[Funland] Tài khoản VCB ‘bốc hơi’ 406 triệu trong vài phút

huongdo03

Xe tăng
Biển số
OF-547418
Ngày cấp bằng
25/12/17
Số km
1,509
Động cơ
67,420 Mã lực
Thế cho nên các cụ nhất định phải xài pass cho sim đt, có nhân bn bản đi nữa kể cả nó ăn cắp cmt của mình đi làm lại sim thì nó cũng phải xác nhận pass mới mở đc sim đó ra. Em thật chứ, để vào đc đến bước cuối của lệnh chuyển tiền phải qua bn lần ấn pass mà vẫn mất thì cũng khó hiểu phết. Vì hàng triệu triệu tk vẫn đang sd bt mà. Em có 3 tk trong đó có 2 cái hay dùng em xác nhận bằng vân tay cho nhanh.
 

tvu732

Xe tăng
Biển số
OF-708234
Ngày cấp bằng
21/11/19
Số km
1,022
Động cơ
103,546 Mã lực
Ý em nói là hai stk tách biệt hoàn toàn, link với nhau làm sao được ạ?
2 tài khoản thanh toán của cùng 1 ngân hàng thì đều được quản lý chung trong cùng 1 app, 1 mã CIF khách hàng cá nhân. Nếu cụ dùng 2 tk của 2 bank khác nhau thì em không nói.
 

Of.NguyenLinh

Xe lừa
Biển số
OF-291212
Ngày cấp bằng
6/6/06
Số km
35,143
Động cơ
1,476,463 Mã lực
Nơi ở
Sản phẩm chăm sóc xe nextzett
Website
1z-vietnam.com
Vụ này ảo nhỉ? Em chưa hiểu cơ chế hack ntn, chả lẽ giả lập máy điện thoại của người bị hại?
 

Salamander

Xe tăng
Biển số
OF-138700
Ngày cấp bằng
16/4/12
Số km
1,415
Động cơ
177,734 Mã lực
Hình như app của ngân hàng này đang bị gián đoạn từ trưa đến giờ.
 

becoivn

Xe hơi
Biển số
OF-196489
Ngày cấp bằng
30/5/13
Số km
187
Động cơ
327,974 Mã lực
nhà cháu dù ít xiền cũng phải đky sms bank hàng tháng, tốn cốc trà đá mà mình đỡ lo :))
 

iphonese

Xe buýt
Biển số
OF-422243
Ngày cấp bằng
13/5/16
Số km
625
Động cơ
223,227 Mã lực
Tuổi
42
2 tài khoản thanh toán của cùng 1 ngân hàng thì đều được quản lý chung trong cùng 1 app, 1 mã CIF khách hàng cá nhân. Nếu cụ dùng 2 tk của 2 bank khác nhau thì em không nói.
1 mã CIF nhưng 1 tk đăng ký smart banking 1 tài khoản thì không, làm sao họ có thể dùng dv internet banking để rút tiền từ 1 tk không đăng ký dịch vụ đó?
 

hoainguyenhn

Xe hơi
Biển số
OF-304166
Ngày cấp bằng
7/1/14
Số km
130
Động cơ
305,030 Mã lực
em bị 1 lần nuốt thẻ mà mãi ko giải quyết, xong pai gọi điện lên phòng giao dịch làm loạn lên 2-3 ngày sau tiền mới đẩy về. xong em xóa tk lun khỏi dùng. nchung là k chơi với vcb =)))
 

