[Funland] Khách hàng mất 11,9 tỉ, tòa tuyên Vietcombank bồi thường 700 triệu

congthuong · 09:15 22/03/2024

Đọc qua sự việc thì bà này bị thao túng tâm lý, nên đã cung cấp cho kẻ lừa đảo 1 số thông tin. Cũng không loại trừ khả năng kẻ lừa đảo đã tiếm quyền kiểm soát điện thoại, tin nhắn sim di động hoặc bằng 1 kẽ hở nào đó mà cài được app ngân hàng của 2 ngân hàng kia và xác thực vào tài khoản của nạn nhân mà nạn nhân không biết.

Sau khi lừa nạn nhân mở tài khoản mới, gửi tiền đúng ngày cuối tuần, hacker tải app của 2 ngân hàng login vào tk của nạn nhân và chuyển sạch đi vào đúng 2 ngày nghỉ.

Nên có khả năng là có 1 kẽ hở nào đó trong việc cấp dịch vụ mobile banking của 2 ngân hàng kia khi xác thực thông tin online mà không check trực tiếp, bởi vậy mới chịu đền tiền 1 phần chăng ?

Cơ mà 26 tỉ thì chúng rút kiểu gì trong 2 ngày khỏi hệ thống ngân hàng để không bị lộ nhỉ ?

congthuong · 22/3/24

Nhìn lại các bước thiết lập app VCB này, có rất nhiều lỗ hổng luôn:

Bước 1: Tải ứng dụng VCB Digibank trên THIẾT BỊ MỚI.

Bước 2: Mở ứng dụng. Tại màn hình đăng nhập, khách hàng nhập TÊN TRUY CẬP (là số điện thoại đăng ký dịch vụ) và xác nhận việc kích hoạt lại ứng dụng VCB Digibank trên thiết bị mới.

Bước 3: Nhập mật khẩu đăng nhập dịch vụ.

Bước 4: Nhắn tin theo cú pháp VCB KICH HOAT LAI DIGIBANK gửi 6167 theo hướng dẫn trên màn hình.

Bước 5: Khách hàng thực hiện theo hướng dẫn trên nội dung tin nhắn phản hồi của Vietcombank.

Bước 6: Khách hàng nhập mã OTP được Vietcombank gửi qua tin nhắn đến số điện thoại để hoàn tất quá trình kích hoạt.

Bên techcombank hay các ngân hàng khác cũng đều dựa vào sms otp để cài app và xác thực app trên mobile. Nếu kẻ gian bằng cách nào đó lấy được thông tin này thì nghiễm nhiên kiểm soát hoàn toàn tk nạn nhân bằng chính app của ngân hàng.

thichlexus · 09:29 22/03/2024

Nếu dùng đăng nhập bằng nhận diện khuôn mặt thì có an toàn và bảo mật hơn dùng mật khẩu và OTP không các cụ nhỉ.

congthuong · 09:31 22/03/2024

thichlexus nói:
Nếu dùng đăng nhập bằng nhận diện khuôn mặt thì có an toàn và bảo mật hơn dùng mật khẩu và OTP không các cụ nhỉ.

Sẽ an toàn hơn chút nếu như ngân hàng lưu nhân diện khuôn mặt khách hàng trực tiếp tại ngân hàng và dùng nó làm cơ sở để xác thực giao dịch bank trên app.

nicholas1618 · 09:49 22/03/2024

Nhimtiu nói:
Nói thật mợ chứ dạo gần đây banks spam dt nhiều quá em phát hãi, bảo mật thì kém. Nhiều vụ lùm xùm mất tiền bên NH hay đổ trách nhiệm cho khách mợ ạ.

Chuyện kiện Bank ít khi xảy ra

danleduc nói:
Không loại trừ cụ ạ.

Bây giờ CQ CA điều tra xem có phải chính nạn nhân đã đề nghị NH nâng hạn mức chuyển tiền ngay sau ngày 22-4 không thì sẽ rõ.
Vì nếu không nâng hạn mức chuyển tiền từ 3 tỷ / ngày lên trên 6 tỷ / ngày thì trong 2 ngày 23/4 (thứ Bảy) và 24/4 (CN)....kẻ gian làm sao chuyển được hết 12 tỷ ra khỏi TK của chị kia ?

Nâng hạn mức làm online dc mà cụ? E chỉ ko rõ là tối đa bao nhiêu tiền một ngày là tối đa khi thực hiện online vì mỗi bank có thể khác nhau.

nicholas1618 · 09:55 22/03/2024

thichlexus nói:
Nếu dùng đăng nhập bằng nhận diện khuôn mặt thì có an toàn và bảo mật hơn dùng mật khẩu và OTP không các cụ nhỉ.

