[Funland] Gửi tiết kiệm tại VPBank, khách hàng tố bị mất sạch hơn 2,1 tỷ đồng

[Y Nok]

Theo em nghĩ dùng số điện thoại để gửi SMS nhằm mục đích bảo mật 2 lớp. Như thế sẽ có độ an toàn cao hơn.

Bảo mật "Smart otp" cao hơn SMS 1 bậc cụ ạ.
Nó chính là sự kết hợp đồng thời của SMS + Thiết bị thực hiện. Tức là Cụ thực hiện thao tác, giao dịch trên 1 thiết bị có "gắn sim số đt đăng ký" + thiết bị thực hiện ( cái điện thoại) nó đã đc xác nhận bởi giao gịch thực hiện trước đó.
Vd khi cụ đăng nhập acc bằng thiết bị khác gắn sim đã đăng ký ( đổi đt) nó sẽ hỏi cụ: có phải bạn đang đăng nhập bằng thiết bị....(..)...?và xác nhận qua SMS otp.
Nếu thiết bị # ko gắn Sim đăng ký thì chỉ thực hiện bảo mật SMS thôi. Tức là cụ đăng nhập acc bằng thiết bị khác nhưng SMS sẽ trả về số đã đăng ký.

 

[Thắng_Sơn Tây]

Thực sự thì gửi tk oline rất khó bị mất, và cũng rất dễ bị mất, vì:
- Chỉ chủ số đt đăng ký với NH mới có thể nhận mã OTP.
- Cả đt và tk ngân hàng đều có thể đăng nhập = khuôn mặt. Nên nếu lúc chính chủ đang ngủ, thì ai đó có thể mở đt, đăng nhập tk và chuyển tiền rất dễ dàng.
Ngoài ra nếu nhân viên Ngân hàng cố tình lấy tiền thì cũng có khả năng. Hiện đại thì hại điện, cái gì cũng có 2 mặt.

Em tưởng chức năng nhận diện khuôn mặt sẽ không chấp nhận sự khác nhau giữa mắt nhắm và mắt mở chứ nhỉ?

 

[Thắng_Sơn Tây]

Bảo mật "Smart otp" cao hơn SMS 1 bậc cụ ạ.
Nó chính là sự kết hợp đồng thời của SMS + Thiết bị thực hiện. Tức là Cụ thực hiện thao tác, giao dịch trên 1 thiết bị có "gắn sim số đt đăng ký" + thiết bị thực hiện ( cái điện thoại) nó đã đc xác nhận bởi giao gịch thực hiện trước đó.
Vd khi cụ đăng nhập acc bằng thiết bị khác gắn sim đã đăng ký ( đổi đt) nó sẽ hỏi cụ: có phải bạn đang đăng nhập bằng thiết bị....(..)...?và xác nhận qua SMS otp.
Nếu thiết bị # ko gắn Sim đăng ký thì chỉ thực hiện bảo mật SMS thôi. Tức là cụ đăng nhập acc bằng thiết bị khác nhưng SMS sẽ trả về số đã đăng ký.

Cái này em có hiểu, app nó được quyền truy cập vào sim để nhận diện thiết bị cài app rồi. Nhưng khi cần thay đổi gì đó, app sẽ gửi SMS vào số điện thoại đăng ký để xác nhận.

 

[hoangdang2002]

Em tưởng chức năng nhận diện khuôn mặt sẽ không chấp nhận sự khác nhau giữa mắt nhắm và mắt mở chứ nhỉ?

đúng cụ! Dùng vân tay hoặc nhận diện khuôn mặt là cực kỳ an toàn rồi!

