[Funland] Tài khoản VCB ‘bốc hơi’ 406 triệu trong vài phút

MANFROMEARTH

Xe hơi
Biển số
OF-594408
Ngày cấp bằng
12/10/18
Số km
134
Động cơ
131,420 Mã lực
Tuổi
55
Tài khoản của ông Luận bị kích hoạt ứng dụng VCB Digibank trên thiết bị mới và chuyển 406 triệu cho người thụ hưởng tại MSB, SEABank trong 7 phút.
Ông Trần Việt Luận, ngụ quận Thủ Đức (TP HCM) cho biết tài khoản tại Ngân hàng Ngoại thương Việt Nam (Vietcombank) phát sinh 4 giao dịch chuyển khoản vào trưa 4/9. Vì không nhận được tin nhắn thông báo mã xác thực, biến động số dư qua điện thoại nên ông không phát hiện cho đến khi ra ngân hàng giao dịch vào chiều cùng ngày.
"Lúc đến chi nhánh Nam Bình Dương làm lệnh chuyển tiền, tôi mới tá hoả khi nhân viên thông báo tài khoản chỉ còn 5 triệu đồng", ông Luận nói với VnExpress. Ngay sau đó, ông đưa điện thoại cho nhân viên ngân hàng kiểm chứng không nhận được tin nhắn và đề nghị lập biên bản, dừng ngay các giao dịch.
Khách hàng này khẳng định 4 giao dịch không phải mình thực hiện và cũng không biết đối tượng thụ hưởng là ai. Ông cho biết trước đó không cung cấp, chia sẻ tên truy cập dịch vụ hay mật khẩu VCB Digibank cho bất cứ ai.

Trong công văn trả lời ông Luận sau đó, phía Vietcombank cho biết việc đăng nhập tài khoản trên thiết bị mới và thực hiện 4 giao dịch chuyển tiền hoàn toàn hợp lệ. Nhà mạng Vinaphone cũng xác nhận ngân hàng gửi tổng cộng 8 tin nhắn xác thực và biến động số dư đến điện thoại ông Luận.

Cụ thể, lúc 11h, hệ thống ghi nhận yêu cầu kích hoạt ứng dụng Digibank từ tài khoản ông Luận trên thiết bị mới. Đối tượng thực hiện giao dịch đã nhập đúng tên truy cập, mật khẩu và mã xác thực (OTP lần 1) gửi đến điện thoại.
Hai phút sau, hệ thống ghi nhận thao tác kích hoạt tính năng SmartOTP trên ứng dụng và đối tượng cũng nhập chính xác mã xác thực (OTP lần 2). Tiếp đó, đối tượng thực hiện 2 yêu cầu chuyển khoản 89 triệu đồng tới người thụ hưởng Pham Lan Anh tại Ngân hàng Đông Nam Á (SEA Bank) và nhập đúng mã xác thực.
Sau khi thực hiện thành công hai giao dịch chuyển tiền bằng phương thức xác thực OTP qua tin nhắn điện thoại, tính năng xác thực bằng SmartOTP trên thiết bị mới có thể được sử dụng. Vì thế, lúc 11h07, đối tượng chuyển 317 triệu đồng tới tài khoản Vo Khoa Tuan tại Ngân hàng TMCP Hàng hải Việt Nam (MSB) thông qua hai giao dịch.
"Đây là trường hợp nghi ngờ bị giả mạo giao dịch qua ứng dụng VCB Digibank dẫn đến bị rút tiền trong tài khoản", đại diện Vietcombank trả lời VnExpress.

