[Funland] Có phải: Chủ thẻ Vietcombank bỗng dưng mất 500 triệu đồng chỉ qua một đêm?

provtc · 21:48 12/08/2016

Hn07 nói:
Mấy thánh không biết gì thì không nên chém bừa (rút 500 triệu /1 đêm là chuyện khôi hài , những ai chưa từng chuyển khoản 500 triệu /1 ngày bằng internet banking xin đừng chém )
! Bài viết của Xnohat (hvaonline) đã phân tích tương đối đầy đủ các trường hợp rồi . Tỷ lệ cao nhất đó là Vietcombank bị hack ở mức độ nghiêm trọng . Không phải tự nhiên mà cách đây mấy hôm mọi khách hàng đều nhận đc tin nhắn thông báo cẩn trọng.

Nói chung cụ ko xem theo dõi tình hình cứ phán bừa, mợ kia kích vào link của bọn hack, rồi gửi thông tin giao dịch và cả mã otp cho bọn kia, trong giao dịch liên tục nó còn cho đăng ký tự động có nghĩa ko cần otp. Mợ này bị bọn kia dẫn dắt và bị mất tiền chứ chả hack cái gì ở vcb cả

Gcar · 12/8/16

Hn07 nói:
Mấy thánh không biết gì thì không nên chém bừa (rút 500 triệu /1 đêm là chuyện khôi hài , những ai chưa từng chuyển khoản 500 triệu /1 ngày bằng internet banking xin đừng chém )
! Bài viết của Xnohat (hvaonline) đã phân tích tương đối đầy đủ các trường hợp rồi . Tỷ lệ cao nhất đó là Vietcombank bị hack ở mức độ nghiêm trọng . Không phải tự nhiên mà cách đây mấy hôm mọi khách hàng đều nhận đc tin nhắn thông báo cẩn trọng.

đọc ở trên có đoạn trích từ web của VCB kìa. Tối đa 300 triệu 1 ngày, ở đây 1 đêm tính làm 2 ngày! "Cách đây mấy hôm" là do vụ này chứ còn lý do gì nữa!

tovit99 · 21:49 12/08/2016

StepUp nói:
Chiếm quyền sử dụng bằng phần mềm. Android thì hoàn toàn có thể, iÓS thì nếu jb thì có thể, còn không thì loại khả năng này cụ ạ.

Cụ nói chuẩn.
Em copy cho cụ ý kiến của một cụ trên Facebook phán em thấy khá chuẩn và dễ thực hiện:

1. Hacker cài đặt app Vietcom và smart OTP lên và chưa đăng nhập
2. Chị kia truy cập vào website phishing cung cấp tên tài khoản và mật khẩu cho hacker, tại giao diện web hacker yêu cầu nhập mã xác thực OTP.
3. Hacker ngay trong lúc này thực hiện việc đăng nhập vào app smart OTP, app OTP sẽ thực hiện yêu cầu kích hoạt bằng mã được gửi tới sđt của chị kia. Trong lúc này chị kia nhận được SMS chứa OTP (do yêu cầu từ hacker) từ Vietcom và nhập mã OTP lên website. Hacker nhận được mã và thực hiện kích hoạt Smart OTP thành công.
4. Như vậy sau 3 bước ở trên hacker kiểm soát được hoàn toàn tk của chị kia mà không cần bất cứ thông tin nào khác. Lúc này chờ đến khi trời tối đêm khuya không ai để ý, hacker bắt đàu tiến hành chuyển tiền từ tài khoản của victim để chiếm đoạt.
Như vậy điều kiện đê bị hack ở đây là:
+ K/h chưa cài app Vietcom và app Vietcom Smart OTP bất cứ lần nào trên điện thoại.
+ K/h nhập thông tin về tài khoản, mật khẩu và mã kích hoạt Smart OTP trên site phising.

