TCDN - Chỉ trong vòng 2 phút, chị N.T.M.K (Hà Nội), một khách hàng của VPBank bị hacker lừa hơn 460 triệu đồng. Hàng loạt dấu hỏi, mâu thuẫn đặt ra chưa được giải đáp khiến nhiều người không khỏi hoang mang.

Siêu lừa đảo công nghệ cao: 2 phút, 18 giao dịch và hơn 460 triệu đồng 

Chiều 4/12, chị N.T.M.K nhận tin nhắn thông báo trúng 1 sổ tiết kiệm từ “SAN SO LOC VANG” và yêu cầu truy cập vào website http://trian.bank-vp.com để nhận giải, kèm theo số điện thoại 02439959368.

Khi chị M.K. đăng nhập vào website trên thì hiện tên miền https://online.vpbank.com.vn/cb/pages/jsp-ns/login-cons.jsrp), giao diện màu sắc logo, phông chữ, nền… giống hệt website thật của ngân hàng VPBank.

"Tôi yên tâm khi khẳng định đó là website của VPBank nên gõ tên đăng nhập và mật khẩu vào hệ thống”, chị M.K nói.

Sau đó, chị nhận được điện thoại hỏi đích danh tên chị (cả tên cũ và tên mới chuyển đổi), người ở đầu dây bên kia đọc luôn 4 số đầu và 4 số cuối của cái thẻ tín dụng mà chị đang sử dụng.

Ảnh chụp màn hình web giả mạo. Ảnh VPB

Do nghi ngờ, chị M.K gọi điện kiểm tra với nhân viên ngân hàng Vpbank. Trong lúc điện thoại, di động của chị M.K nhận tin nhắn với nội dung chị đã vay ngân hàng 360 triệu đồng.

Khoảng 5 giây sau, chị M.K tiếp tục nhận được tin nhắn vay thêm 90 triệu đồng. Tiếp 2 giây nữa, chị nhận được tin nhắn báo tài khoản bị trừ 3.507.700 đồng, rồi 500.000 đồng, 500.000 đồng… liên tiếp cứ 2-5 giây lại có giao dịch trừ 500.000 đồng.

Tổng cộng chị M.K nhận được 18 tin nhắn với 2 giao dịch vay tổng cộng 450 triệu đồng và 16 tin nhắn bị trừ 11,5 triệu đồng trong tài khoản.

Nhiều thông tin mâu thuẫn nhau

Chiều tối 4/12, VPBank cho biết đã báo cáo vụ việc tới cơ quan chức năng để được điều tra làm rõ, và sẽ phối hợp cung cấp thông tin kịp thời để vụ việc sớm có kết luận, đảm bảo quyền lợi của khách hàng.

Ngân hàng này cũng cung cấp sao kê các giao dịch của khách hàng trong thời gian từ 16:23p đến 16:24p:23s ngày 4/12, trong đó có 3 giao dịch đầu tiên và theo trình tự là đăng nhập hệ thống ngân hàng để khởi tạo yêu cầu đổi phương thức nhận OTP từ SMS sang email; xác nhận việc đổi phương thức nhận OTP và chuyển đổi thành công.

Cũng theo VPBank, ngay sau khi thực hiện đổi phương thức nhận mã OTP thành công sang email, tài khoản này đã phát sinh loạt giao dịch: 1 chuyển tiền, 15 giao dịch mua mã thẻ; khởi tạo hai khoản vay 360 triệu đồng và 90 triệu đồng bằng cách cầm cố sổ tiết kiệm.

Tuy nhiên, trao đổi với PV, khách hàng N.K.M cho biết, trong thời gian từ 16:23p đến 16:24p:23s chị chỉ nhận được tin nhắn với nội dung thông báo “thay đổi phương thức OTP” thậm chí còn không nêu cụ thể là từ SMS sang email. Chị này khẳng định không nhận được thông báo chuyển đổi phương thức nhận mã OTP thành công tại thời khắc 16:24p:23s như VPBank thông tin.

Các tin nhắn về giao dịch được gửi tới điện thoại của khách hàng.

