[Funland] Có phải: Chủ thẻ Vietcombank bỗng dưng mất 500 triệu đồng chỉ qua một đêm?

[xegiacmo]

Vâng em xài Agribank rất sẵn lòng nhận ly cà phê từ cụ ! ở vùng em thường nhận chuyển khoản từ VCB mất hơn 1 ngày nó mới cập nhật số dư tính từ lệnh gửi tiền thành công !

Agri có vùng còn chưa rút tiền từ cùng 1 hệ thống tính gì

 

[cogangmuaxe]

cứ cho là vào trang giả mạo đi . t vậy tin nhắn xác thực đâu? ko có bước này mà tiền vẫn chuyển là lỗi thuoccj vcb rồi.

Người ta đã nói mấy trang trước không chịu đọc cứ hỏi lăng nha lăng nhăng

 

[StepUp]

Người ta đã nói mấy trang trước không chịu đọc cứ hỏi lăng nha lăng nhăng

công nhận có mấy cụ cứ tay nhanh hơn mắt, chả chịu đọc gì cả đã nhảy bổ vào nói

 

[nhokcoi89]

Quan liêu phát sợ luôn! Gởi có hơn một triệu, chờ hơn một giờ, qua 3 cửa mới xong.
ACB gởi 50 triệu, chưa đến 5 phút, chỉ đọc số tk, đưa tiền, ký tên là xong.

vcb chỗ các cụ sao khó chịu nhỉ, chỗ e đúng 1 cửa viết thông tin, ok 1' sau có tiền luôn

 

[thich__6969]

Trích Tinhte.vn
"
Bà chị này bị lừa đăng nhập vào site giả có thêm ô mã OTP và đã điền luôn cả SMS OTP vào. Site thật chỉ có ID, Pass và Captcha. Site giả cho thêm ô OTP vào.
Mã OTP bà chị điền vào để đăng nhập website giả chính là mã đối tượng dùng để kích hoạt SmartOTP.
Chị này chủ quan không đọc nội dung tin nhắn chỉ đọc mã, lúc phỏng vấn lờ đi nhưng C50 vào cuộc và đã tra ra cả site giả lẫn tin nhắn kích hoạt smartOTP"

 

[7663A18]

Em thấy cái ref IBVCB. LNH..... Lạ quá. Ref rất dài mà có cả 1 đoạn số giống số thẻ cũ. Thẻ cũ kiểu mã bin là 686868 ấy, gìơ các thẻ chuyển hết sang mã bin 9704 rồi.
Theo em nếu dùng đt click vào một link nào đó mà mất luôn toàn bộ thông tin cá nhân thì mợ này sẽ ko phải nạn nhân đầu tiên. Mấy cụ hay lọ mọ web 18+ đi trước.

 

[StepUp]

Em thấy cái ref IBVCB. LNH..... Lạ quá. Ref rất dài mà có cả 1 đoạn số giống số thẻ cũ. Thẻ cũ kiểu mã bin là 686868 ấy, gìơ các thẻ chuyển hết sang mã bin 9704 rồi.
Theo em nếu dùng đt click vào một link nào đó mà mất luôn toàn bộ thông tin cá nhân thì mợ này sẽ ko phải nạn nhân đầu tiên. Mấy cụ hay lọ mọ web 18+ đi trước.

đoạn đó là Liên ngân hàng sang thẻ Vísa/Debit của ngân hàng khác (nghi của VCB) cụ ạ

 

[chuthoongc4]

Nhưng smart ott chỉ hoạt động trên máy cài nó và có sim chính chủ, nó có mã ott nhưng kg phải máy có sim chính chủ thì sao kích hoạt đc smart ott, vì thế VCB mới ra thông báo là hacker đã cài lén app smart ott lên máy nạn nhân, và nhập ott vào đó để kích hoạt app, sau đó nó cài app đó lên máy nó rồi chuyển tiền điều kg ngờ đã xảy ra, app có thể hoạt động trên máy khác mà chỉ cần username và password, mà kg cần liên quan đến sim,
Dù nó có giải cmn thích thì kiểu gì cái app này cũng đã có một lỗ hỏng logic ở đây.

