Mấu chốt của vụ này em nghĩ ở 2 chỗ:
1. Chị kia đăng nhập vào trang giả mạo nên mất user và pass
2. Điện thoại đã bị phần mềm gián điệp nên bị lộ cái mã OTP.
Em khuyên là cụ nào dùng smartphone nhận mã OTP thì:
1. Đừng Jailbreak xong cài phần mềm linh tinh (với IOS) chỉ cài hàng từ Appstore.
2. Không copy file APK vào máy xong cài (đỗi với Android), Hạn chế cài phần mềm linh tinh ngay cả phần mềm đó có trên Play Store vì Play Store kiểm duyệt không ngon bằng Appstore được.
3. Không dùng đt Trung Quốc cho các số đăng ký nhận OTP.
Trường hợp 2 và 3 nhiều cụ thấy vô lý nhưng em có thời gian làm về đầu số em biết. Rất nhiều phần mềm chứa mã độc rình rập tự động nhắn tin vào các đầu số trừ tiền các cụ. Cá biệt có những ngu phone của TQ thì cài sẵn luôn vào Firmware, các cụ cứ cắm sim vào là nó âm thầm trừ tiền. Nó làm được các việc như trên thì việc nó lấy được OTP của các cụ là hoàn toàn có thể.
Kịch bản theo em rất đơn giản:
1. chị kia bị lừa nhập username và pass VCB Internet banking vào trang giả mạo
2. bots của hacker tự động login vào trang VCB online để chuyển chế độ verify sang Smart OTP, trang giả mạo sẽ yêu cầu chị gái nhập mã kích hoạt mà ngân hàng gửi, chị kia ko biết mã đó để làm gì và vô tư nhập vô -> hacker có SmartOTP của tài khoản.
3. Do VCB có hạn mức 300tr/ngày nên hacker dùng thủ thuật chuyển tiền trước và sau 0h đêm để chuyển đc 500tr khỏi tài khoản.
Khả năng cài malware lên điện thoại là thấp, vì nếu cài nó sẽ xóa luôn tin nhắn báo số dư tài khoản, lúc đó thì 300tr kia cũng mất vì ko phản ứng kịp.
mấy bank khác thường là mấy chục triệu, thậm chí ko quá 20 triệu là hạn mức tối đa. ACB mình đang dùng muốn chuyển mấy trăm triệu buộc phải dùng Hardware OTP generator chứ không software hay SMS gì ráo và chúng bắt mua 1 cục OTP token generator hết 500 ngàn :