Chuẩn luôn cụ ạ

Gcar · 21:52 12/08/2016

Hn07 nói:
Thứ 1 : chị kia phải đăng kí cho em chuyển tiền trên hạn mức bình thường ( hạn mức bình thường em nhớ là 1-300 triệu /1 ngày mà thôi ) .
Thứ 2 : hệ thống VCB thường hay tạm ngưng về đêm . Trường hợp của chị nạn nhân thậm chí còn chuyển liên ngân hàng nên không thể coi đó là dễ hiểu được .
Thứ 3 : ăn trộm được USEr , pass login banking online thì có thể xảy ra , chứ ăn trộm được smart OTP thì cực khó ( việc chuyển đổi từ sms otp qua smart otp vẫn đòi hỏi confirm bằng sms )
Phải có tý mùi ở đây chứ ko có chuyện nạn nhân ngu đến mức như vậy

a. 1 đêm bằng 2 ngày nhé
b. hiện giờ ở 1 số ngân hàng có thể chuyển tiền tức thời (không có người can thiệp) bằng web đến hệ thống tk thẻ (và có thể cả tài khoản thường). Việc chuyển tiền được ra nước ngoài cho thấy việc chuyển là chuyển vào thẻ tín dụng quốc tế của Việt Nam, có thể là thật nhưng đã bị làm giả 1 bản. Sau đó mấy ông Tây dùng cái thẻ giả rút tiền ở nước ngoài.
c. Nếu cái điện thoại bị hack thì otp gửi đến đó có thể bị đọc được.

Trục · 21:52 12/08/2016

May là em không đăng ký Ibank của VCB, không có giờ này ký ngay cái lệnh chuyển vào tk không đăng ký bất kỳ hình thức chuyển nào, ngoài việc ký trực tiếp.

codochi · 21:53 12/08/2016

hanoistreet nói:
Các cụ có biết là clone SIM làm được ko? cách đây vài năm có mấy vụ ầm ĩ lên rồi đấy. Vụ đấy cũng ko cần clone SIM mà chỉ cần báo mất SIM rồi xin cấp SIM mới là được. Còn OTP thì do mấy cty Việt làm mà, cái này cũng là một nối vào corebanking thôi sao mà ko hack được? Còn nữa là ATM clone khá dễ nhé ko phức tạp như SIM đâu.
Tóm lại đừng nghĩ là ko thể mà vấn đề là ai chịu trách nhiệm khi bị hack? khách hàng hay bank?

Cụ ơi, vụ báo mất SIM để lấy SIM khác, nhà mạng đã chặn vụ đó lâu rồi mà?

Trục · 21:57 12/08/2016

Hn07 nói:
Mấy thánh không biết gì thì không nên chém bừa (rút 500 triệu /1 đêm là chuyện khôi hài , những ai chưa từng chuyển khoản 500 triệu /1 ngày bằng internet banking xin đừng chém )
! Bài viết của Xnohat (hvaonline) đã phân tích tương đối đầy đủ các trường hợp rồi . Tỷ lệ cao nhất đó là Vietcombank bị hack ở mức độ nghiêm trọng . Không phải tự nhiên mà cách đây mấy hôm mọi khách hàng đều nhận đc tin nhắn thông báo cẩn trọng.

Bank bên em khống chế lệnh chuyển OTP là 50tr/lần.
Vượt trên 50tr thì phải dùng Token key.
VCB em chưa dùng nên chưa biết.

tovit99 · 12/8/16

headway02 nói:
Thứ nhất : cụ chỉ đăng nhập trên trang chủ vcb thì mới có mã otp gửi sms về cho cụ,trang fake lừa chắc chắn k có.
Thứ hai: e cũng xài android và em khẳng định ko có vụ hacker chiếm quyền điều khiển hệ thống admin của máy,với các máy android 5xx cực khó và không khả thi,đã thế với ios còn khó hơn.
Giao dịch chuyển tiền của vietcombank chỉ diễn ra vào ban ngày,giờ hành chính

Khi cài smart otp sẽ đc y/c nhập số điện thoại để nhận mã kích hoạt app. Mã kích hoạt được gửi về điện thoại của khổ chủ. Sau đó khổ chủ lại nhập mã này vào trang web fake (theo y/c của thằng kia). Xong, smart otp trên thiets bị của hacker đc kich hoạt

Trước đây vcb cũng có dùng token, sau chuyển sang soft- token, chính là smart otp