Xechaybangcom

Xe điện
Biển số
OF-157149
Ngày cấp bằng
17/9/12
Số km
3,369
Động cơ
336,107 Mã lực
Tôi thấy cái VCB mới này quả thật kém hơn so với cái cũ, dù có thể an toàn hơn:
- Ko lưu được Tên người thụ hưởng cho lần sau.
- Không in được Biên lai, cả chuyển đi và chuyển đến.
Cái Bảng Excel, không minh bạch lắm, dù tính thông tin thì đủ.
- In trực tiếp từ trang web thì toàn báo Blank page.
- Khi nhận tiền, không thể in Sổ phụ ra để biết đầy đủ: Ai trả - trả cho cái gì, hóa đơn nào .....
Hu hu hu, cụ nhầm rồi, em là người dùng VCB đây.
- Em xác nhận có lưu được tên người thụ hưởng cho lần sau cụ nhé.
- In được biên lai chuyển đi cụ nhé. Ngoài ra, mỗi lần cụ chuyển tiền, nó đều gửi cả thông tin đến địa chỉ email của cụ cho từng lần chuyển tiền. Nếu cụ muốn tìm lại, cụ móc email ra là được. Đối với chuyển tiền đến, thì bên nào cũng giống nhau cả, không thể tra cứu được số tk của người chuyển đến, tuy nhiên tên người chuyển và thông tin diễn giải mà người chuyển tiền cho cụ thì có hiện lên mà cụ.
- Em cũng không rõ vì sao cụ lại không in được từ ngân hàng cái bảng excel, còn em in lần nào cũng được (em tk cá nhân thôi, không phải tk doanh nghiệp).

Hay cụ trả phí cho em, em hướng dẫn cụ sử dụng nhể :D, trả bằng bia hơi cũng được.
 

Thắng_Sơn Tây

Xe cút kít
Biển số
OF-455694
Ngày cấp bằng
24/9/16
Số km
18,848
Động cơ
1,134,828 Mã lực
Nơi ở
Cấm chỉ
OTP đi qua một agency thứ 3 cung cấp dịch vụ gửi tin sms, hoặc thậm chí đi trực tiếp qua nhà mạng (telcos), chỉ cần chặn hệ thống API bằng biện pháp cơ bản thì tin nó cũng không về được đến máy
Nói về cái này thì từ phía bank -> agency -> telcos -> endusers nó còn nhiều cái để bóc tách lắm các cụ ạ. Em ngồi không cũng phải đếm dc 3-4 lí do có thể phát sinh ở khâu trên rồi
Dịch vụ này chỉ cho nhận cuộc gọi ở các sim phụ, riêng SMS chỉ nhận được ở Sim chính cụ nhé. Nhà mạng người ta cũng tính nát nước khi đưa ra dịch vụ này rồi.
Em nghĩ dịch vụ clone SIM này không có nhiều ý nghĩa và sẽ có ít người sử dụng.
 

X0000

Xe điện
Biển số
OF-383918
Ngày cấp bằng
23/9/15
Số km
2,582
Động cơ
186,325 Mã lực
Em chuyển qua bidv, tạm thời thì username vẫn là 1 đoạn ký tự lung tung. Còn nếu bidv cũng chuyển qua user bằng số đt thì em không sử dụng app luôn hoặc chia ra 2 tk, 1 tk giao dịch tiền lớn thì không có đăng ký bất cứ dịch vụ online nào, 1 tk để chi tiêu lặt vặt thì chấp nhận rủi ro
Smartbanking của BIDV cũng dùng số điện thoại để đăng nhập nhé cụ. Còn BIDV online thì tên đăng nhập lằng nhằng, mà từ thủa em dùng, em chưa bao giờ đăng nhập vào BIDV online được - Có mấy lần muốn vào BIDV online vì hạn mức chuyển khoản của nó cao hơn SmartBanking
 

Skoda_Favorit

Xe container
Biển số
OF-108279
Ngày cấp bằng
9/8/11
Số km
7,184
Động cơ
442,607 Mã lực
em bị 1 lần nuốt thẻ mà mãi ko giải quyết, xong pai gọi điện lên phòng giao dịch làm loạn lên 2-3 ngày sau tiền mới đẩy về. xong em xóa tk lun khỏi dùng. nchung là k chơi với vcb =)))
Lý do nuốt thẻ và tk bị trừ tiền là ntn Cụ?
 