Đăng nhập FaceID thì có an toàn hơn vì có thể tránh được việc typing trực tiếp . Cái vụ typing này là bọn Hack nó xem được khi nó vào đc điện thoại cụ.

Dùng FaceID để xác nhận giao dịch thì cơ bản nó chính là Smart OTP mặc định của cụ chỉ khác là cụ ko phải typing lại lần nữa.

Đó là cách hiểu của cháu nên cháu nghĩ sẽ an toàn hơn.

Một điểm nữa là trong 3 vụ cháu biết xảy ra với nhân viên của 1 ngân hàng và số tiền mất là lớn thì điện thoại các nạn nhân sử dụng là Android và tải app gián điệp từ CH play. Nhận định cá nhân cháu Iphone khâu bảo mật va ngăn chặn mã độc tốt hơn.

Nhimtiu · 10:09 22/03/2024

user06032024 nói:
À cụ có thể khai sáng cho em hiểu đc ko
Vụ FB Ads của cụ. Là bị lộ số thẻ và các thông tin của thẻ.
1. Tại sao VPB lại trả tiền cho cụ, họ ko quy trách nhiệm cụ làm lộ thông tin thẻ
2. Tại sao FB lại back tiền lại cho VPB để VPB back tiền lại cho cụ. Cụ chứng minh như thế nào, cụ ko phải chủ giao dịch chuyển tiền FB Ads đó ạ.
Thanks cụ.

Cái này bên FB nó check đc ngay cụ nhé, trc em có dùng FB ads nhưng giao dịch đó nó check đc ip ngay và các transaction nên thường họ sẽ hồi tiền nếu bên NH thẻ kiện đòi bồi hoàn cụ nhé. Tg chờ lâu tí thôi.

langtoilangtoi · 10:12 22/03/2024

thichlexus nói:
Nếu dùng đăng nhập bằng nhận diện khuôn mặt thì có an toàn và bảo mật hơn dùng mật khẩu và OTP không các cụ nhỉ.

Hiện 1 số Bank cho phép cụ áp dụng KYC khi chuyển quá hạn mức đã đăng ký. Viettin Bank đợt trc em đặt nhưng ko hiểu sao 1 thời gian KYC nó ko nhận ra nữa, hay tại mình già đi nhỉ

langtoilangtoi · 10:16 22/03/2024

congthuong nói:
Nhìn lại các bước thiết lập app VCB này, có rất nhiều lỗ hổng luôn:

Bước 1: Tải ứng dụng VCB Digibank trên THIẾT BỊ MỚI.

Bước 2: Mở ứng dụng. Tại màn hình đăng nhập, khách hàng nhập TÊN TRUY CẬP (là số điện thoại đăng ký dịch vụ) và xác nhận việc kích hoạt lại ứng dụng VCB Digibank trên thiết bị mới.

Bước 3: Nhập mật khẩu đăng nhập dịch vụ.

Bước 4: Nhắn tin theo cú pháp VCB KICH HOAT LAI DIGIBANK gửi 6167 theo hướng dẫn trên màn hình.

Bước 5: Khách hàng thực hiện theo hướng dẫn trên nội dung tin nhắn phản hồi của Vietcombank.

Bước 6: Khách hàng nhập mã OTP được Vietcombank gửi qua tin nhắn đến số điện thoại để hoàn tất quá trình kích hoạt.

Bên techcombank hay các ngân hàng khác cũng đều dựa vào sms otp để cài app và xác thực app trên mobile. Nếu kẻ gian bằng cách nào đó lấy được thông tin này thì nghiễm nhiên kiểm soát hoàn toàn tk nạn nhân bằng chính app của ngân hàng.

Theo em ngân hàng nên đặt mức bảo mật tùy theo yêu cầu của khách hàng. Đương nhiên, khi mở thẻ phải tư vấn về bảo mật và đưa ra khuyến cáo với từng đối tượng khách hàng.
Các đăng nhập trên thiết bị mới hoặc chuyển khỏi địa điểm quen thuộc (dựa trên IP như Facebook áp dụng hiện nay) ít nhất phải áp dụng KYC hoặc xác thực qua giọng nói với hotline.

congthuong · 10:37 22/03/2024

nicholas1618 nói:
Đăng nhập FaceID thì có an toàn hơn vì có thể tránh được việc typing trực tiếp . Cái vụ typing này là bọn Hack nó xem được khi nó vào đc điện thoại cụ.