 

[Tookies]

hôm vừa rồi có một Bé giọng rất ngọt điện cho Em. (Mà thế quái nào thông tin tên, tuổi, số điện thoại, địa chỉ tụi nó có hết)

Em ấy bảo là Em ấy bên dịch vụ gì gì ấy chuyên đi làm thẻ khách hàng thân thiết. Sử dụng dịch vụ bên em ấy trong đợt này phí chỉ có 1tr3 và được khuyến mãi book phòng khách sạn khi đi du lịch được giảm 50% trên toàn quốc, Đồng thời được free 1 đêm trong khách sạn 5 sao cùng các dịch vụ đi kèm trị giá 3tr. Thẻ có giá trị 1 năm sử dụng. điều kiện phải thanh toán qua thẻ visa hoặc tín dụng. ( Tới đây thì em cũng chả quan tâm, Nghe để đó thôi )

xong rồi em ấy hỏi xác nhận địa chỉ và số CMND - Em ấy đọc đúng hết mới kinh, Cả địa chỉ chỗ làm và địa chỉ nhà - mặc dù em chuyển nhà mới được 8 tháng ( Tới đây thì em tò mò )

xong rồi Em ấy nhắc lại vụ thanh toán qua thẻ visa hoặc tín dụng. Em bảo vísa hay tín dụng Anh đều có, Em muốn loại nào. Em ấy bảo lấy thẻ tín dụng đi để có ưu đãi cao hơn. Xong rồi êm ấy hỏi về đầu số thẻ, ukm thì Em báo 4 con đầu số thẻ cho Em ấy. Xong Em ấy giải thích về 4 con số đầu đó là dịch vụ, thẻ gì.... ( tới đây thì Em cũng chả nghĩ gì ).

Lòng vòng một hồi Em ấy ba hoa bông hoa lá cành một lúc khoảng 3p thì em ấy bảo "thôi Anh cung cấp luôn cả dãy số trên thẻ để Em ấy hoàn thiện hồ sơ ( tới đây thì Em nghĩ: Vãi ! cần thì đưa thẻ ra quẹt chứ đưa cho tụi bây làm chi) thế là Em bảo thui Anh cũng chưa rõ về nó lắm về dịch vụ và chương trình bên Em. Em gửi thông tin qua mail cho Anh đi có gì Anh liên hệ lại.

Em ấy lại bảo: không Anh ơi hôm nay là ngày đặc biệt sinh nhật của Công Ty mỗi năm có 1 lần à cho nên cũng ưu đãi đặc biệt làm thẻ qua điện thoại
Em bảo: thôi được rồi Em cứ gửi mail cho Anh đi có gì Anh liên hệ lại ngay.
Em ấy giải thích lòng vòng và nói về lợi ích + khuyến mãi mấy vòng nữa.
Em chốt câu: Em gửi mail cho Anh nhé.
Em ấy phang một câu: tư vấn nãy giờ Anh cung cấp, xác nhận cả địa chỉ và số cmnd, đầu số thẻ tín dụng rồi mà bây giờ chỉ bảo gửi mail thôi á.
Em bảo gửi mail cho Anh đi
nghe xong Em ấy cúp máy cái rụp ( lúc ấy em còn nghe làu bàu mấy câu gì đó nữa )


Tới hôm nay thì lên đọc được bài này :

Thông tin lộ từ đợt thành phố bắt kê khai thông tin từ đầu năm 2015 cụ ợ. Đợt ấy nhà em éo ai khai số cm, thẻ bảo hiểm... Làm ô tổ trưởng cứ cay cú mãi vì đến nhà đòi điền đủ bị đuổi. Em bảo mua thẻ bhxh éo đến lượt các chú phải lo. Mịa mấy dữ liệu ấy là dữ liệu cá nhân mà nhiều cụ cứ kê tuốt tuồn tuột

 

[Đá Ốp Lát]

Em thấy có điểm vô lý là mợ Hương này chắc hẳn phải dùng internet banking của VCB thường xuyên thì phải biết khi login vào VCB nó chỉ yêu cầu user name/password. Sau đấy có chuyển tiền đi hay yêu cầu thay đổi gì đấy nó mới hỏi đến sms OTP. Vậy Mợ Hương khi click vào đường link ấy để làm gì? Và khi nhận sms OTP mợ ấy không thấy giật mình? Vì mới chỉ login vào thì đâu có hỏi sms OTP?