 

[atoxet]

Bảo mật "Smart otp" cao hơn SMS 1 bậc cụ ạ.
Nó chính là sự kết hợp đồng thời của SMS + Thiết bị thực hiện. Tức là Cụ thực hiện thao tác, giao dịch trên 1 thiết bị có "gắn sim số đt đăng ký" + thiết bị thực hiện ( cái điện thoại) nó đã đc xác nhận bởi giao gịch thực hiện trước đó.
Vd khi cụ đăng nhập acc bằng thiết bị khác gắn sim đã đăng ký ( đổi đt) nó sẽ hỏi cụ: có phải bạn đang đăng nhập bằng thiết bị....(..)...?và xác nhận qua SMS otp.
Nếu thiết bị # ko gắn Sim đăng ký thì chỉ thực hiện bảo mật SMS thôi. Tức là cụ đăng nhập acc bằng thiết bị khác nhưng SMS sẽ trả về số đã đăng ký.

Em dùng mobile banking của 5 ngân hàng, bọn nó chỉ kiểm tra “cái điện thoại” chứ ko kiểm tra “cái sim”. Em lắp sim khác vào nó cũng chẳng biết, em đổi điện thoại thì phải qua vài bước để kích hoạt app trên đt mới (SCB còn bắt lên tận phòng giao dịch để làm thủ tục đổi máy).
Em có trải nghiệm 1 cái ngân hàng của bọn giãy chết thì khi đổi máy đt (tức là đổi thiết bị Digital token/Smart OTP), nó ko cho thực hiện các giao dịch “có độ rủi ro cao” (thêm người nhận mới (bọn này nó chie cho chuyển tiền đến người nhận trong danh sách, muốn chuyển tiền đến ai thì phải thêm người nhận vào danh sách); đổi hạn mức giao dịch) trong 12 tiếng, đồng thời gửi email + tin nhắn để thông báo, cũng đỡ đc 1 chút rủi ro.

 

[fanmu1234]

Bảo mật của Sim đt cũng rất cao.
Muốn đổi đc từ sim vật lý sang Esim bắt buộc phải chính chủ:
1. Tại PGD hãng viễn thông. Chắc phải chính chủ rồi.
2. Đổi trực tuyến phải qua xác nhận face và các thông tin khác. Bắt buộc phải đăng nhập Tài khoản nhà mạng...gần cuối quy trình sẽ có bước xác thực "ok" trên thiết bị và tài khoản, số sim chính chủ cũ.
3. Đổi bằng SMS hay gọi Tổng đài cũng phải chính chủ, phải cung cấp đầy đủ thông tin, và có mã xác thực gửi về số sim vật lý.
* Khi kích hoạt Esim thì sim vật lý có số đã đổi sang Esim sẽ "chết" ngay.
Nên ko phải 'chính chủ' thì ko đổi đc đâu.

Thấy báo đăng bọn trộm dùng cách gì đó, liên lạc với chủ sim và cuối cùng là có 1 mã OPT gửi về sim. Nếu chủ sim tiết lộ cho bọn trộm mã OPT này, thì sim vật lý trong tay chủ sim sẽ chết, và esim trong tay bọn trộm được kích hoạt

 

[Smile1102]

Thế à? Chị chưa bao giờ đổi PIN nên không biết, vậy nếu mất điện thoại thì có thể lộ hết vì biến động TK ngân hàng thường nhắn về điện thoại, đôi khi mình lưu giữ ảnh CCCD trên đt nữa. Vậy quan trọng là không đánh mất điện thoại và pass điện thoại nhỉ?và đúng là nguy cơ từ người nhà nữa.

Đúng rồi chị ơi, điện thoại là phải giữ, và ko tiết lộ pass dthoai cũng như OTP cho bất cứ ai ạ.

 

[Smile1102]

Em dùng mobile banking của 5 ngân hàng, bọn nó chỉ kiểm tra “cái điện thoại” chứ ko kiểm tra “cái sim”. Em lắp sim khác vào nó cũng chẳng biết, em đổi điện thoại thì phải qua vài bước để kích hoạt app trên đt mới (SCB còn bắt lên tận phòng giao dịch để làm thủ tục đổi máy).
Em có trải nghiệm 1 cái ngân hàng của bọn giãy chết thì khi đổi máy đt (tức là đổi thiết bị Digital token/Smart OTP), nó ko cho thực hiện các giao dịch “có độ rủi ro cao” (thêm người nhận mới (bọn này nó chie cho chuyển tiền đến người nhận trong danh sách, muốn chuyển tiền đến ai thì phải thêm người nhận vào danh sách); đổi hạn mức giao dịch) trong 12 tiếng, đồng thời gửi email + tin nhắn để thông báo, cũng đỡ đc 1 chút rủi ro.