Đáng chú ý, ngay sau khi đổi phương thức nhận OTP thành công, hai giao dịch vay 360 triệu đồng và 90 triệu đồng dồn dập đến với thông báo là đã vay thành công và được giải ngân. Ngay sau đó tới tin nhắn tài khoản bị trừ hơn 3,5 triệu đồng với lý do khách hàng bị phạt vì không vay được. Các nội dung tin nhắn trên rất mâu thuẫn với nhau.

Khách hàng bị hack email hay hệ thống VPBank bị hack?

Phía ngân hàng cho biết trong thời gian từ 16:23p đến 16:24p:23s có ba giao dịch phát sinh và việc chuyển đổi phương thức nhận mã OTP của khách hàng đã thành công và địa chỉ email đăng ký nhận OTP (là địa chỉ đã được khách hàng N.K.M đăng ký trên hệ thống VPBank từ năm 2016).

Như vậy, khi đã thực hiện chuyển đổi thành công thì những thông tin về giao dịch hay biến động tài khoản sau đó phải được hệ thống của ngân hàng thông báo tới email của khách hàng. Nhưng thực tế chị M. vẫn được hệ thống của ngân hàng báo bằng tin nhắn qua số điện thoại đã đăng ký.

Thêm nữa, chị M. cũng khẳng định, ngoài các tin nhắn qua điện thoại nói trên không có bất cứ email nào từ phía ngân hàng thông báo về các giao dịch trên, thông báo mã OTP hay kết quả thực hiện giao dịch. Và cả ngày 4/12 email này chị M. vẫn dùng để nhận các email đến và gửi email đi như thường ngày mà không có bất kỳ dấu hiệu bất thường nào.

Chị M. khẳng định, trong ba bước mà kẻ gian giăng ra là: Đăng nhập trang web giả mạo, cung cấp email cùng với mật khẩu; cung cấp mã OTP thì chị M. chỉ mới thực hiện thao tác thứ nhất là đăng nhập vào website giả mạo. Do đó, chị M. khẳng định không có chuyện email của chị bị hack. Và nếu nghi ngờ email của chị M. bị hack thì sau đó tại sao VPBank lại gửi một số email có nội dung liên quan tới giải quyết công việc vào email đó và không hề hỏi chị M. có dùng email nào khác an toàn hơn?

Ngược lại, ngân hàng thông báo việc thay đổi phương thức nhận OTP đã chuyển từ SMS sang email thành công nhưng sau đó mọi thông tin giao dịch vẫn được gửi vào điện thoại. Điều này chứng tỏ việc chuyển đổi phương thức nhận OTP không thành công, đồng thời hệ thống của ngân hàng VPBank bị hack?

Đáng chú ý, chị M. cho hay, trong khi người tự xưng là nhân viên ngân hàng gọi điện thoại tới nói chuyện thì các giao dịch trên cũng được thực hiện cùng lúc và trong một khoảng thời gian rất nhanh khiến khách hàng không kịp phản ứng.

Từ những thông tin trên, dư luận đặt ra câu hỏi: Vụ việc của khách hàng N.K.M sẽ được giải quyết như thế nào? Quy trình cho khách hàng vay online được như thế nào, cần những thủ tục gì? Vì sao thông tin cá nhân của chị M. tại VPBank lại bị rò rỉ? Việc bảo mật thông tin khách hàng của VPBank đang được thực hiện như thế nào?

Đến nay, VPBank mới chỉ cho biết đã tiếp nhận vụ việc và đã triển khai các biện pháp bảo vệ cho tài sản của khách hàng tại ngân hàng. “Chúng tôi rất lấy làm tiếc với những thiệt hại mà khách hàng gặp phải và đang nỗ lực hết sức để bảo vệ cho quyền lợi chính đáng của khách hàng”, thông tin từ VPBank nêu và cho biết đang tích cực phối hợp với các cơ quan chức năng và với khách hàng để thực hiện các bước xử lý tiếp theo nhằm làm rõ vụ việc.

                                                                                                                 Theo Lao động