Trích Tinhte.vn
"
Bà chị này bị lừa đăng nhập vào site giả có thêm ô mã OTP và đã điền luôn cả SMS OTP vào. Site thật chỉ có ID, Pass và Captcha. Site giả cho thêm ô OTP vào.
Mã OTP bà chị điền vào để đăng nhập website giả chính là mã đối tượng dùng để kích hoạt SmartOTP.
Chị này chủ quan không đọc nội dung tin nhắn chỉ đọc mã, lúc phỏng vấn lờ đi nhưng C50 vào cuộc và đã tra ra cả site giả lẫn tin nhắn kích hoạt smartOTP"

 

[Gcar]

Nhưng smart ott chỉ hoạt động trên máy cài nó và có sim chính chủ, nó có mã ott nhưng kg phải máy có sim chính chủ thì sao kích hoạt đc smart ott, vì thế VCB mới ra thông báo là hacker đã cài lén app smart ott lên máy nạn nhân, và nhập ott vào đó để kích hoạt app, sau đó nó cài app đó lên máy nó rồi chuyển tiền điều kg ngờ đã xảy ra, app có thể hoạt động trên máy khác mà chỉ cần username và password, mà kg cần liên quan đến sim,
Dù nó có giải cmn thích thì kiểu gì cái app này cũng đã có một lỗ hỏng logic ở đây.

Theo hướng dẫn sử dụng thì không thấy chổ nào đòi phải có sim chính chủ cắm trong máy cài cả, sim đó chỉ dùng nhận tin nhắn mã kích hoạt 1 lần đầu thôi.

 

[Gcar]

Em thấy có điểm vô lý là mợ Hương này chắc hẳn phải dùng internet banking của VCB thường xuyên thì phải biết khi login vào VCB nó chỉ yêu cầu user name/password. Sau đấy có chuyển tiền đi hay yêu cầu thay đổi gì đấy nó mới hỏi đến sms OTP. Vậy Mợ Hương khi click vào đường link ấy để làm gì? Và khi nhận sms OTP mợ ấy không thấy giật mình? Vì mới chỉ login vào thì đâu có hỏi sms OTP?

người thường thì đã vô tới trang fake là chết thôi, thắc mắc gì nữa! Sao không hỏi tại sao rành rọt, giỏi giang mà lại vào link fake!

Với lại sau khi nhập username pass vào thì nó mới hỏi OTP, nhận được tin nhắn OTP từ VCB thì lại càng tin sái cổ chứ nghi ngờ gì!

 

[quangdieu05]

Nhưng smart ott chỉ hoạt động trên máy cài nó và có sim chính chủ, nó có mã ott nhưng kg phải máy có sim chính chủ thì sao kích hoạt đc smart ott, vì thế VCB mới ra thông báo là hacker đã cài lén app smart ott lên máy nạn nhân, và nhập ott vào đó để kích hoạt app, sau đó nó cài app đó lên máy nó rồi chuyển tiền điều kg ngờ đã xảy ra, app có thể hoạt động trên máy khác mà chỉ cần username và password, mà kg cần liên quan đến sim,
Dù nó có giải cmn thích thì kiểu gì cái app này cũng đã có một lỗ hỏng logic ở đây.

Cụ nhầm, smart otp e xài trên máy khác bình thường.
Em đang ở ấn, đăng ký otp và xài bình thường trên máy xài sim ấn luôn

 

[tica]

Mấu chốt của vụ này em nghĩ ở 2 chỗ:
1. Chị kia đăng nhập vào trang giả mạo nên mất user và pass
2. Điện thoại đã bị phần mềm gián điệp nên bị lộ cái mã OTP.

Em khuyên là cụ nào dùng smartphone nhận mã OTP thì:
1. Đừng Jailbreak xong cài phần mềm linh tinh (với IOS) chỉ cài hàng từ Appstore.
2. Không copy file APK vào máy xong cài (đỗi với Android), Hạn chế cài phần mềm linh tinh ngay cả phần mềm đó có trên Play Store vì Play Store kiểm duyệt không ngon bằng Appstore được.
3. Không dùng đt Trung Quốc cho các số đăng ký nhận OTP.

Trường hợp 2 và 3 nhiều cụ thấy vô lý nhưng em có thời gian làm về đầu số em biết. Rất nhiều phần mềm chứa mã độc rình rập tự động nhắn tin vào các đầu số trừ tiền các cụ. Cá biệt có những ngu phone của TQ thì cài sẵn luôn vào Firmware, các cụ cứ cắm sim vào là nó âm thầm trừ tiền. Nó làm được các việc như trên thì việc nó lấy được OTP của các cụ là hoàn toàn có thể.

