[Funland] Tài khoản VCB ‘bốc hơi’ 406 triệu trong vài phút

huongdo03 · 12:54 05/10/2020

Thế cho nên các cụ nhất định phải xài pass cho sim đt, có nhân bn bản đi nữa kể cả nó ăn cắp cmt của mình đi làm lại sim thì nó cũng phải xác nhận pass mới mở đc sim đó ra. Em thật chứ, để vào đc đến bước cuối của lệnh chuyển tiền phải qua bn lần ấn pass mà vẫn mất thì cũng khó hiểu phết. Vì hàng triệu triệu tk vẫn đang sd bt mà. Em có 3 tk trong đó có 2 cái hay dùng em xác nhận bằng vân tay cho nhanh.

tvu732 · 13:10 05/10/2020

iphonese nói:
Ý em nói là hai stk tách biệt hoàn toàn, link với nhau làm sao được ạ?

2 tài khoản thanh toán của cùng 1 ngân hàng thì đều được quản lý chung trong cùng 1 app, 1 mã CIF khách hàng cá nhân. Nếu cụ dùng 2 tk của 2 bank khác nhau thì em không nói.

Of.NguyenLinh · 13:13 05/10/2020

Vụ này ảo nhỉ? Em chưa hiểu cơ chế hack ntn, chả lẽ giả lập máy điện thoại của người bị hại?

Salamander · 13:59 05/10/2020

Hình như app của ngân hàng này đang bị gián đoạn từ trưa đến giờ.

becoivn · 14:15 05/10/2020

nhà cháu dù ít xiền cũng phải đky sms bank hàng tháng, tốn cốc trà đá mà mình đỡ lo :))

iphonese · 14:32 05/10/2020

tvu732 nói:
2 tài khoản thanh toán của cùng 1 ngân hàng thì đều được quản lý chung trong cùng 1 app, 1 mã CIF khách hàng cá nhân. Nếu cụ dùng 2 tk của 2 bank khác nhau thì em không nói.

1 mã CIF nhưng 1 tk đăng ký smart banking 1 tài khoản thì không, làm sao họ có thể dùng dv internet banking để rút tiền từ 1 tk không đăng ký dịch vụ đó?

hoainguyenhn · 15:11 05/10/2020

em bị 1 lần nuốt thẻ mà mãi ko giải quyết, xong pai gọi điện lên phòng giao dịch làm loạn lên 2-3 ngày sau tiền mới đẩy về. xong em xóa tk lun khỏi dùng. nchung là k chơi với vcb =))

)

Xechaybangcom · 16:43 05/10/2020

VW Golf nói:
Tôi thấy cái VCB mới này quả thật kém hơn so với cái cũ, dù có thể an toàn hơn:
- Ko lưu được Tên người thụ hưởng cho lần sau.
- Không in được Biên lai, cả chuyển đi và chuyển đến.
Cái Bảng Excel, không minh bạch lắm, dù tính thông tin thì đủ.
- In trực tiếp từ trang web thì toàn báo Blank page.
- Khi nhận tiền, không thể in Sổ phụ ra để biết đầy đủ: Ai trả - trả cho cái gì, hóa đơn nào .....

Hu hu hu, cụ nhầm rồi, em là người dùng VCB đây.
- Em xác nhận có lưu được tên người thụ hưởng cho lần sau cụ nhé.
- In được biên lai chuyển đi cụ nhé. Ngoài ra, mỗi lần cụ chuyển tiền, nó đều gửi cả thông tin đến địa chỉ email của cụ cho từng lần chuyển tiền. Nếu cụ muốn tìm lại, cụ móc email ra là được. Đối với chuyển tiền đến, thì bên nào cũng giống nhau cả, không thể tra cứu được số tk của người chuyển đến, tuy nhiên tên người chuyển và thông tin diễn giải mà người chuyển tiền cho cụ thì có hiện lên mà cụ.
- Em cũng không rõ vì sao cụ lại không in được từ ngân hàng cái bảng excel, còn em in lần nào cũng được (em tk cá nhân thôi, không phải tk doanh nghiệp).

Hay cụ trả phí cho em, em hướng dẫn cụ sử dụng nhể

, trả bằng bia hơi cũng được.

ldt_tx · 17:11 05/10/2020

congthuong nói:
Dò pass thì không cần siêu máy tính, chỉ cần thời gian thôi.

Sai 5 lần nó khóa tài khoản thì siêu máy tính có dò đc ko cụ

Thắng_Sơn Tây · 17:17 05/10/2020

vietdang89 nói:
OTP đi qua một agency thứ 3 cung cấp dịch vụ gửi tin sms, hoặc thậm chí đi trực tiếp qua nhà mạng (telcos), chỉ cần chặn hệ thống API bằng biện pháp cơ bản thì tin nó cũng không về được đến máy
Nói về cái này thì từ phía bank -> agency -> telcos -> endusers nó còn nhiều cái để bóc tách lắm các cụ ạ. Em ngồi không cũng phải đếm dc 3-4 lí do có thể phát sinh ở khâu trên rồi

Mr.Saclo nói:
Dịch vụ này chỉ cho nhận cuộc gọi ở các sim phụ, riêng SMS chỉ nhận được ở Sim chính cụ nhé. Nhà mạng người ta cũng tính nát nước khi đưa ra dịch vụ này rồi.

