“Chân dung nạn nhân” trong các vụ đánh cắp tiền trực tuyến

15/10/2020 10:16

Đây không phải là lần đầu tiên có các thông tin về việc nhiều chủ tài khoản ngân hàng bị đánh cắp tiền và bị “bốc hơi” một phần hay toàn bộ tiền trong tài khoản của mình khi họ khẳng định “tôi không làm gì cả”. Và vụ việc 406 triệu đồng của một chủ tài khoản Vietcombank bị chuyển tới người thụ hưởng của ngân hàng khác chỉ là một trong nhiều vụ việc tương tự đã từng đươc ngân hàng và truyền thông cảnh báo trước đó.

Ghi nhận từ sự cố bị đánh cắp tiền trực tuyến của chủ tài khoản Vietcombank

Theo các thông tin đã đăng tải, trong vòng 7 phút, số tiền trên đã lần lượt được chuyển tới các tài khoản của hai ngân hàng SeaBank và MSB thông qua 4 giao dịch trong khi nạn nhân khẳng định bản thân không thực hiện và cũng không biết gì về người thụ hưởng. Đồng thời cũng không có bất cứ tin nhắn SMS nào thông báo mã xác thực OTP hay biến động số dư bằng SMS qua điện thoại. 

Về phía ngân hàng, sau khi tra soát lịch sử giao dịch cho biết hệ thống ghi nhận 4 giao dịch này đều hợp lệ và đã có 8 tin nhắn được gửi đến số điện thoại của chủ tài khoản. Đặc biệt phía Vietcombank còn cung cấp thêm thông tin là ứng dụng ngân hàng số VCB Digibank của chủ tài khoản đã được kích hoạt và các lệnh giao dịch này được thực hiện trên một thiết bị khác.

Trong khi đó nạn nhân của sự việc trên lại khẳng định không cung cấp, chia sẻ các thông tin bảo mật tài khoản như tên truy cập dịch vụ và mật khẩu ứng dụng cho bất cứ ai.

Vai trò của các bên trong câu chuyện

Đối với ngân hàng, sau nhiều vụ việc liên quan đến đánh cắp thông tin tài khoản cá nhân trong và ngoài nước, hàng loạt các biện pháp đã được triển khai để nâng cấp và trang bị thêm các ứng dụng bảo mật nhằm giúp các chủ tài khoản của ngân hàng mình có thêm các lớp bảo mật trong quá trình thực hiện các giao dịch ngoại tuyến và trực tuyến.

Đồng thời cùng với truyền thông, các ngân hàng này liên tục đưa ra các cảnh báo về hoạt động lừa đảo bằng website giả mạo – hay còn gọi là tấn công phishing tới các chủ tài khoản với chiêu trò như sau:

  • Dựng lên một website giả mạo – có giao diện gần như sao chép hoàn toàn website thật, sau đó kẻ gian gửi tin nhắn giả đến điện thoại của nạn nhân với nội dung hấp dẫn liên quan tới quà tặng, trúng thưởng bằng tiền mặt hoặc hiện vật có giá trị cao và yêu cầu nạn nhân đăng nhập vào đường link nào đó trên trang giả mạo để nhận thưởng/ tham gia quay thưởng…
  • Tiếp đó, sau khi truy cập vào được link trên trang giả mạo giống hệt với trang Ngân hàng điện tử/Internet banking, ngay khi nạn nhận dùng thông tin cá nhân của mình để truy cập vào tài khoản “rởm” thì cũng chính là lúc toàn bộ các thông tin đăng nhập cần phải bảo mật đã bị lộ cho kẻ gian.
  • Kẻ gian sau khi có được tên truy cập và mật khẩu “xịn”, chúng sẽ lấy mật khẩu xác thực một lần OTP (One Time Password) của nạn nhân bằng cách gọi điện và tự xưng là nhân viên ngân hàng báo cho bạn về việc có một món tiền treo trên hệ thống và hiện ngân hàng cần có số OTP được nhắn vào điện thoại của nạn nhân để hoàn tất thủ tục nhận tiền. 

Có thể nói kịch bản tấn công phishing này không hề xa lạ trong vài năm gần đây và bản thân các ngân hàng cũng liên tục đưa ra các cảnh báo tới người dân về việc nhân viên ngân hàng không bao giờ gọi điện yêu cầu khách hàng cung cấp mã xác thực OTP cũng như người dân không được phép cung cấp, chia sẻ các thông tin bảo mật này cho người khác. 