VCHDHN

Xe lăn
Biển số
OF-146690
Ngày cấp bằng
22/6/12
Số km
10,907
Động cơ
471,648 Mã lực
Cái dò pass ấy nó chỉ cần thay con người nhập pass vào thôi, cũng không thể nhập liên tục quá nhanh, vì hệ thống sẽ lock tài khoản nếu trong khoảng thời gian ngắn. Nhưng hacker thường kiểm soát hàng trăm, ngàn máy tính, chạy liên tục nên giải quyết được vấn đề này.

Đó chỉ là 1 ví dụ thôi, có nhiều sơ hở khác, như xin cấp lại mật khẩu chẳng hạn, các thông tin quá rõ ràng là mồi ngon cho hacker.
Biết nhiều thế này sao không đi làm tiền ngân hàng :))
 

honglong1

Xe điện
Biển số
OF-305422
Ngày cấp bằng
17/1/14
Số km
2,637
Động cơ
238,036 Mã lực
Người bị mất có hơn 400 tr để chơi trong TK thì cũng lắm thật. Mỗi lần ck thì VCB cũng có gửi biên lai xác báo qua mail, không lẽ cả mail cũng bị hack.
 

QAZ

Xe container
Biển số
OF-135390
Ngày cấp bằng
21/3/12
Số km
6,733
Động cơ
268,740 Mã lực
Cụ nào thạo bảo mật giải thích cho em cái. Theo em hiểu thì chỉ có một số điện thoại được đăng ký với ngân hàng, là số của chính chủ. Vậy trong quá trình gửi mã xác thực qua SMS, ông Luận phải nhận được chứ (không tính 2 lần cuối lúc này đối tượng đã kích hoạt thành công tính năng xác thực bằng SmartOTP).

Như vậy SMS là một công cụ rất không an toàn và có thể bị người khác chặn, đọc được ạ?

Khách hàng có thể đăng ký 2 số điện thoại.

Cụ thể tôi đã bị với TechComBank: lúc đầu tôi dùng số 6666, một thời gian sau đổi sang 8888. Báo với ngân hàng để họ đổi lại trên toàn bộ hệ thống, nhưng không hiểu sao vẫn sót. Có 1 vài tác vụ cần OTP vẫn gửi vào số 6666, trong khi hầu hết thì lại chạy vào 8888, thế mới tài.

Tôi phải lên gặp trực tiếp, họ mở trong máy tính ra mới thấy số 6666 vẫn đang đặt làm dự phòng, phải xóa hẳn đi mới được.
 

QAZ

Xe container
Biển số
OF-135390
Ngày cấp bằng
21/3/12
Số km
6,733
Động cơ
268,740 Mã lực
E thấy vcb có vẻ kém công nghệ, app ngân hàng tech e dùng thì chỉ chuyển tiền đc ở đúng 1 điện thoại, đăng nhập sang đt khác có cài app thì ko chuyển đc.
Với app của TCB F@stMobile, khi muốn thay đổi điện thoại, thì cụ phải vào đt cũ, thao tác chuyển SmartOTP sang điện thoại mới.
 

VW Golf

[Tịch thu bằng lái]
Biển số
OF-24533
Ngày cấp bằng
21/11/08
Số km
27,499
Động cơ
727,965 Mã lực
Hu hu hu, cụ nhầm rồi, em là người dùng VCB đây.
- Em xác nhận có lưu được tên người thụ hưởng cho lần sau cụ nhé.
- In được biên lai chuyển đi cụ nhé. Ngoài ra, mỗi lần cụ chuyển tiền, nó đều gửi cả thông tin đến địa chỉ email của cụ cho từng lần chuyển tiền. Nếu cụ muốn tìm lại, cụ móc email ra là được. Đối với chuyển tiền đến, thì bên nào cũng giống nhau cả, không thể tra cứu được số tk của người chuyển đến, tuy nhiên tên người chuyển và thông tin diễn giải mà người chuyển tiền cho cụ thì có hiện lên mà cụ.
- Em cũng không rõ vì sao cụ lại không in được từ ngân hàng cái bảng excel, còn em in lần nào cũng được (em tk cá nhân thôi, không phải tk doanh nghiệp).

