CEO Nguyễn Tử Quảng chỉ ra nguyên nhân tài khoản Vietcombank bị đánh cắp 406 triệu trong vài phút

Theo ông Nguyễn Tử Quảng: “Dư luận quan tâm đến vụ việc một chủ tài khoản Vietcombank bị đánh cắp 406 triệu VNĐ chỉ trong vài phút. Với tôi thì sự việc này là điều không ngạc nhiên. Trong một năm qua, chúng tôi biết đã có nhiều vụ việc tương tự và với nhiều ngân hàng khác nhau, không chỉ Vietcombank”.

Theo nhận định của ông Nguyễn Tử Quảng, hacker đã khai thác điểm yếu của công nghệ xác thực SMS OTP. Có 2 cách để khai thác điểm yếu của công nghệ này: Cách thứ nhất hacker lừa nạn nhân nhập mã SMS OTP vào một website giả mạo; Cách thứ hai lừa nạn nhân cài phần mềm gián điệp chiếm quyền điều khiển của thiết bị di động.

Với vai trò của một Tập đoàn về An ninh mạng, Bkav đã ít nhất 2 lần cảnh báo rộng rãi về việc công nghệ xác thực SMS OTP không đảm bảo an toàn.

Nói về trách nhiệm, trong trường hợp này, khách hàng là người chịu thiệt khi bị hacker qua mặt bằng các thủ đoạn tinh vi. Và công nghệ SMS OTP không có tính “chống chối bỏ”, tức là không có đủ cơ sở để chỉ ra ai là người thực hiện giao dịch.

“Vậy có giải pháp cho vấn đề này hay không ? Câu trả lời là có. Chúng tôi đã tư vấn cho Ngân hàng Nhà nước Việt Nam ban hành quy định về giao dịch sử dụng Chữ ký số để thay thế cho SMS OTP”, ông Quảng nói.

“Hiện Ngân hàng Nhà nước Việt Nam đã ban hành quy định bắt buộc áp dụng với tất cả các ngân hàng, tuy nhiên hạn mức để bắt buộc phải sử dụng Chữ ký số đang còn ở mức cao, cụ thể giao dịch phải trên 500 triệu mới phải sử dụng Chữ ký số.

Để khắc phục những trường hợp lừa đảo như thế này, tôi kiến nghị phải hạ thấp hạn mức giao dịch xuống, tiến tới loại bỏ công nghệ SMS OTP tại các ngân hàng ở Việt Nam giống như một số nước phát triển đang áp dụng”, ông Quảng cho biết thêm.

Về phía người dùng, các bạn cần cài đặt phần mềm diệt virus trên máy tính để chống đánh cắp dữ liệu website và cài phần mềm chống mã độc trên thiết bị di động của mình để ngăn chặn các phần mềm gián điệp, chiếm quyền kiểm soát điện thoại.

CEO BKAV Nguyễn Tử Quảng.

Ngày 4/10, truyền thông đưa tin tài khoản của ông Trần Việt Luận bị kích hoạt ứng dụng VCB Digibank trên thiết bị mới và chuyển 406 triệu cho người thụ hưởng tại MSB, SEABank trong 7 phút.

Cụ thể, ông Trần Việt Luận, ngụ quận Thủ Đức (TP HCM) cho biết tài khoản tại Ngân hàng Ngoại thương Việt Nam (Vietcombank) phát sinh 4 giao dịch chuyển khoản vào trưa 4/9. Vì không nhận được tin nhắn thông báo mã xác thực, biến động số dư qua điện thoại nên ông không phát hiện cho đến khi ra ngân hàng giao dịch vào chiều cùng ngày.

"Lúc đến chi nhánh Nam Bình Dương làm lệnh chuyển tiền, tôi mới tá hoả khi nhân viên thông báo tài khoản chỉ còn 5 triệu đồng", ông Luận nói. Ngay sau đó, ông đưa điện thoại cho nhân viên ngân hàng kiểm chứng không nhận được tin nhắn và đề nghị lập biên bản, dừng ngay các giao dịch.

Khách hàng này khẳng định 4 giao dịch không phải mình thực hiện và cũng không biết đối tượng thụ hưởng là ai. Ông cho biết trước đó không cung cấp, chia sẻ tên truy cập dịch vụ hay mật khẩu VCB Digibank cho bất cứ ai.

Trong công văn trả lời ông Luận sau đó, phía Vietcombank cho biết việc đăng nhập tài khoản trên thiết bị mới và thực hiện 4 giao dịch chuyển tiền hoàn toàn hợp lệ. Nhà mạng Vinaphone cũng xác nhận ngân hàng gửi tổng cộng 8 tin nhắn xác thực và biến động số dư đến điện thoại ông Luận.

Cụ thể, lúc 11h, hệ thống ghi nhận yêu cầu kích hoạt ứng dụng Digibank từ tài khoản ông Luận trên thiết bị mới. Đối tượng thực hiện giao dịch đã nhập đúng tên truy cập, mật khẩu và mã xác thực (OTP lần 1) gửi đến điện thoại.

Hai phút sau, hệ thống ghi nhận thao tác kích hoạt tính năng SmartOTP trên ứng dụng và đối tượng cũng nhập chính xác mã xác thực (OTP lần 2). Tiếp đó, đối tượng thực hiện 2 yêu cầu chuyển khoản 89 triệu đồng tới người thụ hưởng Pham Lan Anh tại Ngân hàng Đông Nam Á (SEA Bank) và nhập đúng mã xác thực.

Sau khi thực hiện thành công hai giao dịch chuyển tiền bằng phương thức xác thực OTP qua tin nhắn điện thoại, tính năng xác thực bằng SmartOTP trên thiết bị mới có thể được sử dụng. Vì thế, lúc 11h07, đối tượng chuyển 317 triệu đồng tới tài khoản Vo Khoa Tuan tại Ngân hàng TMCP Hàng hải Việt Nam (MSB) thông qua hai giao dịch.

"Đây là trường hợp nghi ngờ bị giả mạo giao dịch qua ứng dụng VCB Digibank dẫn đến bị rút tiền trong tài khoản", đại diện Vietcombank trả lời.

Sau khi nhận đơn khiếu nại, chi nhánh ngân hàng đã kiểm tra trên hệ thống và làm việc với các bên liên quan để xử lý yêu cầu tra soát giao dịch, cấp mật khẩu VCB Digibank và hướng dẫn khách hàng kích hoạt lại dịch vụ.

Vietcombank cũng hai lần gặp trực tiếp khách hàng để trả lời, cung cấp thông tin liên quan và sẽ tiếp tục cập nhật trong thời gian chờ kết quả tra soát giao dịch tại ngân hàng hưởng. Ngân hàng đã tư vấn và hướng dẫn ông Luận trình báo vụ việc với công an để xác minh và truy bắt tội phạm.

Đại diện Vietcombank khẳng định hệ thống của ngân hàng an toàn và đáp ứng quy định pháp luật liên quan đến cung ứng dịch vụ trực tuyến, đồng thời lưu ý khách hàng giữ bí mật các yếu tố định danh, thực hiện theo hướng dẫn của ngân hàng về giao dịch an toàn.