Em nghĩ ngân hàng mình cũng cần thêm 1 số bước gì đó để làm giảm độ rủi ro. Ví dụ như cụ nói cũng mà 1 cách.

Thấy báo đăng bọn trộm dùng cách gì đó, liên lạc với chủ sim và cuối cùng là có 1 mã OPT gửi về sim. Nếu chủ sim tiết lộ cho bọn trộm mã OPT này, thì sim vật lý trong tay chủ sim sẽ chết, và esim trong tay bọn trộm được kích hoạt

Em nghĩ bọn nó kích hoạt quy trình đổi SIM, và đó là bước cuối cùng để xác thực. Làm đc các bước trước là cũng phải có nhiều thông tin lắm rồi, như số căn cước, điện thoại gọi đi và đến...

 

[Smile1102]

Cái này em có hiểu, app nó được quyền truy cập vào sim để nhận diện thiết bị cài app rồi. Nhưng khi cần thay đổi gì đó, app sẽ gửi SMS vào số điện thoại đăng ký để xác nhận.

Cái này đúng là bọn Bank nó khá stupid. Vì Smart OTP là để tránh rủi ro trên SMS haymail, mà cuối cùng lại có thể dùng SMS để reset lại.
Vậy nên đội Bank cần phải xem lại quy trình này chứ ko thì Smart OTP chả có tác dụng gì.

 

[fanmu1234]

Em nghĩ bọn nó kích hoạt quy trình đổi SIM, và đó là bước cuối cùng để xác thực. Làm đc các bước trước là cũng phải có nhiều thông tin lắm rồi, như số căn cước, điện thoại gọi đi và đến...

Thông tin này thì đầy trên mạng, NV nhà mạng cũng có thể xì ra, hoặc 1 bên thứ 3 cung cấp dịch vụ ... sẽ yêu cầu KH khai báo thông tin CMND

 

[Y Nok]

Thấy báo đăng bọn trộm dùng cách gì đó, liên lạc với chủ sim và cuối cùng là có 1 mã OPT gửi về sim. Nếu chủ sim tiết lộ cho bọn trộm mã OPT này, thì sim vật lý trong tay chủ sim sẽ chết, và esim trong tay bọn trộm được kích hoạt

Chính xác, như vậy là việc đổi đc sang Esim có sự trợ giúp của khổ chủ cấp cho Kẻ cắp OTP.
* Bươc thứ 2 là: chỉ có số điện thoại đăng ký với NH có thể thực hiện việc đổi Đăng nhập, mật khẩu Tài khoản và thực hiện GD....đc ko?
- Ko. Đổi mật khẩu TK NH ( đối với kẻ cắp kia là quên mk)... Nhiều cụ đã đăng bài rồi....phải có thêm nhiều thông tin tham chiếu khác mới thực hiện đc việc này.
Như: số TK NH, số thẻ vật lý NH ( nếu đổi qua tổng đài)...hình ảnh CCCD/Hộ chiếu ( cái này có thể có từ việc đổi Esim), Ảnh Chân dung ( nếu đổi trực tuyến) tức là :
Kẻ cắp phải có rất nhiều thông tin từ Nạn nhân. Về TK NH, thẻ NH về CCCD/Hộ chiếu...