Em thông tin thêm: trước 01/8, mã opt của vcb có hiệu lực 70s, từ 01/8 chỉ còn có 40s. Như vậy cũng sẽ giảm đc rủi ro nếu otp phải đi lòng vòng sẽ quá 40s và hết hiệu lực

ruoutim2 · 22:01 12/08/2016

http://docbao.vn/tin-tuc/12-08-2016/vietcombank-len-tieng-ve-viec-chu-the-mat-500-trieu-sau-1-dem/30/384150

Vietcombank lên tiếng về việc chủ thẻ mất 500 triệu sau 1 đêm
Vietcombank cho hay, thông tin và mật khẩu của khách hàng đã bị đánh cắp khiến tiền bị chuyển tới nhiều tài khoản trung gian tại 3 ngân hàng khác nhau ở Việt Nam.
Ngân hàng Thương mại Cổ phần Ngoại thương Việt Nam (Vietcombank) đã chính thức lên tiếng về việc 500 triệu đồng của khách hàng H.T.N. Hương bay khỏi thẻ ATM của ngân hàng này.

Theo lãnh đạo Vietcombank, với trường hợp cụ thể của khách hàng H.T.N. Hương, sau khi nhận được tin báo, Vietcombank đã có buổi làm việc với chị Hương vào chiều hôm qua, 11/8/2016. Cùng tham gia có luật sư (do khách hàng mời).

Theo những thông tin do khách hàng cung cấp, ngân hàng cho rằng: “Có cơ sở để xác định khách đã truy cập vào một trang web giả mạo (có địa chỉ http://creatingacreator.com/kob/1/index.htm). Khách vào ngày 28/7/2016, qua máy điện thoại cá nhân”.

Vietcombank cho hay, thông tin và mật khẩu của khách hàng đã bị đánh cắp khiến tiền bị chuyển tới nhiều tài khoản trung gian tại 3 ngân hàng khác nhau ở Việt Nam.

Từ việc truy cập này, thông tin và mật khẩu của khách hàng đã bị đánh cắp. Sau đó, tài khoản khách hàng đã bị lợi dụng vào đêm ngày 3, rạng sáng 4/8/2016.

Đặc biệt, theo thông tin từ đại diện Vietcombank, các đối tượng lừa đảo đã chuyển tiền từ tài khoản khách hàng tới nhiều tài khoản trung gian tại 3 ngân hàng khác nhau ở Việt Nam. Sau đó, đối tượng lừa đảo rút 200 triệu đồng qua ATM ở Malaysia.

“Vietcombank đã xử lý các biện pháp khẩn cấp, kịp thời khoanh giữ lại được 300 triệu đồng. Đây là các giao dịch chuyển khoản sang ngân hàng khác, chưa kịp chuyển ra khỏi hệ thống Vietcombank”, phía ngân hàng cho biết thêm.

Tại buổi làm việc chiều 11/8, Vietcombank đã hướng dẫn cho khách hàng tự kiểm tra lại máy điện thoại cá nhân, phát hiện ra địa chỉ trang web giả mạo trên vẫn còn lưu ở máy của khách hàng.

Ngân hàng vẫn khẳng định hệ thống luôn an toàn và bảo mật. Việc mất tiền trong tài khoản xảy ra bởi khách hàng bị đánh cắp thông tin tài khoản, do trước đó đã truy cập và khai báo thông tin trên đường link giả mạo website ngân hàng như trên.

Hiện ngân hàng đang phối hợp cùng khách hàng để làm việc với cơ quan chức năng, nhằm làm rõ các đối tượng chủ mưu đã thực hiện các hành vi lừa đảo này. Khách hàng cũng đã đồng ý sẽ cung cấp máy điện thoại có lưu đường link giả mạo để tiếp tục làm việc với cơ quan chức năng.

mmxhung · 22:02 12/08/2016

Cháu thấy mấy dịch vụ này hiện đại quá trong khi nhận thức của mình không theo kịp nên dính rủi ro, có khi nên chơi với anh NH Nông nghiệp chân chất lại lành.

codochi · 22:03 12/08/2016

nataka nói:
Đông Á còn phải nhét phong bì, hôm sau nhân viên lấy kiểm đếm mới báo có tk, cụ dùng HSBC đi, chả cần đếm nhét cả chẵn cả lẽ tự nó đếm rồi báo có luôn ợ

Cái này bên Hàn có từ trước 2006 thì phải.

