[Funland] Tài khoản VCB ‘bốc hơi’ 406 triệu trong vài phút

fanmu12345

Xe điện
Biển số
OF-720565
Ngày cấp bằng
17/3/20
Số km
2,319
Động cơ
96,648 Mã lực
Tuổi
50
Cái này e nghĩ có 3 khả năng
1. Số đt đăng kí app VCB của bác này ko phải là số bác ta đang dùng (có thể nhân viên nhập sai hoặc bác này ghi sai số đt khi đăng ký)
2. Số đt bác này đúng là số đã đăng ký ở VCB. Tuy nhiên bác này bị ng ta lừa đảo, ấn vào link lạ/dụ dỗ cung cấp pass & tin nhắn OTP (trường hợp này rất nhiều ng bị rồi nhưng vẫn cứ chủ quan, hầu hết do tham/kém hiểu biết). Sau khi biết mất tiền thì bác này mới tá hoả và chối là ko nhận đc tin báo nào.
3. Người thân của bác này đã lấy xem trộm điện thoại và lấy cắp pass & OTP (hàng xóm nhà em cũng bị mất tiền ở thẻ atm và tài khoản, cũng làm lồng lộn lên với bank, sau hoá ra xem cam thì thấy ông con rút trộm).

Nói chung bây h các bank bảo mật cao, việc bị hack OTP gần như ko thể. Mà nhiều tiền như này, VCB nhờ công an vào cuộc, truy theo cả bên tk hưởng được nhận tiền thì chắc là cũng ra??



Nhưng trước khi kẻ gian chuyển đc tiền thì ít nhất bác này phải nhận đc 4-5 tin nhắn. 1 là khi kẻ gian cài app lên 1 điện thoại khác điện thoại bác này đăng ký ban đầu, VCB nó sẽ gửi 1 mã OTP về sim, kẻ đó phải có đc OTP này mới thành công cài đặt lên máy mới. Tiếp đó kẻ này cài smart otp, lại thêm 1 mã OTP nữa. Sau đấy muốn chuyển tiền trên 100 triệu thì kẻ này lại phải làm 2 giao dịch bình thường, vẫn phải nhập OTP báo về điện thoại như thường. Vậy nên việc này quả thật quá khó hiểu nếu ông này vẫn khăng khăng ko nhận đc tin báo?


Chắc lâu nay bác ko dùng VCB. E thấy app mới VCB bây h là 1 trong những app đứng top đầu đấy chứ.
Em vẫn cứ dùng SMS OPT và giao dịch trên PC cho lành, mặc dù NV NH vẫn khuyến khích em tải áp về
 

lum_dong_tien

Xe tăng
Biển số
OF-113295
Ngày cấp bằng
18/9/11
Số km
1,283
Động cơ
394,784 Mã lực
Còn 1 cách nữa là đối tượng khóa sim chính chủ sau đó dùng giấy tờ giả đk lại sim và kích hoạt tk trên đt mới.
 

wildness

Xe container
Biển số
OF-74392
Ngày cấp bằng
1/10/10
Số km
5,088
Động cơ
-273,964 Mã lực
Cụ nào thạo bảo mật giải thích cho em cái. Theo em hiểu thì chỉ có một số điện thoại được đăng ký với ngân hàng, là số của chính chủ. Vậy trong quá trình gửi mã xác thực qua SMS, ông Luận phải nhận được chứ (không tính 2 lần cuối lúc này đối tượng đã kích hoạt thành công tính năng xác thực bằng SmartOTP).

Như vậy SMS là một công cụ rất không an toàn và có thể bị người khác chặn, đọc được ạ?
Cũng có khả năng mã OTP bị hack được mà không cần đọc tin nhắn.
 
