[Funland] Có phải: Chủ thẻ Vietcombank bỗng dưng mất 500 triệu đồng chỉ qua một đêm?

[richter]

Bà chị tôi tờ mờ sáng tỉnh dậy thấy 500 triệu VND bị chuyển khỏi tài khoản Vietcombank. Các giao dịch bắt đầu từ lúc gần 1h đêm đến sáng.

Sau một quá trình điều tra rất ngắn gọn, bao gồm một cuộc gặp gỡ với khách hàng và "kiểm tra điện thoại" của khách, Vietcombank ra thông cáo báo chí với kết luận: vì khách hàng click vào một đường link giả mạo nên mất hết thông tin và mật khẩu.

Chúng ta hiểu qua thông cáo báo chí này rằng Vietcombank thừa nhận rằng việc mất quyền kiểm soát tài khoản tại ngân hàng này có thể dễ dàng đến mức nào. Click vào 01 đường link. Trong khi đó, chị tôi không nhận được bất kỳ mã xác thực chuyển tiền nào dù đã đăng ký. Không có mã OTP.

Chúng ta hiểu qua thông cáo báo chí ngắn gọn và nhanh chóng này, rằng việc click vào một đường link có thể khiến người ta tán gia bại sản (nếu họ gửi tiền ở Vietcombank). 500 triệu là một số tiền rất lớn, và nếu không phát hiện kịp thời, khoá tài khoản và vãn hồi được 300 triệu - do chưa giao dịch, thì chị tôi đã phá sản trong ngày.

Tôi thấy ngạc nhiên với Vietcombank vì kết luận một vụ việc có dấu hiệu hình sự nhanh chóng đến thế. Không cần bên thứ 3, không cần các chuyên gia tin học, không cần cơ quan điều tra.

Vietcombank đã thẳng thắn thừa nhận rằng việc gửi tiền cho Vietcombank có thể là vô nghĩa với những điều kiện rất đơn giản. Không cần mất thẻ, không cần mất điện thoại, và hậu quả lớn gấp 10 lần việc bạn mất thẻ credit. Bạn không thể mất tiền theo một cách nào dễ dàng hơn nữa, kể cả đem tiền ném ra bờ Hồ.

Ngay SAU sự việc của chị tôi thì Vietcombank gửi tin nhắn cho toàn bộ khách hàng cảnh báo về việc không truy cập qua điện thoại, mạng xã hội,... Cảm ơn Vietcombank nhưng chắc hệ thống của các bạn có gì nhầm lẫn, tôi đã huỷ tài khoản Vietcombank từ đầu năm ngoái, rút tiền ra và huỷ tài khoản, trong một lần giao dịch vì thái độ phục vụ của một ngân hàng nhiều khách.

Mọi chuyện thực sự quá đơn giản. Và tôi muốn hỏi rằng: việc mất TOÀN BỘ quyền kiểm soát tài khoản cá nhân của mình có thực sự đơn giản đến thế?

Nếu câu trả lời là CÓ, như Vietcombank đã nói, thì tôi sợ rằng mọi khách hàng của hệ thống ngân hàng đều nên cảm thấy bất an.

Tôi hy vọng các cơ quan báo chí tiếp tục theo vụ này, vì hôm nhận được tin từ bà chị, một trong những người đầu tiên, tôi đã sợ đờ đẫn cả người. Tôi cũng rất mong các cơ quan chức năng nhanh chóng làm rõ sự việc. Và đặc biệt, là cộng đồng công nghệ thông tin nước ta, các hacker mũ trắng, có thể tìm hiểu để giúp người dân chúng tôi cảm thấy an toàn hơn trong bối cảnh an ninh mạng bị đe doạ như hiện nay.

Nguồn FB của bạn Hoàng Đinh Đức em trai của bạn mất tiền.

Nhà em chỉ có một thắc mắc duy nhất là em trai bạn mất tiền ấy không biết hay cố tình không biết cái vụ click vào link nhưng kệ mịa nó thoát ra nó khác hẳn với việc click vào link rồi khai báo username lẫn password trên link hay không?