Đối với kẻ gian, hình thức lừa đảo kiểu này tuy cũ nhưng lại khá được ưa thích sử dụng. Lợi dụng sự hiếu kỳ, nhẹ dạ và sự chủ quan của người tiêu dùng, kẻ gian liên tục tìm cách tấn công các chủ tài khoản bằng nhiều thủ đoạn như mạo danh nhân viên ngân hàng, gửi các trang web giả, gửi các đường link giả… để moi các thông tin về tên truy cập, mật khẩu hay mã xác thực OTP của nạn nhân. Thực tế, nếu như không có tên và mật khẩu truy cập dịch vụ, không nhận được tin nhắn SMS thông báo mã xác thực OTP đồng thời điện thoại vẫn nằm trên tay chủ tài khoản thì sẽ không có cách nào để tấn công tài khoản và thực hiện các giao dịch trái phép. 

Đối với nạn nhân của các vụ việc mất tiền, mặc dù liên tục được cảnh báo, song vẫn có đại bộ phận các chủ tài khoản bị “đánh bại” trước những lời mời chào hay thông báo nhắm vào tình cảm, sự cả tin và lòng tham khiến cho họ trở nên mất cảnh giác, từ đó “vô tình mà hữu ý” cung cấp các thông tin bảo mật tài khoản, tạo điều kiện cho những kẻ lừa đảo này đánh cắp tiền trong tài khoản của mình.

Người tiêu dùng nên làm gì để bảo vệ tài khoản và tiền của mình khỏi vấn nạn bị đánh cắp trực tuyến?

Một trong những việc vô cùng đơn giản nhưng hiệu quả mà chúng ta cần làm ngay chính là xây dựng thói quen không tùy tiện đăng nhập các tài khoản cá nhân nhạy cảm như tài khoản ngân hàng, thư điện tử, mạng xã hội, chia sẻ ảnh… trên các thiết bị công cộng hoặc của người khác mà không có các biện pháp bảo mật kèm theo. 

Đồng thời, người tiêu dùng cần phải bảo vệ và bảo quản các thiết bị cá nhân như di động, máy vi tính… khi sử dụng tại nơi công cộng hoặc cho người khác dùng nhờ.

Bên cạnh đó, người tiêu dùng nói chung cũng như các chủ tài khoản không chỉ là chủ tài khoản ngân hàng mà còn là chủ tài khoản Facebook, Gmail… cũng như các mạng xã hội khác cần chủ động trang bị thêm các phương thức bảo mật nhằm tăng thêm các lớp bảo mật cho thiết bị hoặc các hoạt động giao dịch trực tuyến của mình. 

Một trong những phương thức bảo mật hết sức đơn giản có thể ngay lập tức sử dụng luôn chính là Khóa bảo mật FIDO® KeyPass S1 đạt chuẩn FIDO U2F và Khóa bảo mật FIDO® KeyPass S3 đạt chuẩn FIDO2 của FIDO Alliance sẽ giúp bạn loại bỏ các nỗi lo về:

  • Tấn công bằng website giả mạo (tấn công phishing)
  • Tấn công sao chép dữ liệu (tấn công skimming)
  • Tấn công xen giữa (man – in – the middle)

Đặc biệt với Khóa bảo mật FIDO® KeyPass S3 với màn hình hiển thị sẽ giúp bạn dễ dàng xác nhận thông tin liên quan tới các số tiền trong các giao dịch về tài chính, giúp các hoạt động giao dịch của bạn càng thêm chính xác.

Với mọi hoạt động trực tuyến giao dịch tài chính trực tuyến hay đăng nhập vào các tài khoản ngân hàng, tài khoản facebook, email cá nhân, các tài khoản xã hội… nếu không may bạn bị mất điện thoại, mật khẩu, tên truy cập nhưng bạn vẫn giữ Khóa bảo mật FIDO® KeyPass đã kết nối với tài khoản trong tay thì kẻ gian cũng không thể tấn công vào tài khoản của bạn. 

Tựu chung, người tiêu dùng và chủ tài khoản hoàn toàn chủ động bảo vệ tiền và tài khoản của mình bằng nhiều cách khác nhau, vì thế đừng chần chừ hay để chính mình sau khi gặp phải những sự việc đáng tiếc mới vội vàng triển khai như các cụ vẫn thười nói “Mất bò mới lo làm chuồng”. Nếu chúng ta được thực hiện được những điều này thì trừ các yêu tố tấn công công nghệ từ phía ngân hàng hoặc các vấn đề liên quan, những sự việc đáng tiếc như trên sẽ khó lòng xẩy ra.

Hãy là người tiêu dùng thông minh

Thiết bị Khóa bảo mật FIDO® KeyPass S1 và FIDO® KeyPass S3 có thể dễ dàng tìm mua tại các trang TIKI, SHOPEE và LAZADA hoặc bạn có thể liên hệ email marketing@mkgroup.com.vn để được tư vấn sâu hơn về sản phẩm.