Quảng cáo


Sau khi nhận đơn khiếu nại, chi nhánh ngân hàng đã kiểm tra trên hệ thống và làm việc với các bên liên quan để xử lý yêu cầu tra soát giao dịch, cấp mật khẩu VCB Digibank và hướng dẫn khách hàng kích hoạt lại dịch vụ.
Vietcombank cũng hai lần gặp trực tiếp khách hàng để trả lời, cung cấp thông tin liên quan và sẽ tiếp tục cập nhật trong thời gian chờ kết quả tra soát giao dịch tại ngân hàng hưởng. Ngân hàng đã tư vấn và hướng dẫn ông Luận trình báo vụ việc với công an để xác minh và truy bắt tội phạm.
Đại diện Vietcombank khẳng định hệ thống của ngân hàng an toàn và đáp ứng quy định pháp luật liên quan đến cung ứng dịch vụ trực tuyến, đồng thời lưu ý khách hàng giữ bí mật các yếu tố định danh, thực hiện theo hướng dẫn của ngân hàng về giao dịch an toàn.
 

vharc

Xe tăng
Biển số
OF-209763
Ngày cấp bằng
11/9/13
Số km
1,486
Động cơ
331,487 Mã lực
E tưởng phải hỗ trợ lấy lại xèng chứ nhỉ, chỉ hướng dẫn báo CA thôi ah
 

darthvader

Xe điện
Biển số
OF-467380
Ngày cấp bằng
2/11/16
Số km
3,229
Động cơ
237,858 Mã lực
Tuổi
48
Cái món digital này làm có vẻ gấp nên sử dụng vẫn thấy có chỗ bất tiện...
 

tvu732

Xe tăng
Biển số
OF-708234
Ngày cấp bằng
21/11/19
Số km
1,001
Động cơ
103,300 Mã lực
Cụ thể, lúc 11h, hệ thống ghi nhận yêu cầu kích hoạt ứng dụng Digibank từ tài khoản ông Luận trên thiết bị mới. Đối tượng thực hiện giao dịch đã nhập đúng tên truy cập, mật khẩu và mã xác thực (OTP lần 1) gửi đến điện thoại.
Hai phút sau, hệ thống ghi nhận thao tác kích hoạt tính năng SmartOTP trên ứng dụng và đối tượng cũng nhập chính xác mã xác thực (OTP lần 2). Tiếp đó, đối tượng thực hiện 2 yêu cầu chuyển khoản 89 triệu đồng tới người thụ hưởng Pham Lan Anh tại Ngân hàng Đông Nam Á (SEA Bank) và nhập đúng mã xác thực.
Sau khi thực hiện thành công hai giao dịch chuyển tiền bằng phương thức xác thực OTP qua tin nhắn điện thoại, tính năng xác thực bằng SmartOTP trên thiết bị mới có thể được sử dụng. Vì thế, lúc 11h07,
Cụ nào thạo bảo mật giải thích cho em cái. Theo em hiểu thì chỉ có một số điện thoại được đăng ký với ngân hàng, là số của chính chủ. Vậy trong quá trình gửi mã xác thực qua SMS, ông Luận phải nhận được chứ (không tính 2 lần cuối lúc này đối tượng đã kích hoạt thành công tính năng xác thực bằng SmartOTP).

Như vậy SMS là một công cụ rất không an toàn và có thể bị người khác chặn, đọc được ạ?
 

S.P

Xe tăng
Biển số
OF-52441
Ngày cấp bằng
8/12/09
Số km
1,495
Động cơ
468,190 Mã lực
Nơi ở
Hà Nội
Có cái gì đó sai sai, nếu chuyển nhiều vậy khi ck nó báo về smart otp thì phải có số Pin ( 6 số do người nắm tk VCB tạo chứ nhể ), 2 lần ck qua sms OTP để kích hoạt smart OTP nó báo về đt qua số sim dk mà. Chả nhẽ bị copy sim ?
 

mel2810

Xe máy
Biển số
OF-459874
Ngày cấp bằng
8/10/16
Số km
52
Động cơ
204,127 Mã lực
Tuổi
33
Cái này e nghĩ có 3 khả năng
1. Số đt đăng kí app VCB của bác này ko phải là số bác ta đang dùng (có thể nhân viên nhập sai hoặc bác này ghi sai số đt khi đăng ký)
2. Số đt bác này đúng là số đã đăng ký ở VCB. Tuy nhiên bác này bị ng ta lừa đảo, ấn vào link lạ/dụ dỗ cung cấp pass & tin nhắn OTP (trường hợp này rất nhiều ng bị rồi nhưng vẫn cứ chủ quan, hầu hết do tham/kém hiểu biết). Sau khi biết mất tiền thì bác này mới tá hoả và chối là ko nhận đc tin báo nào.
3. Người thân của bác này đã lấy xem trộm điện thoại và lấy cắp pass & OTP (hàng xóm nhà em cũng bị mất tiền ở thẻ atm và tài khoản, cũng làm lồng lộn lên với bank, sau hoá ra xem cam thì thấy ông con rút trộm).