Nói chung không bênh ai nhưng rõ ràng là có uẩn khúc, hehe, bạn ấy giữ lắm xiền trong tài khoản mà cứ click bất kỳ link nào rồi khai báo username lẫn pass thì giời đỡ được ạ.

Còn VCB thì rõ ràng sau vụ này phải cho cái Smart OTP vào dĩ vãng, chứ qua sms OTP thì ít ra có thêm thằng chịu trách nhiệm nữa là bọn nnà mạng viễn thông.

 

[RedAndWhite]

Nguồn FB của bạn Hoàng Đinh Đức em trai của bạn mất tiền.

Nhà em chỉ có một thắc mắc duy nhất là em trai bạn mất tiền ấy không biết hay cố tình không biết cái vụ click vào link nhưng kệ mịa nó thoát ra nó khác hẳn với việc click vào link rồi khai báo username lẫn password trên link hay không?

Nói chung không bênh ai nhưng rõ ràng là có uẩn khúc, hehe, bạn ấy giữ lắm xiền trong tài khoản mà cứ click bất kỳ link nào rồi khai báo username lẫn pass thì giời đỡ được ạ.

Còn VCB thì rõ ràng sau vụ này phải cho cái Smart OTP vào dĩ vãng, chứ qua sms OTP thì ít ra có thêm thằng chịu trách nhiệm nữa là bọn nnà mạng viễn thông.

khó bỏ sm-otp lắm cụ ơi, nếu cụ chủ đang ở nước ngoài thì sms otp là vô dụng ạ

 

[StepUp]

Hacker k cầm đt
Xóa kiểu j cụ

Chiếm quyền sử dụng bằng phần mềm. Android thì hoàn toàn có thể, iÓS thì nếu jb thì có thể, còn không thì loại khả năng này cụ ạ.

Nguồn FB của bạn Hoàng Đinh Đức em trai của bạn mất tiền.

Nhà em chỉ có một thắc mắc duy nhất là em trai bạn mất tiền ấy không biết hay cố tình không biết cái vụ click vào link nhưng kệ mịa nó thoát ra nó khác hẳn với việc click vào link rồi khai báo username lẫn password trên link hay không?

Nói chung không bênh ai nhưng rõ ràng là có uẩn khúc, hehe, bạn ấy giữ lắm xiền trong tài khoản mà cứ click bất kỳ link nào rồi khai báo username lẫn pass thì giời đỡ được ạ.

Còn VCB thì rõ ràng sau vụ này phải cho cái Smart OTP vào dĩ vãng, chứ qua sms OTP thì ít ra có thêm thằng chịu trách nhiệm nữa là bọn nnà mạng viễn thông.

Cụ nói chuẩn.
Em copy cho cụ ý kiến của một cụ trên Facebook phán em thấy khá chuẩn và dễ thực hiện:

1. Hacker cài đặt app Vietcom và smart OTP lên và chưa đăng nhập
2. Chị kia truy cập vào website phishing cung cấp tên tài khoản và mật khẩu cho hacker, tại giao diện web hacker yêu cầu nhập mã xác thực OTP.
3. Hacker ngay trong lúc này thực hiện việc đăng nhập vào app smart OTP, app OTP sẽ thực hiện yêu cầu kích hoạt bằng mã được gửi tới sđt của chị kia. Trong lúc này chị kia nhận được SMS chứa OTP (do yêu cầu từ hacker) từ Vietcom và nhập mã OTP lên website. Hacker nhận được mã và thực hiện kích hoạt Smart OTP thành công.
4. Như vậy sau 3 bước ở trên hacker kiểm soát được hoàn toàn tk của chị kia mà không cần bất cứ thông tin nào khác. Lúc này chờ đến khi trời tối đêm khuya không ai để ý, hacker bắt đàu tiến hành chuyển tiền từ tài khoản của victim để chiếm đoạt.
Như vậy điều kiện đê bị hack ở đây là:
+ K/h chưa cài app Vietcom và app Vietcom Smart OTP bất cứ lần nào trên điện thoại.
+ K/h nhập thông tin về tài khoản, mật khẩu và mã kích hoạt Smart OTP trên site phising.