Hiện tại giao dịch ngân hàng Hàn xẻng qua nhiều lớp.

1. Đăng nhập tài khoản.
2. Nhập thông tin người nhận.
3. Nó sẽ hiện lên bảng bắt xác nhận qua điện thoại hoặc ARS. Nếu máy tính được thêm địa chỉ MAC vào, nó sẽ bỏ qua bước xác thực này nếu số tiền dưới $1,000usd.
4. Nhập mã số ma trận ngẫu nhiên.
5. Đến bước chuyển tiền, nó bắt phải có file chứng thực kèm mật khẩu. Và file chứng thực chỉ có giá trị 1 năm, hết phải đăng ký mới.

Làm đủ 5 bước mới chuyển được tiền.

Ngân hàng donga dùng ibanking là mua phần mềm Hàn xẻng thì phải, em thấy toàn nhập bằng bàn phím ảo.

Cụ nào làm sếp lớn mua lại công nghệ đi ạ. Nó lằng nhằng nhưng em thấy khá là bảo mật.

Ngỗng Ngu · 22:06 12/08/2016

cogangmuaxe nói:
smart nó được tạo ra bằng apps. Tức là không cần hack điện thoại hoặc xem tin nhắn điện thoại của cụ. Vẫn nên dùng sms cho an toàn vì hack điện thoại thực sự không đơn giản, nhất là điện thoại được bảo mật như BB, hoặc lúc chúng nó chuyển khoản thì điện thoại để ở chế độ máy bay hoặc tắt. Điện thoại cùi nữa là khỏi hắc luôn

Chuẩn cụ. Theo kinh nghiệm của em. Riêng cái sim để giao dịch các NH em toàn dùng ĐT ngu thôi. Càng ngu càng an toàn.

Ngỗng Ngu · 22:08 12/08/2016

codochi nói:
Cái này bên Hàn có từ trước 2006 thì phải.

Hiện tại giao dịch ngân hàng Hàn xẻng qua nhiều lớp.

1. Đăng nhập tài khoản.
2. Nhập thông tin người nhận.
3. Nó sẽ hiện lên bảng bắt xác nhận qua điện thoại hoặc ARS. Nếu máy tính được thêm địa chỉ MAC vào, nó sẽ bỏ qua bước xác thực này nếu số tiền dưới $1,000usd.
4. Nhập mã số ma trận ngẫu nhiên.
5. Đến bước chuyển tiền, nó bắt phải có file chứng thực kèm mật khẩu. Và file chứng thực chỉ có giá trị 1 năm, hết phải đăng ký mới.

Làm đủ 5 bước mới chuyển được tiền.

Ngân hàng donga dùng ibanking là mua phần mềm Hàn xẻng thì phải, em thấy toàn nhập bằng bàn phím ảo.

Cụ nào làm sếp lớn mua lại công nghệ đi ạ. Nó lằng nhằng nhưng em thấy khá là bảo mật.

Bảo mật là phần làm đằng sau cụ ạ. Chứ nếu hacker nó mò vào server được rồi thì mấy cái đó là con muỗi ạ, như nhau hết.

luyenok · 12/8/16

Hn07 nói:
Mấy thánh không biết gì thì không nên chém bừa (rút 500 triệu /1 đêm là chuyện khôi hài , những ai chưa từng chuyển khoản 500 triệu /1 ngày bằng internet banking xin đừng chém )
! Bài viết của Xnohat (hvaonline) đã phân tích tương đối đầy đủ các trường hợp rồi . Tỷ lệ cao nhất đó là Vietcombank bị hack ở mức độ nghiêm trọng . Không phải tự nhiên mà cách đây mấy hôm mọi khách hàng đều nhận đc tin nhắn thông báo cẩn trọng.

toàn phân tích xàm, đọc mấy bài của cụ trên này cũng toàn xàm nốt. Nghe câu phán "Tỷ lệ cao nhất đó là Vietcombank bị hack ở mức độ nghiêm trọng" là thấy nể rồi. Mấy ngày gần đây họ gửi cánh báo vì thời gian qua có hàng loạt người bị lừa chuyển tiền.

