản Internet Banking mà không cần mã xác thực OTP đối với mỗi giao dịch chuyển tiền. Cụ thể hơn, đây là dịch vụ do Vietcombank cung cấp trong đó sử dụng ứng dụng VCB SmartOTP chạy trên điện thoại di động tạo ra mã xác thực khi thực hiện giao dịch trên các dịch vụ của Vietcombank. Để đăng ký sử dụng VCB Smart OTP, khách hàng cần phải nhận mã OTP do ngân hàng gửi về số điện thoại đăng ký để kích hoạt dịch vụ này.
[xtable=skin1|bcenter|600x@]
{tbody}
{tr}
{td}

{/td}
{/tr}
{tr}
{td}Thao tác đăng ký dịch vụ Smart OTP trên tài khoản iBanking của Vietcombank{/td}
{/tr}
{/tbody}
[/xtable]
Như vậy, trong trường hợp của chị Hương, có khả năng kẻ gian đã kích hoạt dịch vụ SmartOTP sau khi có được tài khoản đăng nhập Internet Banking của chị Hương. Vấn đề mấu chốt ở đây là làm sao kẻ gian có được mã OTP gửi về máy điện thoại của chị sau khi kích hoạt dịch vụ này. Nếu máy điện thoại của chị Hương đã bị dính mã độc (Trojan) và nội dung tin nhắn SMS (bao gồm cả tin nhắn mã OTP) cũng có thể được tin tặc lấy cắp thì sự việc này có thể hiểu được. Trong thời gian đi ngủ, chị Hương tắt máy điện thoại và khi đó đồng nghĩa với điện thoại đã bị ngắt kết nối Internet nhưng rất có thể tin tặc đã thực hiện đăng ký dịch vụ SmartOTP từ trước thời điểm chị Hương tắt điện thoại, tin tặc cũng có thể chủ động xóa tin nhắn SMS trên máy điện thoại của chị, giả thuyết nào cũng có thể xảy ra.

Sự việc xảy ra với chị Hương chưa có kết luận cuối cùng của các cơ quan chức năng nhưng ngày 11/8 vừa qua, nhiều khách hàng của Vietcombank bất ngờ bị dừng dịch vụ Smart OTP mà không hề nhận được thông báo từ trước. Động thái này của Vietcombank khiến nhiều khách hàng thấy hoang mang vì không hiểu có vấn đề gì đang xảy ra với hệ thống hay không. Trước đó, ngày 10/8, Vietcombank đã phát đi cảnh báo với nội dung: “VCB khuyến cáo khách hàng tuyệt đối không cung cấp tên/mật khẩu truy cập Ngân hàng điện tử, mã OTP, số thẻ qua điện thoại, email, mạng xã hội, web, link lạ…”. Tuy nhiên, ngân hàng không nhắc gì về việc ngừng dịch vụ Smart OTP.

Vấn đề an toàn thông tin trên Internet tại Việt Nam thời gian qua đã nóng lên sau sự việc nhóm tin tặc Trung Quốc tấn công vào hệ thống website của hãng hàng không quốc gia Vietnam Airlines, đồng thời dữ liệu của hơn 400.000 tài khoản khách hàng tham gia chương trình Bông Sen Vàng cũng bị rò rỉ. Liệu có phải là một sự tình cờ không khi chị Na Hương, khách hàng bị mất 500 triệu qua hệ thống iBanking của Vietcombank sau 1 đêm cũng là hội viên Bông Sen Vàng của Vietnam Airlines. Chưa hề có bằng chứng rõ ràng về mối liên quan giữa 2 sự việc trên nhưng những cảnh báo dành cho người dùng là không hề thừa.

Người dùng cần hết sức cảnh giác trước những liên kết lạ, đặc biệt khi gõ những tài khoản quan trọng liên quan đến tiền bạc nên nhìn lại đường dẫn có chính xác từ những địa chỉ uy tín và đường dẫn website trên trình duyệt có chuyển sang màu xanh lá cây hay không cùng với biểu tượng ổ khóa ở đầu. Đây là biểu tượng thể hiện website đã được trang bị công nghệ bảo mật EV (Extended Validation) đảm bảo an toàn giao dịch.

Ngoài ra, người dùng nên tránh dùng các ứng dụng hack/crack/cheating được chia sẻ trên mạng khi chơi game hoặc muốn bẻ khóa phần mềm. Đây cũng là một nguồn phát tán mã độc hay trojan đáng kể hiện nay. Hãy tỉnh táo trước những nguy cơ rủi ro có thể xảy ra trong thế giới mạng.
http://www.vnmedia.vn/the-gioi-phan...oan-vietcombank-bi-mat-500-trieu-dong-539181/

 

[titani]

Chưa chắc là do ngây thơ đâu bác, chủ tài khoản lúc đó đang ngủ thì bằng cách nào trao hết thông tin user và pass lẫn mã OTP cho hacker.