 

[fanmu1234]

Chính xác, như vậy là việc đổi đc sang Esim có sự trợ giúp của khổ chủ cấp cho Kẻ cắp OTP.
* Bươc thứ 2 là: chỉ có số điện thoại đăng ký với NH có thể thực hiện việc đổi Đăng nhập, mật khẩu Tài khoản và thực hiện GD....đc ko?
- Ko. Đổi mật khẩu TK NH ( đối với kẻ cắp kia là quên mk)... Nhiều cụ đã đăng bài rồi....phải có thêm nhiều thông tin tham chiếu khác mới thực hiện đc việc này.
Như: số TK NH, số thẻ vật lý NH ( nếu đổi qua tổng đài)...hình ảnh CCCD/Hộ chiếu ( cái này có thể có từ việc đổi Esim), Ảnh Chân dung ( nếu đổi trực tuyến) tức là :
Kẻ cắp phải có rất nhiều thông tin từ Nạn nhân. Về TK NH, thẻ NH về CCCD/Hộ chiếu...

Thông tin này thì đầy trên mạng, NV nhà mạng cũng có thể xì ra, hoặc 1 bên thứ 3 cung cấp dịch vụ ... sẽ yêu cầu KH khai báo thông tin CMND


1/ Bọn trộm liên lạc với nạn nhân, thông báo sim sắp bị khóa 2 chiều do vi phạm pháp luật.

2/ Chúng hướng dẫn nạn nhân click vào 1 đường link để khai báo không bị hủy sim (thực tế đó là đường link chuyển từ sim vật lý trong tay nạn nhân sang Esim trong tay bọn trộm).

3/ Mã OPT gửi về sim vật lý, nạn nhân tiết lộ mã OTP này cho bọn trộm, và chuyển sang Esim trong tay chúng. Sim vật lý bị chết.

4/ Sau khi có Esim, chúng sẽ liên lạc tổng đài để khai báo thông tin CNMD của nạn nhân, thông tin về thẻ tín dụng ... hoặc chúng sẽ thao tác trực tiếp trên app để tạo lại mật khẩu mới và mã Smart OPT mới.

5/ Tiền đi khỏi TK

Tức là bọn trộm có thông tin nạn cá nhân của nhân từ trước. Tại sao bọn trộm biết nạn nhân có tiền trong TK? Sao chúng nó biết nạn nhân mở TK tại NH nào?

6/ Nếu sim vật lý chết, thì nạn nhân phải hiểu là sim bị chiếm đoạt, có vẻ vô lý trong trường hợp của bà này

 

[Smile1102]

Thông tin này thì đầy trên mạng, NV nhà mạng cũng có thể xì ra, hoặc 1 bên thứ 3 cung cấp dịch vụ ... sẽ yêu cầu KH khai báo thông tin CMND

Thế mới bảo các cụ cảnh giác ạ. Chứ thông tin gần như public hết rồi. Trừ thông tin biến động tài khoản hoặc cuộc gọi thì cần có sự tiếp tay của nvien nhà mạng hoặc bank mới có đc.

 

[Y Nok]

Thông tin này thì đầy trên mạng, NV nhà mạng cũng có thể xì ra, hoặc 1 bên thứ 3 cung cấp dịch vụ ... sẽ yêu cầu KH khai báo thông tin CMND


1/ Bọn trộm liên lạc với nạn nhân, thông báo sim sắp bị khóa 2 chiều do vi phạm pháp luật.

2/ Chúng hướng dẫn nạn nhân click vào 1 đường link để khai báo không bị hủy sim (thực tế đó là đường link chuyển từ sim vật lý trong tay nạn nhân sang Esim trong tay bọn trộm).

3/ Mã OPT gửi về sim vật lý, nạn nhân tiết lộ mã OTP này cho bọn trộm, và chuyển sang Esim trong tay chúng. Sim vật lý bị chết.

4/ Sau khi có Esim, chúng sẽ liên lạc tổng đài để khai báo thông tin CNMD của nạn nhân, thông tin về thẻ tín dụng ... hoặc chúng sẽ thao tác trực tiếp trên app để tạo lại mật khẩu mới và mã Smart OPT mới.

5/ Tiền đi khỏi TK

Tức là bọn trộm có thông tin nạn cá nhân của nhân từ trước. Tại sao bọn trộm biết nạn nhân có tiền trong TK? Sao chúng nó biết nạn nhân mở TK tại NH nào?