Còn vụ này thì kết quả gần như chắc chắn như bên dưới:

- Vì lý do gì đó chị này đã truy cập vào trang login giả của VCB (tất nhiên là không phát hiện ra là đang vào trang giả), tại đây trang này yêu cầu nhập các thông tin User, Password, captcha giống như trang thật của VCB
- Sau khi nhập các thông tin trên và submit (click đăng nhập) thì site kia nó lấy user & password đó đăng nhập tự động vào Vietcombank thật và đổi hình thức nhận OTP sang SmartOTP.

- Lúc này VCB sẽ gửi OTP để xác nhận việc kích hoạt smart OTP thì cái web giả kia sau khi submit lần đầu thì cũng hiện lại form login và có thêm ô nhập OTP. Chị kia ko tỉnh táo nhập OTP vào đây và nó có đc OTP để hoàn tất việc kích hoạt smart OTP.

Như vậy là nó có thể chuyển đuợc tiền = user + password + smart OTP.

Còn vụ sao chuyển đc 500M thì do các ảnh bị cắt cúp nên ko có đc thời gian cụ thể, nhưng có thể nó căn đúng thời điểm qua 12h đêm bank reset hạn mức.
Mấy cái giao dịch đầu là nó dùng chức năng chuyển tiền nhanh đến thẻ của ngân hàng khác, cụ thể là chuyển vào Visa 4221516247928963 của Sacombank, và vì là thẻ Visa nên nó có thể rút ở nước ngoài như thông tin đã đưa.

Hn07 · 22:10 12/08/2016

Gcar nói:
a. 1 đêm bằng 2 ngày nhé
b. hiện giờ ở 1 số ngân hàng có thể chuyển tiền tức thời (không có người can thiệp) bằng web đến hệ thống tk thẻ (và có thể cả tài khoản thường). Việc chuyển tiền được ra nước ngoài cho thấy việc chuyển là chuyển vào thẻ tín dụng quốc tế của Việt Nam, có thể là thật nhưng đã bị làm giả 1 bản. Sau đó mấy ông Tây dùng cái thẻ giả rút tiền ở nước ngoài.
c. Nếu cái điện thoại bị hack thì otp gửi đến đó có thể bị đọc được.

1. Cơ sở nào để cụ biết hacker nó rút tiền dựa vào múi giờ để vượt qua hạn mức tối đa VCB ? Cụ nếu có bảng kê khai giao dịch có hiển thị thời gian hẵng tuyên bố như đúng rồi vậy .
b. Ngân hàng nào có thể cho phép chuyển tiền "tức thời" bằng web đến hệ thống tk thẻ và có thể tài khoản thường DÙ CHO LÀ KHÁC HỆ THỐNG ?( Ta loại trừ việc chuyển khoản đến tk thẻ và tài khoản thường trong cùng hệ thống , vì nó tương đối khôi hài nếu cứ cho là hacker có khả năng làm thẻ giả để ra cây ATM rút ngần đó tiền , tiện cụ logic thêm 200 triệu rút qua ATM ở Malaysia là nó rút kiểu gì cứ cho ATM nhận diện là thẻ thật )
c.Em chưa bàn đến vụ OTP một cách phi lí ở đây

D) Các cụ mới dựa trên cơ sở phát ngôn của VCB chứ chưa xét đến phát ngôn của nạn nhân

butchikim · 22:12 12/08/2016

codochi nói:
Cái này bên Hàn có từ trước 2006 thì phải.

Hiện tại giao dịch ngân hàng Hàn xẻng qua nhiều lớp.

1. Đăng nhập tài khoản.
2. Nhập thông tin người nhận.
3. Nó sẽ hiện lên bảng bắt xác nhận qua điện thoại hoặc ARS. Nếu máy tính được thêm địa chỉ MAC vào, nó sẽ bỏ qua bước xác thực này nếu số tiền dưới $1,000usd.
4. Nhập mã số ma trận ngẫu nhiên.
5. Đến bước chuyển tiền, nó bắt phải có file chứng thực kèm mật khẩu. Và file chứng thực chỉ có giá trị 1 năm, hết phải đăng ký mới.