Nói chung bây h các bank bảo mật cao, việc bị hack OTP gần như ko thể. Mà nhiều tiền như này, VCB nhờ công an vào cuộc, truy theo cả bên tk hưởng được nhận tiền thì chắc là cũng ra??

Cụ đọc hiểu chán quá, smart otp thì nó có nhắn tin đâu, ông này đăng ký smart otp rồi và bị ck mất

Em vừa vào off tính năng này đi và giảm hạn mức ck xuống 20 củ. Dù sau có sms thông báo vẫn chắc ăn hơn
Nhưng trước khi kẻ gian chuyển đc tiền thì ít nhất bác này phải nhận đc 4-5 tin nhắn. 1 là khi kẻ gian cài app lên 1 điện thoại khác điện thoại bác này đăng ký ban đầu, VCB nó sẽ gửi 1 mã OTP về sim, kẻ đó phải có đc OTP này mới thành công cài đặt lên máy mới. Tiếp đó kẻ này cài smart otp, lại thêm 1 mã OTP nữa. Sau đấy muốn chuyển tiền trên 100 triệu thì kẻ này lại phải làm 2 giao dịch bình thường, vẫn phải nhập OTP báo về điện thoại như thường. Vậy nên việc này quả thật quá khó hiểu nếu ông này vẫn khăng khăng ko nhận đc tin báo?

Lại VBC ah, em thấy phần giao dịch online của VBC là chậm tiến và kém hơn hẳn các ngân hàng khác
Chắc lâu nay bác ko dùng VCB. E thấy app mới VCB bây h là 1 trong những app đứng top đầu đấy chứ.
 
Chỉnh sửa cuối:

tvu732

Xe tăng
Biển số
OF-708234
Ngày cấp bằng
21/11/19
Số km
1,001
Động cơ
103,300 Mã lực
Cụ đọc hiểu chán quá, smart otp thì nó có nhắn tin đâu, ông này đăng ký smart otp rồi và bị ck mất

Em vừa vào off tính năng này đi và giảm hạn mức ck xuống 20 củ. Dù sau có sms thông báo vẫn chắc ăn hơn
Cụ mới đọc hiểu vội vàng ạ. Kính cụ: "Sau khi thực hiện thành công hai giao dịch chuyển tiền bằng phương thức xác thực OTP qua tin nhắn điện thoại, tính năng xác thực bằng SmartOTP trên thiết bị mới có thể được sử dụng."

Như vậy tổng cộng có 6 mã xác thực đã được gửi:
- Qua SMS lần 1: để kích hoạt ứng dụng Digibank trên một thiết bị lạ.
- Qua SMS lần 2: để kích hoạt tính năng SmartOTP.
- Qua SMS lần 3, lần 4: để thực hiện 2 giao dịch chuyển tiền trị giá 89tr.
- Qua SmartOTP lần 5, lần 6: để thực hiện 2 giao dịch trị giá 317tr.

Nếu đúng như báo viết thì SMS có vấn đề. Như bác nào đó nói là bị copy SIM?
Ngay cả với 2 giao dịch cuối, dùng SmartOTP thì cũng vẫn bị hỏi số Pin hoặc dấu vân tay cơ mà. Lạ thật?
 

coindesar

Xe buýt
Biển số
OF-553591
Ngày cấp bằng
6/2/18
Số km
806
Động cơ
163,240 Mã lực
Tóm tắt lại diễn biến chuyển tiền theo giải trình từ phía VCB:
1. Cài đặt VCB Digital và VCB SmartOTP trên thiết bị mới.
2. Nhập tên truy cập, mật khẩu và nhập đúng mã OTP lần 1.
3. Kích hoạt SmartOTP, nhập đúng mã OTP lần 2.
4. Chuyển tiền lần 1, xác thực OTP, nhập đúng mã OTP lần 3.
5. Chuyển tiền lần 2, xác thực OTP, nhập đúng mã OTP lần 4.
6. Chuyển tiền lần 3, xác thực SmartOTP
7. Chuyển tiền lần 4, xác thực SmartOTP

