Tá hỏa nhận thông báo khoản vay 450 triệu đồng: Hệ thống của VPBank có bị hack?

Trao đổi với phóng viên, đại diện VPBank cho biết, hai khoản vay cầm cố sổ tiết kiệm với giá trị lần lượt là 360 triệu và 90 triệu đồng sẽ được phê duyệt ngay sau khi người dùng tạo yêu cầu.

Tuy nhiên, đại diện VPBank khẳng định, việc giải ngân khoản vay chỉ được thực hiện khi người khởi tạo khoản vay mang sổ tiết kiệm là tài sản cầm cố tới nhập kho của ngân hàng trong vòng 12h, sau 12h khoản vay sẽ bị hủy trên hệ thống nếu tài sản cầm cố chưa nhập kho hoặc người khởi tạo yêu cầu hủy.

Ngân hàng nỗ lực bảo vệ quyền lợi khách hàng

Mới đây, Ban lãnh đạo VPBank cho biết, đã tiếp nhận vụ việc của khách hàng Nguyễn Thị Minh Khuyên mất tiền trong tài khoản. Lập tức ngân hàng và đã triển khai các biện pháp bảo vệ cho tài sản của khách hàng.

“Ngân hàng rất lấy làm tiếc với những thiệt hại mà khách hàng gặp phải và đang nỗ lực hết sức để bảo vệ cho quyền lợi chính đáng của khách hàng.

Hiện vụ việc đang được VPBank báo cáo tới các cơ quan chức năng để được điều tra làm rõ, và sẽ phối hợp cung cấp thông tin kịp thời để vụ việc sớm có kết luận, đảm bảo quyền lợi của khách hàng” - đại diện VPBank thông tin.

Kiểm tra kỹ thông tin, Ngân hàng nhận thấy, tin nhắn và đường link mà khách hàng nhận được đều là giả mạo VPBank. Ngân hàng đã thử truy cập và thực hiện các nội dung/ hướng dẫn tại đường Link thì thấy rằng: Bước 1 website sẽ yêu cầu đăng nhập bằng tên tài khoản (user) và mật khẩu (pass) ngân hàng điện tử, bước thứ hai là yêu cầu cung cấp email và mật khẩu email đã đăng ký với ngân hàng, bước thứ ba là nhập mã OTP để xác nhận.

Theo khẳng định từ phía ngân hàng trong trường hợp người dùng đã thực hiện đủ cả 3 bước trên thì kẻ gian đã lấy được: (1) user và pass tài khoản ngân hàng điện tử, (2) user và pass email cá nhân, (3) mã OTP, trong trường hợp này là mã để xác nhận việc đổi từ phương thức nhận OTP bằng SMS sang nhận bằng email.

VPBank lưu ý người dùng theo các bước giao dịch

Qua tra soát, hệ thống ngân hàng cũng ghi nhận các giao dịch trong ngày 04/12/2019 như sau: Vào hồi 16:23p: Tài khoản đăng nhập trên hệ thống VPBank Online và khởi tạo yêu cầu đổi phương thức nhận OTP từ SMS qua email; Vào hồi 16:24p: hệ thống gửi mã OTP vào số điện thoại 0988xxxxxx xác nhận việc đổi phương thức nhận OTP từ SMS sang email; Vào hồi16:24p:23s: tài khoản đã thực hiện đổi thành công sang phương thức nhận OTP bằng email. Địa chỉ email đăng ký nhận OTP là địa chỉ đã được khách hàng N.T.M.K đăng ký trên hệ thống VPBank từ năm 2016.

Và từ 16h:26-16h:49p đã phát sinh 01 giao dịch chuyển tiền đi trong TKTT 17*****759 trị giá 3.507.700 VND và 15 GD mua mã thẻ trên thẻ TD 114-P-******80 / 524394****4760 mỗi giao dịch là 500.000VND, đồng thời khởi tạo 2 khoản vay cầm cố sổ tiết kiệm với giá trị lần lượt là 360 triệu và 90 triệu đồng. Đây là hai khoản vay cầm cố sổ tiết kiệm, khoản vay sẽ được phê duyệt ngay sau khi người dùng tạo yêu cầu, với hạn mức tối đa bằng 90% giá trị sổ tiết kiệm hiện có.