 

[errorkungfu]

Một là bị hack, 2 là hệ thống mạng NH bị lỗi, mà ko báo OTP nghĩa là hệ thống của NH bị lỗi rồi, em suy đoán vậy

 

[cogangmuaxe]

khó bỏ sm-otp lắm cụ ơi, nếu cụ chủ đang ở nước ngoài thì sms otp là vô dụng ạ

Roaming, phí vẫn thế, có mấy ngàn/ tháng

 

[provtc]

Hack cái gì, các cụ xem thời sự chưa, khách hàng cung cấp cả mã otp cho bọn lừa đảo kìa, rồi nó đky cho những lần giao dịch ko cần otp. Chắc lại bị bọn nước ngoài lừa trúng thưởng rồi

 

[Nha Trang@]

Nguồn FB của bạn Hoàng Đinh Đức em trai của bạn mất tiền.

Nhà em chỉ có một thắc mắc duy nhất là em trai bạn mất tiền ấy không biết hay cố tình không biết cái vụ click vào link nhưng kệ mịa nó thoát ra nó khác hẳn với việc click vào link rồi khai báo username lẫn password trên link hay không?

Nói chung không bênh ai nhưng rõ ràng là có uẩn khúc, hehe, bạn ấy giữ lắm xiền trong tài khoản mà cứ click bất kỳ link nào rồi khai báo username lẫn pass thì giời đỡ được ạ.

Còn VCB thì rõ ràng sau vụ này phải cho cái Smart OTP vào dĩ vãng, chứ qua sms OTP thì ít ra có thêm thằng chịu trách nhiệm nữa là bọn nnà mạng viễn thông.

Em cũng có thắc mắc y như cụ, là mợ Hương có gõ use name và password vào trang web Kia không? Điều đó không nghe khổ chủ trình bày!

 

[cogangmuaxe]

Chiếm quyền sử dụng bằng phần mềm. Android thì hoàn toàn có thể, iÓS thì nếu jb thì có thể, còn không thì loại khả năng này cụ ạ.


Cụ nói chuẩn.
Em copy cho cụ ý kiến của một cụ trên Facebook phán em thấy khá chuẩn và dễ thực hiện:

1. Hacker cài đặt app Vietcom và smart OTP lên và chưa đăng nhập
2. Chị kia truy cập vào website phishing cung cấp tên tài khoản và mật khẩu cho hacker, tại giao diện web hacker yêu cầu nhập mã xác thực OTP.
3. Hacker ngay trong lúc này thực hiện việc đăng nhập vào app smart OTP, app OTP sẽ thực hiện yêu cầu kích hoạt bằng mã được gửi tới sđt của chị kia. Trong lúc này chị kia nhận được SMS chứa OTP (do yêu cầu từ hacker) từ Vietcom và nhập mã OTP lên website. Hacker nhận được mã và thực hiện kích hoạt Smart OTP thành công.
4. Như vậy sau 3 bước ở trên hacker kiểm soát được hoàn toàn tk của chị kia mà không cần bất cứ thông tin nào khác. Lúc này chờ đến khi trời tối đêm khuya không ai để ý, hacker bắt đàu tiến hành chuyển tiền từ tài khoản của victim để chiếm đoạt.
Như vậy điều kiện đê bị hack ở đây là:
+ K/h chưa cài app Vietcom và app Vietcom Smart OTP bất cứ lần nào trên điện thoại.
+ K/h nhập thông tin về tài khoản, mật khẩu và mã kích hoạt Smart OTP trên site phising.

Có vẻ chuẩn. Và thực ra là lỗi mợ kia hoàn toàn. Gõ cả mật khẩu lẫn tên tài khoản vào trang web giả mạo còn kêu ai. Nếu tiếp tục thế thì còn mất nhiều thứ khác chứ ATM đã là gì.

 

[nganvitga]

Vụ này nó lấy thông tin qua Việt Nam Airline do khách là thành viên Bông sen vàng sau vụ hack vừa rồi

 

[Nguoimoivao3]

Smart OTP nó khác với sms OTP như thế nào hả các cụ? Hồi nào đến giờ khi giao dịch VCB online em toàn chọn sms OTP vì em không được phép chọn Smart OTP, thấy nó bảo em chưa đăng ký nhưng thực sụ em cũng ko biết nó là cái gì để đăng ký cả.