Làm đủ 5 bước mới chuyển được tiền.

Ngân hàng donga dùng ibanking là mua phần mềm Hàn xẻng thì phải, em thấy toàn nhập bằng bàn phím ảo.

Cụ nào làm sếp lớn mua lại công nghệ đi ạ. Nó lằng nhằng nhưng em thấy khá là bảo mật.

Mức độ tiện lợi luôn tỷ lệ nghịch với độ bảo mật (càng tiện lợi thì bảo mật càng kém và ngược lại) và không có giải pháp nào tiện lợi mà an toàn tuyệt đối cả

Hn07 · 22:12 12/08/2016

luyenok nói:
toàn phân tích xàm, đọc mấy bài của cụ trên này cũng toàn xàm nốt. Nghe câu phán "Tỷ lệ cao nhất đó là Vietcombank bị hack ở mức độ nghiêm trọng" là thấy nể rồi. Mấy ngày gần đây họ gửi cánh báo vì thời gian qua có hàng loạt người bị lừa chuyển tiền.

Em có cần cụ tin đâu :))

!

codochi · 22:13 12/08/2016

aladanh nói:
Nó lấy đc user và pass của chủ tk thông qua web giả mạo thôi cụ ah!
em nghi nó vào đổi luôn số đt nhận OTP

Hồi xưa đổi online được, cách đây mấy năm ko đổi được cụ ạ.
Em đã từng thử, ibanking của vcb bắt ra phòng giao dịch đó cụ.

scud122 · 22:14 12/08/2016

các cụ cho hỏi VCB đã có dịch vụ xác thực chữ ký số chưa nhỉ? đăng ký loại xác thực này như thế nào?

Gcar · 12/8/16

Hn07 nói:
1. Cơ sở nào để cụ biết hacker nó rút tiền dựa vào múi giờ để vượt qua hạn mức tối đa VCB ? Cụ nếu có bảng kê khai giao dịch có hiển thị thời gian hẵng tuyên bố như đúng rồi vậy .
b. Ngân hàng nào có thể cho phép chuyển tiền "tức thời" bằng web đến hệ thống tk thẻ và có thể tài khoản thường DÙ CHO LÀ KHÁC HỆ THỐNG ?( Ta loại trừ việc chuyển khoản đến tk thẻ và tài khoản thường trong cùng hệ thống , vì nó tương đối khôi hài nếu cứ cho là hacker có khả năng làm thẻ giả để ra cây ATM rút ngần đó tiền , tiện cụ logic thêm 200 triệu rút qua ATM ở Malaysia là nó rút kiểu gì cứ cho ATM nhận diện là thẻ thật )
c.Em chưa bàn đến vụ OTP một cách phi lí ở đây

1. Trởi hỏi cái này làm gì ta? Với lại có thời gian báo thay đổi số dư ở trang 1 này đó.
2. Có, và tôi đang dùng (VIB)
Vụ rút tiền ATM ở Malaysia: căn cứ theo các tin nhắn chuyển tiền thì nó chuyển 50triệu 1 lần, có lẽ vào nhiều thẻ khác nhau để rút cho dễ.

Hay ý cụ là bên Malaysia không cho rút tiền Việt? Cứ rút tiền Mã thoải mái, nó quy đổi tỉ giá trừ vào thẻ Visa/Master!

[Funland] Có phải: Chủ thẻ Vietcombank bỗng dưng mất 500 triệu đồng chỉ qua một đêm?

Xe container

Xe lăn

Xe buýt

Xe lăn

Xe ba gác

Xe tải

Xe ba gác

Xe buýt

Xe máy

Xe điện

Xe tải

[Tịch thu bằng lái]

[Tịch thu bằng lái]

Xe điện

Xe tăng

Xe ngựa

Xe tăng

Xe tải

Xe tăng

Xe lăn

Thông tin thớt