Bác đọc và search sẽ thấy chị này đăng nhập vào cái web VCB giả mạo vào cuối tháng 7 lận, hacker đã biết user và pass vào thời điểm đó, chiếm luôn cái SmartOTP lúc đó luôn rồi. Có user và pass thì sẽ check đc account, check log và thấy đc nguồn tiền của chị này khá lớn, hacker sẽ chờ để khi nào tiền nhiều, gom 1 cú. Hình như tui đọc ở đâu đó thì số tiền 500tr cũng mới vừa đc chuyển vào để chị này chuẩn bị hôm sau giao dịch, thì tối đó bị cuỗm.

Chị này click vào link giả mạo trên điện thoại, có thể nguồn qua email, cách đây gần 1 tháng có vụ lộ info của thành viên bông sen vàng của VN Airline, có thể hacker đã biết đc 1 bộ gồm số phone, số tk bank và email của chị này. Gửi mail giả mạo đến, chị này click vào, điền user và pass -> hacker biết đc gửi vào số phone request code SmartOTP , trên web giả mạo hiện tiếp box nhập code SMS đó, chị này ko biết gì, vì vẫn nghĩ đây là trang web thật -> dính chưởng.

Còn 1 trường hợp nữa là phone chị này bị mượn để cài SmartOTP trên 1 thiết bị khác, cái này là do lỗi quy trình của cấp SmartOTP version cũ, hiện tại khác rồi.

 

[HIRO]

Bác đọc và search sẽ thấy chị này đăng nhập vào cái web VCB giả mạo vào cuối tháng 7 lận, hacker đã biết user và pass vào thời điểm đó, chiếm luôn cái SmartOTP lúc đó luôn rồi. Có user và pass thì sẽ check đc account, check log và thấy đc nguồn tiền của chị này khá lớn, hacker sẽ chờ để khi nào tiền nhiều, gom 1 cú. Hình như tui đọc ở đâu đó thì số tiền 500tr cũng mới vừa đc chuyển vào để chị này chuẩn bị hôm sau giao dịch, thì tối đó bị cuỗm.

Chị này click vào link giả mạo trên điện thoại, có thể nguồn qua email, cách đây gần 1 tháng có vụ lộ info của thành viên bông sen vàng của VN Airline, có thể hacker đã biết đc 1 bộ gồm số phone, số tk bank và email của chị này. Gửi mail giả mạo đến, chị này click vào, điền user và pass -> hacker biết đc gửi vào số phone request code SmartOTP , trên web giả mạo hiện tiếp box nhập code SMS đó, chị này ko biết gì, vì vẫn nghĩ đây là trang web thật -> dính chưởng.

Còn 1 trường hợp nữa là phone chị này bị mượn để cài SmartOTP trên 1 thiết bị khác, cái này là do lỗi quy trình của cấp SmartOTP version cũ, hiện tại khác rồi.

Em chưa sử dụng ứng dụng VCB trên ĐT nên không rõ nhưng cái OTP(one time password) nghĩa là mật khẩu chỉ sử dụng một lần. Do đó đâu thể cài đặt mặc định được, mỗi giao dịch sẽ có cái OTP khác nhau và nó chỉ gửi cho số ĐT đã đăng ký. Thời điểm giao dịch mà không có SIM điện thoại của chủ tài khoản thì làm sao có được mã OTP.

 

[duykhaihoan]

Em chưa sử dụng ứng dụng VCB trên ĐT nên không rõ nhưng cái OTP(one time password) nghĩa là mật khẩu chỉ sử dụng một lần. Do đó đâu thể cài đặt mặc định được, mỗi giao dịch sẽ có cái OTP khác nhau và nó chỉ gửi cho số ĐT đã đăng ký. Thời điểm giao dịch mà không có SIM điện thoại của chủ tài khoản thì làm sao có được mã OTP.

Nếu thủ phạm đã nhanh tay lấy được đt của thân chủ và tranh thủ kích hoạt OTP và cái app VCB OTP lên thiết bị khác (đã được kích hoạt), thì coi như đã nắm quyền làm chủ tài khoản (nhưng vẫn phải kèm điều kiện có tài khoản và password). Chỉ cần login và chuyển tiền, rồi nhập mã OTP từ phần mềm VCB OTP sinh ra mà thôi.