Tên truy cập là số điện thoại nên không khó để biết, vấn đề còn lại là mật khẩu và mã OTP. Nếu đúng là ông Luận bị chuyển tiền mà không biết, mình đoán bừa là ông Luận bị một người biết mật khẩu VCB Digital tráo sim điện thoại trong thời gian ngắn thực hiện các bước từ bước 2 đến bước 5.
 

tvu732

Xe tăng
Biển số
OF-708234
Ngày cấp bằng
21/11/19
Số km
1,001
Động cơ
103,300 Mã lực
2. Số đt bác này đúng là số đã đăng ký ở VCB. Tuy nhiên bác này bị ng ta lừa đảo, ấn vào link lạ/dụ dỗ cung cấp pass & tin nhắn OTP (trường hợp này rất nhiều ng bị rồi nhưng vẫn cứ chủ quan, hầu hết do tham/kém hiểu biết). Sau khi biết mất tiền thì bác này mới tá hoả và chối là ko nhận đc tin báo nào.
Vụ ấn vào link lạ cũng có nhưng trong trường hợp này, mã xác thực gửi qua SMS đến 4 lần thì chẳng lẽ bác này ấn link lạ 4 lần mà không thắc mắc gì? Em nghĩ vụ này thông tin chưa chính xác ở khâu nào đó, nhiều khả năng chính chủ không khai báo hết.
 

CIVIC-HN

Xe buýt
Biển số
OF-21844
Ngày cấp bằng
1/10/08
Số km
642
Động cơ
474,792 Mã lực
Nghe vụ này ảo ảo! Thông tin báo đưa đã đúng chưa?
bản thân người dùng có 1 pas khi đăng nhập để giao dịch, nó làm sao lấy 1 lúc kiểm soát cả số đt lẫn pas đăng nhập?
Hỏi lại vợ con khổ chủ xem đã rồi hãy kl.
 

mel2810

Xe máy
Biển số
OF-459874
Ngày cấp bằng
8/10/16
Số km
52
Động cơ
204,127 Mã lực
Tuổi
33
Vụ ấn vào link lạ cũng có nhưng trong trường hợp này, mã xác thực gửi qua SMS đến 4 lần thì chẳng lẽ bác này ấn link lạ 4 lần mà không thắc mắc gì? Em nghĩ vụ này thông tin chưa chính xác ở khâu nào đó, nhiều khả năng chính chủ không khai báo hết.
Ôi ở quê em bị lừa kiểu này nhiều lắm. Nó gọi điện trước, xong lừa bảo là nhân viên bank, con anh có chuyển tiền về cho anh, anh phải làm như này như này mới nhận được tiền. Xong trao đổi qua zalo với nó, rồi nó bảo gì cũng làm theo, bảo đọc mã otp cũng đọc. Sau hỏi tại sao làm thế, thì ổng bảo lúc ấy kiểu như mây che mờ mắt bịt tai, ma quỷ dẫn lối 😅
 

yuh2105

Xe tăng
Biển số
OF-595603
Ngày cấp bằng
22/10/18
Số km
1,159
Động cơ
136,299 Mã lực
Tuổi
33
Nơi ở
Hà Nội
Cái này e nghĩ có 3 khả năng
1. Số đt đăng kí app VCB của bác này ko phải là số bác ta đang dùng (có thể nhân viên nhập sai hoặc bác này ghi sai số đt khi đăng ký)
2. Số đt bác này đúng là số đã đăng ký ở VCB. Tuy nhiên bác này bị ng ta lừa đảo, ấn vào link lạ/dụ dỗ cung cấp pass & tin nhắn OTP (trường hợp này rất nhiều ng bị rồi nhưng vẫn cứ chủ quan, hầu hết do tham/kém hiểu biết). Sau khi biết mất tiền thì bác này mới tá hoả và chối là ko nhận đc tin báo nào.
3. Người thân của bác này đã lấy xem trộm điện thoại và lấy cắp pass & OTP (hàng xóm nhà em cũng bị mất tiền ở thẻ atm và tài khoản, cũng làm lồng lộn lên với bank, sau hoá ra xem cam thì thấy ông con rút trộm).