 

[chuthoongc4]

Cụ nhầm, smart otp e xài trên máy khác bình thường.
Em đang ở ấn, đăng ký otp và xài bình thường trên máy xài sim ấn luôn

Thì rõ rồi, smart otp cài máy khác thì chết toi rồi, đây là điều kiện thiếu bảo mật chứ gì, chứ mà cái app đó khi cài máy khác nó bắt cái máy đó phải có sim đăng kí và phải có mã kích hoạt ott mới thì có phải là kg có vụ này kg. Chính cái app smart otp này đã bị tụi hacker lợi dụng rồi.
Sau khí kích hoạt xong app kg cần sim cũng đc, chứ mà kích hoạt app mà kg cần sim thì chết cụ nó rồi. Phi logic ở đây chứ đâu.

 

[chuthoongc4]

Theo hướng dẫn sử dụng thì không thấy chổ nào đòi phải có sim chính chủ cắm trong máy cài cả, sim đó chỉ dùng nhận tin nhắn mã kích hoạt 1 lần đầu thôi.

Thì cái app nó điều khiển trình tin nhắn mà đâu cần phải đòi, mà là mặc định, khi cài app nó mặc định gửi một tin nhắn tới tổng đài, khi đó tổng đài mới so sánh số thuê bao đó có trùng với số đk Internet banking, nếu trùng thì nó gửi mã ott kích hoạt app, còn kg trùng thì nó phải báo số điện thoại này kg hợp lệ.
Vấn đề là cái áp này nó kg làm đc vậy nó chỉ có ô đăng nhập. Nếu nó làm mỗi lần cài mới là mỗi lần phải kích hoạt app thì sao có vụ này đc. Lỗi bảo mật nằm ở đây chứ đâu.

 

[Là Gì Nhỉ]

Hacker nó lừa nốt cụ lúc vào trang giả mạo nó bắt nhập OTP cụ nhé. Đồng thời trước đó nó lấy User + Pass của cụ cài smartOTP và yêu cầu VCB gửi SMS OTP kích hoạt SmartOTP trên điện thoại của nó. Khi SMS của VCB về điện thoại cụ, cụ nhập luôn OTP lên trang fake thế là xong đời 500 củ cụ nhá. :

Lập luận quá yếu, cái "đồng thời trước đó" rồi chưa kể tin nhắn báo đăng ký dịch vụ thành công (nếu có) là ko tưởng. Topic này khá nhiều seeder của VCB nhỉ

 

[StepUp]

Lập luận quá yếu, cái "đồng thời trước đó" rồi chưa kể tin nhắn báo đăng ký dịch vụ thành công (nếu có) là ko tưởng. Topic này khá nhiều seeder của VCB nhỉ

Cụ phân tích đi xem yếu chỗ nào. Nó chỉ yếu khi người dùng không yếu thôi. C50 đã vào và có tra ra tin nhắn kích hoạt OTP và lịch sử chị kia vào site fake cụ nhé. Em nghĩ nghiêm trọng kiểu này VCB không dám lừa từ trên xuống dưới đâu.

Em nói lời công đạo thôi đến VCB nó thông cáo báo chí còn mù mờ, thì cần seeder làm gì cho mệt.
Thêm cho cụ hình chụp từ TV trên VTV nhé.

 

[apachi]