Em nghĩ dịch vụ clone SIM này không có nhiều ý nghĩa và sẽ có ít người sử dụng.

X0000 · 19:08 05/10/2020

iphonese nói:
Em chuyển qua bidv, tạm thời thì username vẫn là 1 đoạn ký tự lung tung. Còn nếu bidv cũng chuyển qua user bằng số đt thì em không sử dụng app luôn hoặc chia ra 2 tk, 1 tk giao dịch tiền lớn thì không có đăng ký bất cứ dịch vụ online nào, 1 tk để chi tiêu lặt vặt thì chấp nhận rủi ro

Smartbanking của BIDV cũng dùng số điện thoại để đăng nhập nhé cụ. Còn BIDV online thì tên đăng nhập lằng nhằng, mà từ thủa em dùng, em chưa bao giờ đăng nhập vào BIDV online được - Có mấy lần muốn vào BIDV online vì hạn mức chuyển khoản của nó cao hơn SmartBanking

Skoda_Favorit · 19:10 05/10/2020

hoainguyenhn nói:
em bị 1 lần nuốt thẻ mà mãi ko giải quyết, xong pai gọi điện lên phòng giao dịch làm loạn lên 2-3 ngày sau tiền mới đẩy về. xong em xóa tk lun khỏi dùng. nchung là k chơi với vcb )

Lý do nuốt thẻ và tk bị trừ tiền là ntn Cụ?

VCHDHN · 19:16 05/10/2020

congthuong nói:
Cái dò pass ấy nó chỉ cần thay con người nhập pass vào thôi, cũng không thể nhập liên tục quá nhanh, vì hệ thống sẽ lock tài khoản nếu trong khoảng thời gian ngắn. Nhưng hacker thường kiểm soát hàng trăm, ngàn máy tính, chạy liên tục nên giải quyết được vấn đề này.

Đó chỉ là 1 ví dụ thôi, có nhiều sơ hở khác, như xin cấp lại mật khẩu chẳng hạn, các thông tin quá rõ ràng là mồi ngon cho hacker.

Biết nhiều thế này sao không đi làm tiền ngân hàng :))

honglong1 · 19:18 05/10/2020

Người bị mất có hơn 400 tr để chơi trong TK thì cũng lắm thật. Mỗi lần ck thì VCB cũng có gửi biên lai xác báo qua mail, không lẽ cả mail cũng bị hack.

QAZ · 19:24 05/10/2020

tvu732 nói:
Cụ nào thạo bảo mật giải thích cho em cái. Theo em hiểu thì chỉ có một số điện thoại được đăng ký với ngân hàng, là số của chính chủ. Vậy trong quá trình gửi mã xác thực qua SMS, ông Luận phải nhận được chứ (không tính 2 lần cuối lúc này đối tượng đã kích hoạt thành công tính năng xác thực bằng SmartOTP).

Như vậy SMS là một công cụ rất không an toàn và có thể bị người khác chặn, đọc được ạ?

Khách hàng có thể đăng ký 2 số điện thoại.

Cụ thể tôi đã bị với TechComBank: lúc đầu tôi dùng số 6666, một thời gian sau đổi sang 8888. Báo với ngân hàng để họ đổi lại trên toàn bộ hệ thống, nhưng không hiểu sao vẫn sót. Có 1 vài tác vụ cần OTP vẫn gửi vào số 6666, trong khi hầu hết thì lại chạy vào 8888, thế mới tài.

Tôi phải lên gặp trực tiếp, họ mở trong máy tính ra mới thấy số 6666 vẫn đang đặt làm dự phòng, phải xóa hẳn đi mới được.

QAZ · 19:37 05/10/2020

levision nói:
E thấy vcb có vẻ kém công nghệ, app ngân hàng tech e dùng thì chỉ chuyển tiền đc ở đúng 1 điện thoại, đăng nhập sang đt khác có cài app thì ko chuyển đc.

Với app của TCB F@stMobile, khi muốn thay đổi điện thoại, thì cụ phải vào đt cũ, thao tác chuyển SmartOTP sang điện thoại mới.