Nói chung bây h các bank bảo mật cao, việc bị hack OTP gần như ko thể. Mà nhiều tiền như này, VCB nhờ công an vào cuộc, truy theo cả bên tk hưởng được nhận tiền thì chắc là cũng ra??



Nhưng trước khi kẻ gian chuyển đc tiền thì ít nhất bác này phải nhận đc 4-5 tin nhắn. 1 là khi kẻ gian cài app lên 1 điện thoại khác điện thoại bác này đăng ký ban đầu, VCB nó sẽ gửi 1 mã OTP về sim, kẻ đó phải có đc OTP này mới thành công cài đặt lên máy mới. Tiếp đó kẻ này cài smart otp, lại thêm 1 mã OTP nữa. Sau đấy muốn chuyển tiền trên 100 triệu thì kẻ này lại phải làm 2 giao dịch bình thường, vẫn phải nhập OTP báo về điện thoại như thường. Vậy nên việc này quả thật quá khó hiểu nếu ông này vẫn khăng khăng ko nhận đc tin báo?


Chắc lâu nay bác ko dùng VCB. E thấy app mới VCB bây h là 1 trong những app đứng top đầu đấy chứ.
Khả năng này em thấy cao. Chứ hiện tại bao nhiêu cụ đang để tiền trong bank, bay lúc nào không hay như trường hợp này thì chắc chết @@
 

Mandalord

Xe điện
Biển số
OF-193695
Ngày cấp bằng
12/5/13
Số km
3,896
Động cơ
203,680 Mã lực
Có cái gì đó sai sai, nếu chuyển nhiều vậy khi ck nó báo về smart otp thì phải có số Pin ( 6 số do người nắm tk VCB tạo chứ nhể ), 2 lần ck qua sms OTP để kích hoạt smart OTP nó báo về đt qua số sim dk mà. Chả nhẽ bị copy sim ?
Có vài cách để hacker có thể lấy được OTP.
1. Nếu như điện thoại bị hacker chiếm quyền điều khiển thì nó muốn làm gì cũng được. Hacker có thể âm thầm jailbreak/root cái điện thoại chẳng hạn.
2. Nó duplicate được cái app tạo Smart OTP.
3. Nó cài malware/key-capture vàod diện thoại mình.

Ở VN, điện thoại dễ bị chiếm quyền điều khiển nhất bởi 2 tình huống:
1. Đem điện thoại cho thợ sửa.
2. Bị vợ/chồng/con cái/đồng nghiệp tấn công. Rất nhiều người không cài mật khẩu, hoặc chỉ cài những loại hời hợt như Pattern (vẽ màn hình), hoặc PIN 6 số, bị chiếm cái rụp.

Ngân hàng cung ứng dịch vụ online, bao giờ cũng đòi hỏi một loạt yêu cầu cao về bảo mật. Khách hàng phải chứng minh mình (hoặc ít nhất là hợp tác với ngân hàng) đã tuân thủ các yêu cầu bảo mật, thì mới có thể được bồi thường tiền, còn không thì là lỗi của khách hàng.
 

maximax903

Xe điện
Biển số
OF-719960
Ngày cấp bằng
12/3/20
Số km
3,104
Động cơ
128,894 Mã lực
Con người tạo ra được mấy cái DigiBank hay OTP nhắn vào điện thoại, nhưng 1 khi lòng tham nổi lên thì teller người ta cũng tự làm trên hệ thống bỏ qua chủ nhân luôn. Tất nhiên teller ấy sẽ bị phát hiện ngay & luôn, nhưng 1 khi đã là “đói ăn vụng, túng làm liều” thì ko nói trước được gì hết
 
Thông tin thớt
Đang tải
Top