Hay cụ trả phí cho em, em hướng dẫn cụ sử dụng nhể :D, trả bằng bia hơi cũng được.
Vụ lưu tên người thụ hưởng, tôi sẽ xem lại.
Vụ in Biên lai gửi đi: Có in được, nhưng bác phải in ngay. Để trôi đi là mất. Hồi trước như thế, giống hệt bây giờ.
Về cái Biên lai này: Bác in ngay ra file PDF thì trông nó sạch sẽ và có thể gửi đi cho người nhận, ví dụ vậy, trông nó minh bạch hơn. Email cũng có, nhưng in từ Email khó khăn, và lộ thêm 1 loạt thông tin không liên quan.

Còn cái Nội dung chuyển tiền: VCB chỉ đưa ra được vài chữ, trong khi nội dung chuyển khoản nhiều khi nó dài thòong.
Các bank khác, bác chọn Sao kê, kích vào 1 dòng nào đó => nó bật ra cho bác 1 bảng: Ai gửi - Nội dung gửi đầy đủ.
Và bác có thể in cái đó ra, lưu lại. In bằng PDF.

Cái Bảng Excel tôi cũng download về được. Và bảng Excel cũng không đầy đủ thông tin về Payment details.
Nhưng Excel thì sửa được rồi mới in, nên tính minh bạch thấp.
Bác làm cho một mình bác, thì không sao. Nếu Tài khoản của bác còn phải cho người khác xem nhờ - hoặc tài khoản tổ chức, câu chuyện nó khác.

chí ít, hồi trước tôi còn in được cái giao diện của VCB, chỉ in được trên IE. Cái đó, dù khá xấu và chữ nhỏ, nhưng "cực xịn" và không thể fake.
Giờ, nếu đặt lệnh in, bác chỉ in được 1 đống giấy trắng, dù là máy in vật lý hay PDF.

Tôi có hỏi mấy cháu mông to vú nở ở trển, họ bẩu: Cái app mới này xịn lắm anh ạ, làm đếch gì cũng được.
Kết quả thì như ta đã biết.
 

minhnguyen3107

Xe tăng
Biển số
OF-31184
Ngày cấp bằng
12/3/09
Số km
1,681
Động cơ
495,338 Mã lực
Nơi ở
Ở nhà với vợ với con
Vụ này ảo nhỉ? Em chưa hiểu cơ chế hack ntn, chả lẽ giả lập máy điện thoại của người bị hại?
Hiểu nó như thế này:

1. Xuất phát là chủ quan của người dùng, cài phần mềm độc (PMĐ) trên Android phiên bản cũ cấp full quyền (nhiều web xấu đòi phải cài để nó cấp user/pass vào). Nếu người dùng iOS sẽ không bị.
2. Khi PMĐ được cài nó sẽ chạy ngầm, khi người dùng chạy phần mềm VCB Digibank thì nó bung 1 màn hình giống hệt lừa người dùng nhập user pass vào, sau khi lấy được user pass nó sẽ trả lại màn hình VCB Digibank để người dùng bình thường
3. Hacker lấy được user/pass đăng nhập vào, VCB trả về OTP cho thuê bao người dùng, tại máy người dùng PMĐ catch luôn nội dung tin nhắn là báo lại cho hacker để nhập. Tiếp tục quy trình như vậy khi chuyển tiền.

Các bước như thế này thì VN có hàng chục ngàn người có thể làm được, tuy nhiên lượng người dám hành động thì ít thôi.
 

Nokfev

Xe ba gác
Biển số
OF-188258
Ngày cấp bằng
4/4/13
Số km
21,872
Động cơ
523,372 Mã lực
Tuổi
47
Nơi ở
Trương Định phố , Hoàng Mai quận , Hà Nội tỉnh ...
Website
www.nhattao.com
Thông tin thớt
Đang tải

Bài viết mới

Top