Đọc phân tích các cụ trên đây thì có vẻ là dùng Smart OTP sẽ nguy cơ bị hack tài khoản dễ hơn là dùng sms OTP đúng không ạ?

 

[Nguoimoivao3]

Vụ này nó lấy thông tin qua Việt Nam Airline do khách là thành viên Bông sen vàng sau vụ hack vừa rồi

Thông tin Bông sen vàng thì liên quan gì đến user name và mật khẩu VCB hả cụ?

 

[cogangmuaxe]

Smart OTP nó khác với sms OTP như thế nào hả các cụ? Hồi nào đến giờ khi giao dịch VCB online em toàn chọn sms OTP vì em không được phép chọn Smart OTP, thấy nó bảo em chưa đăng ký nhưng thực sụ em cũng ko biết nó là cái gì để đăng ký cả.

Đọc phân tích các cụ trên đây thì có vẻ là dùng Smart OTP sẽ nguy cơ bị hack tài khoản dễ hơn là dùng sms OTP đúng không ạ?

smart nó được tạo ra bằng apps. Tức là không cần hack điện thoại hoặc xem tin nhắn điện thoại của cụ. Vẫn nên dùng sms cho an toàn vì hack điện thoại thực sự không đơn giản, nhất là điện thoại được bảo mật như BB, hoặc lúc chúng nó chuyển khoản thì điện thoại để ở chế độ máy bay hoặc tắt. Điện thoại cùi nữa là khỏi hắc luôn

 

[Chuducbinh]

Vụ này nó lấy thông tin qua Việt Nam Airline do khách là thành viên Bông sen vàng sau vụ hack vừa rồi

Cụ nói cũng có cơ sở đấy. Vote

 

[provtc]

Em cũng có thắc mắc y như cụ, là mợ Hương có gõ use name và password vào trang web Kia không? Điều đó không nghe khổ chủ trình bày!

Ko thấy nói nhưng mợ hương nhắn tin cung cấp cả mã otp với thông tin cho bọn lừa đảo

 

[RedAndWhite]

Roaming, phí vẫn thế, có mấy ngàn/ tháng

roaming thì các mợ hơi bị không ưa, nhưng có lẽ cần phổ cập thật ạ

 

[thich__6969]

Chiếm quyền sử dụng bằng phần mềm. Android thì hoàn toàn có thể, iÓS thì nếu jb thì có thể, còn không thì loại khả năng này cụ ạ.


Cụ nói chuẩn.
Em copy cho cụ ý kiến của một cụ trên Facebook phán em thấy khá chuẩn và dễ thực hiện:

1. Hacker cài đặt app Vietcom và smart OTP lên và chưa đăng nhập
2. Chị kia truy cập vào website phishing cung cấp tên tài khoản và mật khẩu cho hacker, tại giao diện web hacker yêu cầu nhập mã xác thực OTP.
3. Hacker ngay trong lúc này thực hiện việc đăng nhập vào app smart OTP, app OTP sẽ thực hiện yêu cầu kích hoạt bằng mã được gửi tới sđt của chị kia. Trong lúc này chị kia nhận được SMS chứa OTP (do yêu cầu từ hacker) từ Vietcom và nhập mã OTP lên website. Hacker nhận được mã và thực hiện kích hoạt Smart OTP thành công.
4. Như vậy sau 3 bước ở trên hacker kiểm soát được hoàn toàn tk của chị kia mà không cần bất cứ thông tin nào khác. Lúc này chờ đến khi trời tối đêm khuya không ai để ý, hacker bắt đàu tiến hành chuyển tiền từ tài khoản của victim để chiếm đoạt.
Như vậy điều kiện đê bị hack ở đây là:
+ K/h chưa cài app Vietcom và app Vietcom Smart OTP bất cứ lần nào trên điện thoại.
+ K/h nhập thông tin về tài khoản, mật khẩu và mã kích hoạt Smart OTP trên site phising.