Dùng FaceID để xác nhận giao dịch thì cơ bản nó chính là Smart OTP mặc định của cụ chỉ khác là cụ ko phải typing lại lần nữa.

Đó là cách hiểu của cháu nên cháu nghĩ sẽ an toàn hơn.

Một điểm nữa là trong 3 vụ cháu biết xảy ra với nhân viên của 1 ngân hàng và số tiền mất là lớn thì điện thoại các nạn nhân sử dụng là Android và tải app gián điệp từ CH play. Nhận định cá nhân cháu Iphone khâu bảo mật va ngăn chặn mã độc tốt hơn.

FaceID phải là FaceID của ngân hàng, xác thực theo mặt lúc mở tài khoản, do nhân viên ngân hàng quay video trực tiếp ghi nhận, chứ dùng FaceID của phone thì cũng chả có tác dụng gì.

poiuy · 11:22 22/03/2024

congthuong nói:
Đọc qua sự việc thì bà này bị thao túng tâm lý, nên đã cung cấp cho kẻ lừa đảo 1 số thông tin. Cũng không loại trừ khả năng kẻ lừa đảo đã tiếm quyền kiểm soát điện thoại, tin nhắn sim di động hoặc bằng 1 kẽ hở nào đó mà cài được app ngân hàng của 2 ngân hàng kia và xác thực vào tài khoản của nạn nhân mà nạn nhân không biết.

Sau khi lừa nạn nhân mở tài khoản mới, gửi tiền đúng ngày cuối tuần, hacker tải app của 2 ngân hàng login vào tk của nạn nhân và chuyển sạch đi vào đúng 2 ngày nghỉ.

Nên có khả năng là có 1 kẽ hở nào đó trong việc cấp dịch vụ mobile banking của 2 ngân hàng kia khi xác thực thông tin online mà không check trực tiếp, bởi vậy mới chịu đền tiền 1 phần chăng ?

Cơ mà 26 tỉ thì chúng rút kiểu gì trong 2 ngày khỏi hệ thống ngân hàng để không bị lộ nhỉ ?

Toà nó tuyên lỗi của ngân hàng không hướng dẫn, cảnh báo đầy đủ nên chịu 1 phần trách nhiệm mà cụ. 1 phần là bao nhiêu thì toà nó lượng hoá ra từng ấy.

poiuy · 11:26 22/03/2024

congthuong nói:
Sẽ an toàn hơn chút nếu như ngân hàng lưu nhân diện khuôn mặt khách hàng trực tiếp tại ngân hàng và dùng nó làm cơ sở để xác thực giao dịch bank trên app.

Khuôn mặt khi xác thực trên app chỉ là đoạn mã do thiết bị gửi đến server của ngân hàng thôi chứ không phải để đối chiếu với khuôn mặt lưu tại server ngân hàng. Nếu chất lượng nhận diện khuôn mặt của thiết bị kém (điện thoại rẻ tiền chẳng hạn) thì nó có thể nhận diện sai dẫn đến xác thực sai. Có cụ còn bị con thanh toán thẻ tín dụng vì máy nhận cả mặt con kìa.

El Jefe 2 · 11:45 22/03/2024

tab00 nói:
Chính chị này dính 1 vụ khác ở Tech tòa chốt bồi thường 800tr. https://m.cafebiz.vn/vua-mo-tai-khoan-ngan-hang-khach-hang-bi-mat-ngay-hon-26-ty-dong-176230618182957148.chn

Chuyển món lớn app mobile banking sẽ yêu cầu quét khuôn mặt có như đăng ký ko. Ko hiểu vụ này bọn lừa đảo cao tay hay chị này bịp ngân hàng để trục lợi.

Nếu bà T.T.C này và bà Chúc cùng là 1 người thì có mùi quá.

1 là bà này có quá nhiều tiền, vứt vào tài khoản và để mất 1 cách hết sức dễ dàng.

2 là sau khi mất thì đi kiện và ăn được vài trăm triệu mỗi vụ

Kiếm khá đấy chứ!

congthuong · 22/3/24

poiuy nói:
Khuôn mặt khi xác thực trên app chỉ là đoạn mã do thiết bị gửi đến server của ngân hàng thôi chứ không phải để đối chiếu với khuôn mặt lưu tại server ngân hàng. Nếu chất lượng nhận diện khuôn mặt của thiết bị kém (điện thoại rẻ tiền chẳng hạn) thì nó có thể nhận diện sai dẫn đến xác thực sai. Có cụ còn bị con thanh toán thẻ tín dụng vì máy nhận cả mặt con kìa.