Biển số
OF-401204
Ngày cấp bằng
15/1/16
Số km
1,566
Động cơ
241,900 Mã lực
SMS OTP thì còn lấy cắp được vì hệ thống tin nhắn nó vẫn lấy được mã chứ Smart OTP thì là tài khoản riêng và nó gắn với 1 số điện thoại. Người dùng muốn dùng: phải mở mật mã điện thoại, sau đó vào ứng dụng đăng nhập password 1 lần nữa. Tiếp đến giao dịch lại phải vào 1 lần password nữa để nó sinh OTP tự động. Lấy mã tự động đó thì giao dịch mới thành công nên nếu ông này không cho mượn điện thoại và lộ 3 password thì làm sao mà bị ăn cắp được.
Em nghĩ ngân hàng không sai đâu, chắc ông này có uẩn khúc gì thôi
 

Alex.N

Xe buýt
Biển số
OF-419176
Ngày cấp bằng
26/4/16
Số km
529
Động cơ
225,681 Mã lực
Nói chung DigiBank của thằng VCB chuyển sang sử dụng số điện thoại làm tài khoản đăng nhập là 1 thiết kế ngu dốt vô cùng.

Như vậy rất dễ lộ tài khoản / số điện thoại của khách hàng.
Em cũng thấy vậy. Các Bạn vcb muốn tiện cho kh, nhưng là kh e k hề muốn tiện trong chuyện này. Cái username cũ của vcb là một mã random có cả chữ và số, bản thân chủ nhân mà còn khó nhớ thì đứa khác chỉ còn cách có trong Tay tờ báo username của ngân hàng hoặc đc chủ nhân gõ/chép cho, hoặc cài keylog.
Còn bây giờ, lấy số đt Làm username, trong khi số đt cá nhân cùng với tên là thứ chúng ta trao cho ng khác nhiều nhất, xét về yếu tố bảo mặt thì cái username này có bảo mật cực kỳ cực kỳ kém.
Kế đến, sau khi kích hoạt app, thì username đc Nhớ mặc định trong máy, còn k cần p gõ vào, yếu vòng 2.
Vòng cuối cùng là password thì ông vcb cho phép bỏ qua luôn, thay bằng vân tay. Mà vân tay á, cài thêm vào mấy hồi, mấy đứa cháu em toàn cài trộm vân tay vào thiết bị của bố mẹ nó.
Tóm lại cái app mới của vcb bảo mật fail toàn tập. Em mà biết đứa nào thiết kế ra cái app này em chửi cho nó mát mặt. Bây giờ em phải chuyển tk ngân hàng sang thằng khác đây. Cái tk vcb em mở được 20 năm hơn rồi.
Mk càng cải càng lùi là ông vcb đây.
 

kientruc.ACCV

Xe tải
Biển số
OF-734078
Ngày cấp bằng
26/6/20
Số km
444
Động cơ
72,330 Mã lực
Website
www.accv.vn
Cụ nào thạo bảo mật giải thích cho em cái. Theo em hiểu thì chỉ có một số điện thoại được đăng ký với ngân hàng, là số của chính chủ. Vậy trong quá trình gửi mã xác thực qua SMS, ông Luận phải nhận được chứ (không tính 2 lần cuối lúc này đối tượng đã kích hoạt thành công tính năng xác thực bằng SmartOTP).

Như vậy SMS là một công cụ rất không an toàn và có thể bị người khác chặn, đọc được ạ?
Câu cuối của cụ chuẩn đó.
 

iTrust

Xe buýt
Biển số
OF-709671
Ngày cấp bằng
6/12/19
Số km
710
Động cơ
95,641 Mã lực
Cụ nào thạo bảo mật giải thích cho em cái. Theo em hiểu thì chỉ có một số điện thoại được đăng ký với ngân hàng, là số của chính chủ. Vậy trong quá trình gửi mã xác thực qua SMS, ông Luận phải nhận được chứ (không tính 2 lần cuối lúc này đối tượng đã kích hoạt thành công tính năng xác thực bằng SmartOTP).

Như vậy SMS là một công cụ rất không an toàn và có thể bị người khác chặn, đọc được ạ?
Cụ nghĩ mấy cái tin nhắn đong hàng của cụ bọn nhà mạng không đọc được á, thậm chí bọn nó còn chuyển hướng được nếu thích, gửi tin nhắn OTP qua SMS là đang tin cậy vào nhà mạng, mà nhà mạng VN thì... em tin mỗi quả chúng nó không bán thông tin cá nhân thôi :))
 

bachlamhqhg

Xe buýt
Biển số
OF-709385
Ngày cấp bằng
4/12/19
Số km
597
Động cơ
93,743 Mã lực
Chỗ e từng thuê đội làm về bảo mật đến tập huấn, họ trình diễn, nhắn 1 tn đến mà kích vào là xong. Chiếm quyền điều khiển đt rồi chuyển khoản luôn tk NH cài trên máy, lấy trộm luôn đc cả mã OTP mà chủ máy đt ko hệ biết có mã OTP gửi đến.
 