6/ Nếu sim vật lý chết, thì nạn nhân phải hiểu là sim bị chiếm đoạt, có vẻ vô lý trong trường hợp của bà này

Sim vật lý chỉ "chết " trong thời gian Esim cùng số đc kích hoạt.
Nó "sống lại" khi Esim thoát ra ko đc kích hoạt.
*Đây cũng là việc mà chúng ta hết sức biết và cảnh giác trong XH Số hoá.
* Về trường hợp vụ này NH nó có trách nhiệm gì ko? Trả lời là nó chỉ có trách nhiệm hỗ trợ thông tin cho Nạn nhân và CQ điều tra (nếu có) thôi.
Vì các GD của Khách hàng đều đc thực hiện trên các Tham số bảo mật của khách hàng. (Số đt, thông tin TK, thông tin thẻ, CCCD/HC, hình ảnh, mã Otp...)

 

[Smile1102]

Sim vật lý chỉ "chết " trong thời gian Esim cùng số đc kích hoạt.
Nó "sống lại" khi Esim thoát ra ko đc kích hoạt.
*Đây cũng là việc mà chúng ta hết sức biết và cảnh giác trong XH Số hoá.
* Về trường hợp vụ này NH nó có trách nhiệm gì ko? Trả lời là nó chỉ có trách nhiệm hỗ trợ thông tin cho Nạn nhân và CQ điều tra (nếu có) thôi.
Vì các GD của Khách hàng đều đc thực hiện trên các Tham số bảo mật của khách hàng. (Số đt, thông tin TK, thông tin thẻ, CCCD/HC, hình ảnh, mã Otp...)

Vấn đề là để có thể dùng 2 SIM thì cụ phải đăng ký dịch vụ MultiSim và phải ra trực tiếp nhà mạng và có Căn cước CD để đăng ký dịch vụ.
Đồng thời SIM phụ (như Viettel) thì chỉ đc nghe gọi chứ ko hỗ trợ nhắn tin SMS.
Tóm lại vẫn ko dễ để chiếm đc số điênj thoại đâu ạ.

 

[BMW X4]

Nó vẫn có nghĩa nếu cụ chỉ mất pass mà ko mất SIM điện thoại.
Cái chính nguy hiểm nhất là mất số dthoai hay bị giả mạo số dthoai, mà cái rủi ro về số dthoai này ngân hàng ko control đc, thậm chí ngoài ng dùng ra còn có thể bị nhà mạng/nhân viên nhà mạng, hoặc hacker tấn công vào nhà mạng để lấy cắp thông tin.

Tôi xài App trên 1 phone khác, còn cái sim đăng ký, tôi có 1 máy khác, tạm gọi là máy cục gạch - thực tế thì gần đây tôi vẫn làm như thế với 1 con Nokia 3310.

Thế nên, khi mở Banking app trên smart phone, và ĐÃ CÓ passcode để vào cái App đó, thì tôi thấy Smart OTP không có ý nghĩa.

 

[Smile1102]

Tôi xài App trên 1 phone khác, còn cái sim đăng ký, tôi có 1 máy khác, tạm gọi là máy cục gạch - thực tế thì gần đây tôi vẫn làm như thế với 1 con Nokia 3310.

Thế nên, khi mở Banking app trên smart phone, và ĐÃ CÓ passcode để vào cái App đó, thì tôi thấy Smart OTP không có ý nghĩa.

Ý em nói là việc gửi OTP vẫn có ý nghĩa, chỉ là smart hay ko smart thì như nhau. Em thì ko dùng smart OTP mà em dùng PIN, tuy nhiên chắc cũng cùng cách reset thôi.

 

[BMW X4]

Nó vẫn có nghĩa nếu cụ chỉ mất pass mà ko mất SIM điện thoại.
Cái chính nguy hiểm nhất là mất số dthoai hay bị giả mạo số dthoai, mà cái rủi ro về số dthoai này ngân hàng ko control đc, thậm chí ngoài ng dùng ra còn có thể bị nhà mạng/nhân viên nhà mạng, hoặc hacker tấn công vào nhà mạng để lấy cắp thông tin.