Đó là xác thực sinh trắc của điện thoại, không phải xác thực của ngân hàng. Ứng dụng sử dụng tính năng xác thực của điện thoại mà không xây dựng riêng 1 phương pháp xác thực của NH.

Nếu dùng đúng xác thực từ ngân hàng, thì app ngân hàng phải gửi cái hình chụp về máy chủ NH để phân tích và nhận diện, nhưng như vậy thì kỹ thuật khó hơn, tốn tiền mua giải pháp phần mềm và phần cứng trên máy chủ.

Hiểu nôm na là đa phần ứng dụng ngân hàng hiện nay chỉ làm cái việc đơn giản là hỏi cái điện thoại là mặt / vân tay này OK không, điện thoại báo OK là duyệt cho qua. Ứng dụng cũng chả biết cái mẹt khách lúc đó vuông tròn ra sao.

poiuy · 12:16 22/03/2024

congthuong nói:
Đó là xác thực sinh trắc của điện thoại, không phải xác thực của ngân hàng. Ứng dụng sử dụng tính năng xác thực của điện thoại mà không xây dựng riêng 1 phương pháp xác thực của NH.

Nếu dùng đúng xác thực từ ngân hàng, thì app ngân hàng phải gửi cái hình chụp về máy chủ NH để phân tích và nhận diện, nhưng như vậy thì kỹ thuật khó hơn, tốn tiền mua giải pháp phần mềm và phần cứng trên máy chủ.

Hiểu nôm na là đa phần ứng dụng ngân hàng hiện nay chỉ làm cái việc đơn giản là hỏi cái điện thoại là mặt / vân tay này OK không, điện thoại báo OK là duyệt cho qua. Ứng dụng cũng chả biết cái mẹt khách lúc đó vuông tròn ra sao.

Đúng vậy. Và nó là bài toán cân đối giữa lợi ích và nguy cơ. Lợi ích càng cao thì nguy cơ càng cao. Xác thực khuôn mặt tại chính server ngân hàng sẽ làm chậm giao dịch đi rất nhiều là hiển nhiên.

Delta · 14:18 22/03/2024

congthuong nói:
Đó là xác thực sinh trắc của điện thoại, không phải xác thực của ngân hàng. Ứng dụng sử dụng tính năng xác thực của điện thoại mà không xây dựng riêng 1 phương pháp xác thực của NH.

Nếu dùng đúng xác thực từ ngân hàng, thì app ngân hàng phải gửi cái hình chụp về máy chủ NH để phân tích và nhận diện, nhưng như vậy thì kỹ thuật khó hơn, tốn tiền mua giải pháp phần mềm và phần cứng trên máy chủ.

Hiểu nôm na là đa phần ứng dụng ngân hàng hiện nay chỉ làm cái việc đơn giản là hỏi cái điện thoại là mặt / vân tay này OK không, điện thoại báo OK là duyệt cho qua. Ứng dụng cũng chả biết cái mẹt khách lúc đó vuông tròn ra sao.

Không mấy khi người ta làm theo phương pháp app gửi hình chụp khuôn mặt về server của ngân hàng để xử lý. Lý do là làm vậy chậm hơn nhiều so với việc xử lý ngay trên điện thoại, trong khi mức độ bảo đảm về an ninh tăng không nhiều.

Ngân hàng có đủ công cụ để tăng mức độ an ninh cho các giao dịch online lên, nhưng người ta phải cân bằng giữa an ninh và trải nghiệm người dùng. Nếu chỉ để chuyển mấy chục ngàn cho shipper mà các cụ loay hoay với app cả mấy phút đồng hồ chưa log in vào được thì liệu các cụ có còn thèm dùng app nữa không? Muốn tăng an toàn thì phải giảm tiện lợi và ngược lại.