Chĩm111

Xe điện
Biển số
OF-554272
Ngày cấp bằng
13/2/18
Số km
3,114
Động cơ
1,032,000 Mã lực
lộ mất khảu thì dành chịu thôi. nhưng lạ cái SM OTP phải đúng sô DT đăng ký mới chuyển được. sao ông này kêu không nhận đựơc tin nhắn SMS? hay lều viết sai
Em nghĩ khả năng lều viết sai hoặc bác chủ kia khai chưa chuẩn/chưa hết là cao ạ!
 

barca6996

Xe container
Biển số
OF-724771
Ngày cấp bằng
10/4/20
Số km
7,584
Động cơ
151,182 Mã lực
Cụ nào thạo bảo mật giải thích cho em cái. Theo em hiểu thì chỉ có một số điện thoại được đăng ký với ngân hàng, là số của chính chủ. Vậy trong quá trình gửi mã xác thực qua SMS, ông Luận phải nhận được chứ (không tính 2 lần cuối lúc này đối tượng đã kích hoạt thành công tính năng xác thực bằng SmartOTP).

Như vậy SMS là một công cụ rất không an toàn và có thể bị người khác chặn, đọc được ạ?
Kể ra hack được cả số điện thoại, cả pass thì hơi lạ, nhất là yêu cầu về pass của các app ngân hàng hiện nay. Liệu có khả năng ông này đưa pass cho người khác k nhỉ
 

Chĩm111

Xe điện
Biển số
OF-554272
Ngày cấp bằng
13/2/18
Số km
3,114
Động cơ
1,032,000 Mã lực
Chỗ e từng thuê đội làm về bảo mật đến tập huấn, họ trình diễn, nhắn 1 tn đến mà kích vào là xong. Chiếm quyền điều khiển đt rồi chuyển khoản luôn tk NH cài trên máy, lấy trộm luôn đc cả mã OTP mà chủ máy đt ko hệ biết có mã OTP gửi đến.
Click vào link của chúng nó thì bị bọn nó chiếm quyền điều khiển đt là chuẩn rồi cụ.
Một kinh nghiệm từ hồi xưa của em là khi có một đường link lạ mà mình muốn click, việc trước tiên là kiểm tra cái link đấy bằng cách xem địa chỉ trang chủ thể hiện trên đường link rồi mở một tap mới để truy cập nó. Nếu nó là một trang chính thống thì tiếp tục truy cập vào trang con... Cứ làm như thế cho đến khi vào đến trang đích mà link kia muốn mình truy cập.
 

barca6996

Xe container
Biển số
OF-724771
Ngày cấp bằng
10/4/20
Số km
7,584
Động cơ
151,182 Mã lực
Chỗ e từng thuê đội làm về bảo mật đến tập huấn, họ trình diễn, nhắn 1 tn đến mà kích vào là xong. Chiếm quyền điều khiển đt rồi chuyển khoản luôn tk NH cài trên máy, lấy trộm luôn đc cả mã OTP mà chủ máy đt ko hệ biết có mã OTP gửi đến.
Vụ này em éo tin, mịa thế có mà bao nhiêu tài khoản đi hết
 

barca6996

Xe container
Biển số
OF-724771
Ngày cấp bằng
10/4/20
Số km
7,584
Động cơ
151,182 Mã lực
Click vào link của chúng nó thì bị bọn nó chiếm quyền điều khiển đt là chuẩn rồi cụ.
Một kinh nghiệm từ hồi xưa của em là khi có một đường link lạ mà mình muốn click, việc trước tiên là kiểm tra cái link đấy bằng cách xem địa chỉ trang chủ thể hiện trên đường link rồi mở một tap mới để truy cập nó. Nếu nó là một trang chính thống thì tiếp tục truy cập vào trang con... Cứ làm như thế cho đến khi vào đến trang đích mà link kia muốn mình truy cập.
Có chiếm quyền điều khiển điện thoại thì vẫn còn pass của app, với yêu cầu ít nhất 8 ký tự hỗn hợp hack dễ thế có mà loạn
 