Ý em nói là việc gửi OTP vẫn có ý nghĩa, chỉ là smart hay ko smart thì như nhau. Em thì ko dùng smart OTP mà em dùng PIN, tuy nhiên chắc cũng cùng cách reset thôi.

Thì bác bẩu là: "Nó vẫn có nghĩa nếu cụ chỉ mất pass mà ko mất SIM điện thoại.":
Ví dụ tôi mất smart phone, và vô tình vẫn còn sim chính trong cái cục gạch.
Giờ, nếu nó mở được App, thì nó vẫn thao tác như chính tôi vậy. Cái sim chính, do đó, vô nghĩa.
Cái smart OTP code, do đó, cũng vô nghĩa.

Thực tế, con tôi nó thao tác giùm tôi, tôi chỉ mở máy và App hộ nó thôi, để nó chuyển tiền cho tài khoản của chính nó.

Thế nên, nếu bằng cách nào đó, trộm nó mở được máy của bác và mở cả được App, mọi chuyện kết thúc với cái bank account của bác, dù có OTP hay không và nó có smart hay không.
Tôi hiểu vậy.

Bản thân cái code OTP kia, bác cũng chỉ nhấn Chấp nhận mà không cần biết nó là abc hay 123.

 

[Smile1102]

Thì bác bẩu là: "Nó vẫn có nghĩa nếu cụ chỉ mất pass mà ko mất SIM điện thoại.":
Ví dụ tôi mất smart phone, và vô tình vẫn còn sim chính trong cái cục gạch.
Giờ, nếu nó mở được App, thì nó vẫn thao tác như chính tôi vậy. Cái sim chính, do đó, vô nghĩa.
Cái smart OTP code, do đó, cũng vô nghĩa.

Thực tế, con tôi nó thao tác giùm tôi, tôi chỉ mở máy và App hộ nó thôi, để nó chuyển tiền cho tài khoản của chính nó.

Thế nên, nếu bằng cách nào đó, trộm nó mở được máy của bác và mở cả được App, mọi chuyện kết thúc với cái bank account của bác, dù có OTP hay không và nó có smart hay không.
Tôi hiểu vậy.

Bản thân cái code OTP kia, bác cũng chỉ nhấn Chấp nhận mà không cần biết nó là abc hay 123.

Nói chung nếu chỉ mất mật khẩu của Apps Internet Banking thôi thì vẫn sao mà. Vì OTP hoặc gửi SMS hoặc gửi qua smart OTP.
Vậy nên nếu ko mất SIM dthoai thì ko sao.

 

[Smile1102]

Thì bác bẩu là: "Nó vẫn có nghĩa nếu cụ chỉ mất pass mà ko mất SIM điện thoại.":
Ví dụ tôi mất smart phone, và vô tình vẫn còn sim chính trong cái cục gạch.
Giờ, nếu nó mở được App, thì nó vẫn thao tác như chính tôi vậy. Cái sim chính, do đó, vô nghĩa.
Cái smart OTP code, do đó, cũng vô nghĩa.

Thực tế, con tôi nó thao tác giùm tôi, tôi chỉ mở máy và App hộ nó thôi, để nó chuyển tiền cho tài khoản của chính nó.

Thế nên, nếu bằng cách nào đó, trộm nó mở được máy của bác và mở cả được App, mọi chuyện kết thúc với cái bank account của bác, dù có OTP hay không và nó có smart hay không.
Tôi hiểu vậy.

Bản thân cái code OTP kia, bác cũng chỉ nhấn Chấp nhận mà không cần biết nó là abc hay 123.

Chấp nhận là do Apps về OTP, hoặc cụ thao tác trên chính máy đó cụ ạ. Nếu cụ cài thao tác ở máy khác ko phải máy chính thì ko đc đâu.