Em thấy 3 bước này có lý và có thể xảy ra thật.
Cụ có cách nào đỡ không ?

 

[headway02]

Chiếm quyền sử dụng bằng phần mềm. Android thì hoàn toàn có thể, iÓS thì nếu jb thì có thể, còn không thì loại khả năng này cụ ạ.


Cụ nói chuẩn.
Em copy cho cụ ý kiến của một cụ trên Facebook phán em thấy khá chuẩn và dễ thực hiện:

1. Hacker cài đặt app Vietcom và smart OTP lên và chưa đăng nhập
2. Chị kia truy cập vào website phishing cung cấp tên tài khoản và mật khẩu cho hacker, tại giao diện web hacker yêu cầu nhập mã xác thực OTP.
3. Hacker ngay trong lúc này thực hiện việc đăng nhập vào app smart OTP, app OTP sẽ thực hiện yêu cầu kích hoạt bằng mã được gửi tới sđt của chị kia. Trong lúc này chị kia nhận được SMS chứa OTP (do yêu cầu từ hacker) từ Vietcom và nhập mã OTP lên website. Hacker nhận được mã và thực hiện kích hoạt Smart OTP thành công.
4. Như vậy sau 3 bước ở trên hacker kiểm soát được hoàn toàn tk của chị kia mà không cần bất cứ thông tin nào khác. Lúc này chờ đến khi trời tối đêm khuya không ai để ý, hacker bắt đàu tiến hành chuyển tiền từ tài khoản của victim để chiếm đoạt.
Như vậy điều kiện đê bị hack ở đây là:
+ K/h chưa cài app Vietcom và app Vietcom Smart OTP bất cứ lần nào trên điện thoại.
+ K/h nhập thông tin về tài khoản, mật khẩu và mã kích hoạt Smart OTP trên site phising.

Thứ nhất : cụ chỉ đăng nhập trên trang chủ vcb thì mới có mã otp gửi sms về cho cụ,trang fake lừa chắc chắn k có.
Thứ hai: e cũng xài android và em khẳng định ko có vụ hacker chiếm quyền điều khiển hệ thống admin của máy,với các máy android 5xx cực khó và không khả thi,đã thế với ios còn khó hơn.
Giao dịch chuyển tiền của vietcombank chỉ diễn ra vào ban ngày,giờ hành chính

 

[cogangmuaxe]

roaming thì các mợ hơi bị không ưa, nhưng có lẽ cần phổ cập thật ạ

Roaming trước khi qua nước ngoài chỉ cần gửi 1 tin nhắn là nó đăng ký thôi. Sau đó tắt data service while roaming thì qua đấy chỉ nghe gọi chứ không dùng mạng mẽo mail fb, khi nào có wifi thì lại dùng mạng mẽo email fb bình thường. Nói chung dùng roaming tắt data service thì chỉ phải tốn tiền nếu nghe gọi nhắn tin chứ an toàn. Chỉ có ai dốt, đăng ký roaming xong ko tắt nút kia mà đăng ký trả sau nữa thì về nước xong có thể nhận hóa đơn mấy chục triệu nếu nó đổ 1 lúc hàng trăm mail to đùng vào điện thoại.

 

[nganvitga]

Thông tin Bông sen vàng thì liên quan gì đến user name và mật khẩu VCB hả cụ?

Cụ mua vé TT tiền bằng thẻ

 

[StepUp]

Thứ nhất : cụ chỉ đăng nhập trên trang chủ vcb thì mới có mã otp gửi sms về cho cụ,trang fake lừa chắc chắn k có.
Thứ hai: e cũng xài android và em khẳng định ko có vụ hacker chiếm quyền điều khiển hệ thống admin của máy,với các máy android 5xx cực khó và không khả thi,đã thế với ios còn khó hơn.
Giao dịch chuyển tiền của vietcombank chỉ diễn ra vào ban ngày,giờ hành chính

Cụ đọc kĩ bài em gửi đi ạ, web fake chỉ yêu cầu nhập, còn thằng hack nó vào hệ thống thật để gửi yêu cầu lấy, khi chị kia nhận được rồi nhập lên hệ thống fake là mất ạ