Grayson

Xe buýt
Biển số
OF-742563
Ngày cấp bằng
10/9/20
Số km
638
Động cơ
66,660 Mã lực
Cụ đọc hiểu chán quá, smart otp thì nó có nhắn tin đâu, ông này đăng ký smart otp rồi và bị ck mất
Em vừa vào off tính năng này đi và giảm hạn mức ck xuống 20 củ. Dù sau có sms thông báo vẫn chắc ăn hơn
Năm ngoái VCB gửi email giục khách hàng (cá nhân vs tổ chức) khuyến khích chuyển sang smart otp , e cũng nhận dc, mà thấy phức tạp nên từ chối.
 

barca6996

Xe container
Biển số
OF-724771
Ngày cấp bằng
10/4/20
Số km
7,584
Động cơ
151,182 Mã lực
Em trước này vẫn dùng xác thực bằng SMS. Từ khi cài đặt xác thực bằng SmartOTP thì hệ thống nó tự động tắt xác thực SMS đi mà vẫn tính phí cả 2 dịch vụ. Lại mất công kích hoạt lại xác thực bằng SMS và cả SmartOTP.
E dùng vcb thì yêu cầu nó mới kích hoạt lại sms và tính phí
 

mel2810

Xe máy
Biển số
OF-459874
Ngày cấp bằng
8/10/16
Số km
52
Động cơ
204,127 Mã lực
Tuổi
33
E thấy vcb có vẻ kém công nghệ, app ngân hàng tech e dùng thì chỉ chuyển tiền đc ở đúng 1 điện thoại, đăng nhập sang đt khác có cài app thì ko chuyển đc.
Ủa chứ ai bảo bác là tech ko cài đc ở máy khác. Cài đc nhé, nhưng vẫn phải xác nhận bằng tin nhắn otp đến sim điện thoại đã đăng ký. Mà e thấy bây h gần như bank nào cũng cho tự đổi máy đc hết, vì đã có bảo mật 2 lớp rồi còn gì. Phải có password và otp. Mà password bây h bắt đặt đủ cả số chữ kí tự hoa thường, kí tự đặc biệt. Ko tự để lộ thì ai biết.
Hồi trước vcb cho cài sang máy mới, bắt đến quầy mới dc đổi máy, nhưng như thế bất lợi cho nhiều người quá, nên họ mới bỏ.
 

VCHDHN

Xe lăn
Biển số
OF-146690
Ngày cấp bằng
22/6/12
Số km
10,906
Động cơ
471,648 Mã lực
Cũng có thể ông ta lưu pass luôn trong ứng dụng để mỗi lần đăng nhập cho nhanh, sợ quên pass....nên bị lợi dụng. Chỉ cần dời điện thoại độ 10p là kẻ xấu đủ thời gian thực hiện lệnh chuyển tiền. Tin nhắn OTP đã đc kẻ xấu xoá ngay sau đó nên ông ta không biết:)
 

mel2810

Xe máy
Biển số
OF-459874
Ngày cấp bằng
8/10/16
Số km
52
Động cơ
204,127 Mã lực
Tuổi
33
Chỗ e từng thuê đội làm về bảo mật đến tập huấn, họ trình diễn, nhắn 1 tn đến mà kích vào là xong. Chiếm quyền điều khiển đt rồi chuyển khoản luôn tk NH cài trên máy, lấy trộm luôn đc cả mã OTP mà chủ máy đt ko hệ biết có mã OTP gửi đến.
Bác ơi thế làm sao đội chiếm quyền đó biết được pass của app chuyển tiền vậy
 

barca6996

Xe container
Biển số
OF-724771
Ngày cấp bằng
10/4/20
Số km
7,584
Động cơ
151,182 Mã lực
Nói chung DigiBank của thằng VCB chuyển sang sử dụng số điện thoại làm tài khoản đăng nhập là 1 thiết kế ngu dốt vô cùng.

Như vậy rất dễ lộ tài khoản / số điện thoại của khách hàng.
Có lộ cũng chả làm gì được, cụ thử cài app và số của gấu cụ lên máy cụ và k có pass xem có lấy được tiền của gấu cụ k
 
Thông tin thớt
Đang tải

Bài viết mới

Top