Tuy nhiên, việc giải ngân khoản vay chỉ được thực hiện khi người khởi tạo khoản vay mang sổ tiết kiệm là tài sản cầm cố tới nhập kho của ngân hàng trong vòng 12h, sau 12h khoản vay sẽ bị hủy trên hệ thống nếu tài sản cầm cố chưa nhập kho hoặc người khởi tạo yêu cầu hủy. Ngay sau khi tiếp nhận yêu cầu tra soát của khách hàng N.T.M.K, VPBank đã hủy hai khoản vay nói trên và gửi thông báo SMS tới khách hàng

“Hiện nay, ngân hàng vẫn đang tích cực phối hợp với các cơ quan chức năng và với khách hàng để thực hiện các bước xử lý tiếp theo nhằm làm rõ vụ việc” – đại diện VPBank thông tin.

VPBank đồng thời đưa ra lời cảnh báo tới các khách hàng đang sử dụng dịch vụ của ngân hàng về những điểm cần lưu ý để bảo vệ an toàn cho tài sản của mình tại ngân hàng.

Trong đó, phương thức lừa đảo mà kẻ gian thường sử dụng đó là: Gửi tin nhắn dẫn dụ truy cập vào website giả mạo ngân hàng: kẻ gian gửi tin nhắn thông báo trúng thưởng, lấy tên chương trình trùng với các chương trình của ngân hàng kèm theo một đường link yêu cầu khách hàng truy cập để “lĩnh thưởng”. Thủ đoạn này tinh vi ở chỗ, các website được kẻ gian gửi tới cho khách hàng có giao diện tương tự với các website chính thức của các ngân hàng, khiến người dùng rất khó phân biệt. Ngay sau khi người dùng đăng nhập bằng tên tài khoản và mật khẩu và cung cấp mã OTP, kẻ gian đã có được quyền quản lý tài khoản và có thể thực hiện các hành vi chiếm đoạt tiền như chuyển khoản, mở thấu chi, topup thẻ tín dụng, đăng ký khoản vay online…

Hệ thống của ngân hàng có bị hack?

Như vậy, theo như thông tin từ phía ngân hàng, có nghĩa khi đã thực hiện chuyển đổi thành công thì những thông tin về giao dịch hay biến động tài khoản sau đó phải được hệ thống của ngân hàng thông báo tới email của khách hàng. Nhưng thực tế chị M. vẫn được hệ thống của ngân hàng báo bằng tin nhắn qua số điện thoại đã đăng ký.

Các tin nhắn về giao dịch được gửi tới điện thoại của khách hàng

Trong khi đó, về phía khách hàng, chị Khuyên khẳng định, ngoài các tin nhắn qua điện thoại nói trên không có bất cứ email nào từ phía ngân hàng thông báo về các giao dịch trên, thông báo mã OTP hay kết quả thực hiện giao dịch. Và cả ngày 4/12 email này chị M. vẫn dùng để nhận các email đến và gửi email đi như thường ngày mà không có bất kỳ dấu hiệu bất thường nào.

Theo chị Khuyên, trong ba bước mà kẻ gian giăng ra là: Đăng nhập trang web giả mạo, cung cấp email cùng với mật khẩu; cung cấp mã OTP thì chị Khuyên chỉ mới thực hiện thao tác thứ nhất là đăng nhập vào website giả mạo. Do đó, chị Khuyên khẳng định không có chuyện email của chị bị hack. Và nếu nghi ngờ email của chị M. bị hack thì sau đó tại sao VPBank lại gửi một số email có nội dung liên quan tới giải quyết công việc vào email đó và không hề hỏi chị M. có dùng email nào khác an toàn hơn?

Ngược lại, ngân hàng thông báo việc thay đổi phương thức nhận OTP đã chuyển từ SMS sang email thành công nhưng sau đó mọi thông tin giao dịch vẫn được gửi vào điện thoại. Điều này chứng tỏ việc chuyển đổi phương thức nhận OTP không thành công, đồng thời cho rằng hệ thống của ngân hàng VPBank bị hack?

Phóng viên tiếp tục liên hệ với đại diện ngân hàng nhưng chưa nhận được thông tin phản hồi.

Nguồn: [Link nguồn]Nguồn: [Link nguồn]