Nếu có các khoản giao dịch lớn thì đừng dùng online nữa mà ra quầy mở 1 tài khoản riêng không có internet banking để dùng. Còn đã dùng online thì chỉ để trong đó vài triệu tiêu vặt thôi, tự nhiên hacker nó cũng chả tìm đến các cụ.

kogenzo · 14:49 22/03/2024

user06032024 nói:
Dấu vết là app gì, service gì, mã nguồn nó thế nào
Ko có thì các trung tâm an ninh trên thế giới làm sao mà phân tích được con virus vậy cụ ơi
BTW dấu vết em ví dụ virus MMRAT do TrendMicro phát hiện
Cụ đọc để hiểu nhá

MMRat Carries Out Bank Fraud Via Fake App Stores

The Trend Micro Mobile Application Reputation Service (MARS) team discovered a new, fully undetected Android banking trojan, dubbed MMRat, that has been targeting mobile users in Southeast Asia since late June 2023.

www.trendmicro.com

cài app thì nó hướng dẫn chính chủ tự cài chứ virut gì, nó là 1 phần mềm thôi, phân tích mã nguồn cũng chẳng giải quyết v/đ

nicholas1618 nói:
Đăng nhập FaceID thì có an toàn hơn vì có thể tránh được việc typing trực tiếp . Cái vụ typing này là bọn Hack nó xem được khi nó vào đc điện thoại cụ.

Dùng FaceID để xác nhận giao dịch thì cơ bản nó chính là Smart OTP mặc định của cụ chỉ khác là cụ ko phải typing lại lần nữa.

Đó là cách hiểu của cháu nên cháu nghĩ sẽ an toàn hơn.

Một điểm nữa là trong 3 vụ cháu biết xảy ra với nhân viên của 1 ngân hàng và số tiền mất là lớn thì điện thoại các nạn nhân sử dụng là Android và tải app gián điệp từ CH play. Nhận định cá nhân cháu Iphone khâu bảo mật va ngăn chặn mã độc tốt hơn.

ai bảo cụ là cài từ Chplay, nó yêu cầu cụ mở Chrome (mặc định trên đt SS, android khác e ko biết có mặc định ko), nhập địa chỉ 1 website mạo danh của cơ quản quản lý nhà nước (khác cái là không phải đuôi *.gov.vn mà là *.com, *.net gì đấy) để tải về 1 file *.apk sau đó mở các quyền trên điện thoại để cài đặt. Ipon ko cài được là nó không cho Jailbreak để cài ngoài Appstore.

user06032024 · 15:04 22/03/2024

kogenzo nói:
cài app thì nó hướng dẫn chính chủ tự cài chứ virut gì, nó là 1 phần mềm thôi, phân tích mã nguồn cũng chẳng giải quyết v/đ

ai bảo cụ là cài từ Chplay, nó yêu cầu cụ mở Chrome (mặc định trên đt SS, android khác e ko biết có mặc định ko), nhập địa chỉ 1 website mạo danh của cơ quản quản lý nhà nước (khác cái là không phải đuôi *.gov.vn mà là *.com, *.net gì đấy) để tải về 1 file *.apk sau đó mở các quyền trên điện thoại để cài đặt. Ipon ko cài được là nó không cho Jailbreak để cài ngoài Appstore.

À để xem nó cài lúc nào ý mà cụ
Báo ghi rõ có tội pham hướng dẫn
Mà mấy cụ mợ kia khăng khăng nó tự cài từ trước

user06032024 · 15:06 22/03/2024

Nhimtiu nói:
Cái này bên FB nó check đc ngay cụ nhé, trc em có dùng FB ads nhưng giao dịch đó nó check đc ip ngay và các transaction nên thường họ sẽ hồi tiền nếu bên NH thẻ kiện đòi bồi hoàn cụ nhé. Tg chờ lâu tí thôi.

À ok cụ, kiểu như đăng nhập vào thiết bị nào, ở đâu ấy đúng ko cụ.

congthuong · 15:30 22/03/2024

Delta nói:
Nếu có các khoản giao dịch lớn thì đừng dùng online nữa mà ra quầy mở 1 tài khoản riêng không có internet banking để dùng. Còn đã dùng online thì chỉ để trong đó vài triệu tiêu vặt thôi, tự nhiên hacker nó cũng chả tìm đến các cụ.

Nạn nhân vụ này chỉ mở tk, không mở internet Banking .

Lỗ hổng ở đây là việc mở Internet Banking mà không cần trực tiếp ra ngân hàng ấy cụ

[Funland] Khách hàng mất 11,9 tỉ, tòa tuyên Vietcombank bồi thường 700 triệu

Xe điện

Xe điện

Xe điện

Xe điện

Xe điện

Xe điện

Xe lăn

Xe điện

Xe điện

Xe điện

Xe ba gác

Xe ba gác

Xe điện

Xe điện

Xe ba gác

Xe buýt

Xe buýt

[Tịch thu bằng lái]

[Tịch thu bằng lái]

Xe điện

Thông tin thớt