có cụ mật thư cho nhà cháu hỏi cách phòng tránh, sáng thứ 7 rảnh rỗi cháu đưa lên hầu các cụ, ý tưởng là của riêng nhưng lợi ích là chung, mong rằng có ích đôi chút ợ:
Hai ngày hôm nay rộ lên thông tin tài khoản Vietcombank bị đánh cắp thông tin, gây thất thoát cho khách hàng. Một số người cho rằng do khách hàng đã để lộ thông tin đăng nhập (ID, pass) và hacker đã sử dụng dữ liệu này để đánh cắp tài khoản. Vậy quy trình ra sao:
- Có 2 cách hacker có thể hack được tài khoản, bao gồm qua ATM và qua Internetbanking:
+ Đối với ATM: Chủ thẻ sử dụng thẻ và Pass để rút tiền, thẻ ATM có thể bị copy thông tin (bao gồm tên và số thẻ - bằng thiết bị gắn ngoài khe cắm thẻ) và Pass (bằng cách cài camera hoặc bàn phím dán đè lên bàn phím ATM). Cách này đã được dùng khá lâu (khoảng 5 năm) và bank luôn khuyến cáo che bàn phím khi đánh pass - một cách làm để đẩy hết rủi ro về cho khách hàng .
+ Đối với Internetbanking: Chủ tài khoản sử dụng ID, Pass và OTP (hoặc pass được cung cấp đến bất kì thiết bị cầm tay nào của khách hàng được đăng kí) để verify transaction. Để hack được tài khoản, hacker cần biết đủ cả 3 yếu tố trên. Để hack được ID và Pass thì tương đối dễ, cách đây 10 năm những hacker VN đã làm đc (khi hack TK yahoo hay Gunbound, audition) băng cách cài phần mềm spy hoặc Kelogger để biết được ID và Pass. Đối với OTP (90% khách hàng sử dụng OTP để verify transaction), sẽ có 2 cách để đánh cắp: 1- Hacker cài Spy lên điện thoại của nạn nhân, biết được các số hay gọi đến, gọi đi, làm fake được CMND của nạn nhân, ra báo mất SIM - làm lại SIM mới và OTP sẽ gửi về SIM mới - là sim của Hacker. 2- Hacker vẫn cài Spy lên điện thoại của nạn nhân, spy có trách nhiệm chuyển tiếp tin nhắn OTP về điện thoại của hacker và trường hợp của nạn nhân Vietcombank nằm ở lý do này.
Công tâm mà nói hệ thống bào mật của Vietcombank không yếu khi vẫn làm yêu cầu các bước đủ các bước để verify transcation. Tuy nhiên cái yêu là các ngân hàng chạy đua phát triển dịch vụ mà quên đi tăng cường tính bảo mật của khách hàng. Bằng giờ này năm ngoái, khi còn làm cho Vietinbank, mình đã viết 1 ý tưởng để tăng cường tính bảo mật của tài khoản ngân hàng, nhưng tiếc là các sếp vô tình hay hữu ý mà ko chú trọng đến. Thôi thì đăng nào cũng là ý tưởng, Vietinbank không dùng, mong rằng nhà băng khác sẽ dùng để cho KH yên tâm:
1- Có 1 điểm yêu trong cách đánh Pass của ATM và Internetbanking truyền thống đó là Pass đều là 1 hàng số (dài từ 4-6 số đối với ATM) và dài đền 10 chữ (đối với Internetbanking), các Pass này sẽ được khách hàng đánh liên tục, không cách và đây là lỗ hổng nặng nề nhất của Pass truyền thống, các phần mềm Spy sẽ sao chép, copy được toàn bộ tài khoản của khách hàng khi đã biết được dãy số và chữ trên. Cách khắc phục hiệu quả là KHÔNG ĐÁNH PASS liên tục và thay vào đó đánh pass rời rạc, thay đổi liên tục mỗi lần đánh pass. Ví dụ pass là VIETINBANK, lần 1 sẽ bắt đánh pass số 2 3 5 7 là: I E I B, lần sau thay đổi là 2 3 5 8 là: I E I A. Tất cả các lần đăng nhập đều thay đổi, do vậy cùng 1 pass nhưng không bao giờ giống nhau tại các lần đăng nhập.
2 - Có câu hỏi bảo mật khi đăng nhập tại địa chỉ IP mới: Cái này bank nên dùng 3 câu hỏi bảo mật lần 2 (thay vì pass) để tránh trường hợp khách hàng bị đánh cắp ID và Pass ở máy thường xuyên dùng nhưng hacker cũng ko biết Pass lần 2 để đăng nhập.
3 - Tăng tính bảo mật của Token key: Token key có nhiệm vụ thay thế OTP, tuy nhiên ở VN token key là mã trần (tức là dãy số nhảy liên tục trên token), rủi ro có thể xảy đến khi bị đá Pass, để khắc phục thì nên làn Token ẩn, không nên để lộ liên tục.
Với khách hang đang sử dụng Internetbanking và ATM thì có 1 số cách để phòng tránh hacker:
1 - Không đăng nhập bằng máy tính hay thiết bị cầm tay lạ hoặc kick vào các link không an toàn để truy cập Internetbanking.
2 - Nếu có thể nên sử dụng Token trong giao dịch.
3 - Khi đăng nhập nên sử dụng bàn phím ảo, không sử dụng bàn phím vật lý (hên xui )
https://www.facebook.com/lahung2210/posts/1816027601963859

 

[Nina Nguyen]

Cho em hỏi tí, ví dụ bị hack tài khoản VCB, sẽ thấy trong đó có số tài khoản tiết kiệm. TK sổ tiết kiệm có bị hack không các cụ?