VW Golf · 20:00 05/10/2020

Xechaybangcom nói:
Hu hu hu, cụ nhầm rồi, em là người dùng VCB đây.
- Em xác nhận có lưu được tên người thụ hưởng cho lần sau cụ nhé.
- In được biên lai chuyển đi cụ nhé. Ngoài ra, mỗi lần cụ chuyển tiền, nó đều gửi cả thông tin đến địa chỉ email của cụ cho từng lần chuyển tiền. Nếu cụ muốn tìm lại, cụ móc email ra là được. Đối với chuyển tiền đến, thì bên nào cũng giống nhau cả, không thể tra cứu được số tk của người chuyển đến, tuy nhiên tên người chuyển và thông tin diễn giải mà người chuyển tiền cho cụ thì có hiện lên mà cụ.
- Em cũng không rõ vì sao cụ lại không in được từ ngân hàng cái bảng excel, còn em in lần nào cũng được (em tk cá nhân thôi, không phải tk doanh nghiệp).

Hay cụ trả phí cho em, em hướng dẫn cụ sử dụng nhể , trả bằng bia hơi cũng được.

Vụ lưu tên người thụ hưởng, tôi sẽ xem lại.
Vụ in Biên lai gửi đi: Có in được, nhưng bác phải in ngay. Để trôi đi là mất. Hồi trước như thế, giống hệt bây giờ.
Về cái Biên lai này: Bác in ngay ra file PDF thì trông nó sạch sẽ và có thể gửi đi cho người nhận, ví dụ vậy, trông nó minh bạch hơn. Email cũng có, nhưng in từ Email khó khăn, và lộ thêm 1 loạt thông tin không liên quan.

Còn cái Nội dung chuyển tiền: VCB chỉ đưa ra được vài chữ, trong khi nội dung chuyển khoản nhiều khi nó dài thòong.
Các bank khác, bác chọn Sao kê, kích vào 1 dòng nào đó => nó bật ra cho bác 1 bảng: Ai gửi - Nội dung gửi đầy đủ.
Và bác có thể in cái đó ra, lưu lại. In bằng PDF.

Cái Bảng Excel tôi cũng download về được. Và bảng Excel cũng không đầy đủ thông tin về Payment details.
Nhưng Excel thì sửa được rồi mới in, nên tính minh bạch thấp.
Bác làm cho một mình bác, thì không sao. Nếu Tài khoản của bác còn phải cho người khác xem nhờ - hoặc tài khoản tổ chức, câu chuyện nó khác.

chí ít, hồi trước tôi còn in được cái giao diện của VCB, chỉ in được trên IE. Cái đó, dù khá xấu và chữ nhỏ, nhưng "cực xịn" và không thể fake.
Giờ, nếu đặt lệnh in, bác chỉ in được 1 đống giấy trắng, dù là máy in vật lý hay PDF.

Tôi có hỏi mấy cháu mông to vú nở ở trển, họ bẩu: Cái app mới này xịn lắm anh ạ, làm đếch gì cũng được.
Kết quả thì như ta đã biết.

congthuong · 20:34 05/10/2020

VCHDHN nói:
Biết nhiều thế này sao không đi làm tiền ngân hàng

Đâu phải ai cũng giống cụ....

minhnguyen3107 · 20:55 05/10/2020

Of.NguyenLinh nói:
Vụ này ảo nhỉ? Em chưa hiểu cơ chế hack ntn, chả lẽ giả lập máy điện thoại của người bị hại?

Hiểu nó như thế này:

1. Xuất phát là chủ quan của người dùng, cài phần mềm độc (PMĐ) trên Android phiên bản cũ cấp full quyền (nhiều web xấu đòi phải cài để nó cấp user/pass vào). Nếu người dùng iOS sẽ không bị.
2. Khi PMĐ được cài nó sẽ chạy ngầm, khi người dùng chạy phần mềm VCB Digibank thì nó bung 1 màn hình giống hệt lừa người dùng nhập user pass vào, sau khi lấy được user pass nó sẽ trả lại màn hình VCB Digibank để người dùng bình thường
3. Hacker lấy được user/pass đăng nhập vào, VCB trả về OTP cho thuê bao người dùng, tại máy người dùng PMĐ catch luôn nội dung tin nhắn là báo lại cho hacker để nhập. Tiếp tục quy trình như vậy khi chuyển tiền.

Các bước như thế này thì VN có hàng chục ngàn người có thể làm được, tuy nhiên lượng người dám hành động thì ít thôi.

Nokfev · 20:56 05/10/2020

Of.NguyenLinh nói:
Vụ này ảo nhỉ? Em chưa hiểu cơ chế hack ntn, chả lẽ giả lập máy điện thoại của người bị hại?

Cứ coi là tự hack cho nhẹ nhàng ;))

[Funland] Tài khoản VCB ‘bốc hơi’ 406 triệu trong vài phút

Xe tăng

Xe buýt

Xe ngựa

Xe tăng

Xe hơi

Xe tải

Xe hơi

Xe điện

Xe tăng

Xe cút kít

Xe điện

Xe container

Xe container

Xe điện

Xe container

Xe container

[Tịch thu bằng lái]

Xe điện

Xe tăng

Xe cút kít

Thông tin thớt