[Funland] Tài khoản VCB ‘bốc hơi’ 406 triệu trong vài phút

windmill

Xe buýt
Biển số
OF-125373
Ngày cấp bằng
24/12/11
Số km
788
Động cơ
388,346 Mã lực
Em trước này vẫn dùng xác thực bằng SMS. Từ khi cài đặt xác thực bằng SmartOTP thì hệ thống nó tự động tắt xác thực SMS đi mà vẫn tính phí cả 2 dịch vụ. Lại mất công kích hoạt lại xác thực bằng SMS và cả SmartOTP.
 

Doinhucaitoi

Xe buýt
Biển số
OF-388588
Ngày cấp bằng
24/10/15
Số km
800
Động cơ
246,700 Mã lực
Cụ mới đọc hiểu vội vàng ạ. Kính cụ: "Sau khi thực hiện thành công hai giao dịch chuyển tiền bằng phương thức xác thực OTP qua tin nhắn điện thoại, tính năng xác thực bằng SmartOTP trên thiết bị mới có thể được sử dụng."

Như vậy tổng cộng có 6 mã xác thực đã được gửi:
- Qua SMS lần 1: để kích hoạt ứng dụng Digibank trên một thiết bị lạ.
- Qua SMS lần 2: để kích hoạt tính năng SmartOTP.
- Qua SMS lần 3, lần 4: để thực hiện 2 giao dịch chuyển tiền trị giá 89tr.
- Qua SmartOTP lần 5, lần 6: để thực hiện 2 giao dịch trị giá 317tr.

Nếu đúng như báo viết thì SMS có vấn đề. Như bác nào đó nói là bị copy SIM?
Ngay cả với 2 giao dịch cuối, dùng SmartOTP thì cũng vẫn bị hỏi số Pin hoặc dấu vân tay cơ mà. Lạ thật?
Coppy sim e nghĩ là không thể vì khi không thể nào có 2 sim 1 số dt được. Chắc ô Luận tường trình chưa chuẩn hoặc vì lý do nào đó mà ô ý giấu chăng
 

mel2810

Xe máy
Biển số
OF-459874
Ngày cấp bằng
8/10/16
Số km
52
Động cơ
204,127 Mã lực
Tuổi
33
Em trước này vẫn dùng xác thực bằng SMS. Từ khi cài đặt xác thực bằng SmartOTP thì hệ thống nó tự động tắt xác thực SMS đi mà vẫn tính phí cả 2 dịch vụ. Lại mất công kích hoạt lại xác thực bằng SMS và cả SmartOTP.
Bác hiẻu nhầm rồi, nó tắt xác thực SMS chứ đâu tắt tính năng báo số dư về SMS, nên nó vẫn tính phí là đúng rồi. Bác muốn tắt luôn tính năng báo số dư thì VCB nó có cái phần Quản lý thông báo của app ấy, nhận số dư qua app luôn, đỡ chi phí cái sms kia.

Con người tạo ra được mấy cái DigiBank hay OTP nhắn vào điện thoại, nhưng 1 khi lòng tham nổi lên thì teller người ta cũng tự làm trên hệ thống bỏ qua chủ nhân luôn. Tất nhiên teller ấy sẽ bị phát hiện ngay & luôn, nhưng 1 khi đã là “đói ăn vụng, túng làm liều” thì ko nói trước được gì hết
Nhưng teller làm sao có đc bao nhiêu mã OTP gửi về số điện thoại của khách?

Có vài cách để hacker có thể lấy được OTP.
1. Nếu như điện thoại bị hacker chiếm quyền điều khiển thì nó muốn làm gì cũng được. Hacker có thể âm thầm jailbreak/root cái điện thoại chẳng hạn.
2. Nó duplicate được cái app tạo Smart OTP.
3. Nó cài malware/key-capture vàod diện thoại mình.

Ở VN, điện thoại dễ bị chiếm quyền điều khiển nhất bởi 2 tình huống:
1. Đem điện thoại cho thợ sửa.
2. Bị vợ/chồng/con cái/đồng nghiệp tấn công. Rất nhiều người không cài mật khẩu, hoặc chỉ cài những loại hời hợt như Pattern (vẽ màn hình), hoặc PIN 6 số, bị chiếm cái rụp.

Ngân hàng cung ứng dịch vụ online, bao giờ cũng đòi hỏi một loạt yêu cầu cao về bảo mật. Khách hàng phải chứng minh mình (hoặc ít nhất là hợp tác với ngân hàng) đã tuân thủ các yêu cầu bảo mật, thì mới có thể được bồi thường tiền, còn không thì là lỗi của khách hàng.
App VCB nó ko cho cài trên máy đã jailbreak bác ạ. Năm trước con Note của e đã vọc vạch tí chút, tải app VCB về ko caid được, nó báo luôn thiết bị đã jailbreak. E ức chế cãi nhau luôn với nhân viên bank, sau về nghĩ lại thấy nó làm thế cũng đúng 🤣 thành ra e phải cài app VCB lên con Vsmart 😅

Mà cái smart otp trên app của vcb nó là tích hợp chứ ko phải có 1 app OTP riêng đâu bác. Nên để dup được cái app VCB e nghĩ hơi khó
 
Chỉnh sửa cuối:

slaz8

Xe ba gác
Biển số
OF-73831
Ngày cấp bằng
25/9/10
Số km
20,088
Động cơ
622,206 Mã lực
Tài khoản của ông Luận bị kích hoạt ứng dụng VCB Digibank trên thiết bị mới và chuyển 406 triệu cho người thụ hưởng tại MSB, SEABank trong 7 phút.
Ông Trần Việt Luận, ngụ quận Thủ Đức (TP HCM) cho biết tài khoản tại Ngân hàng Ngoại thương Việt Nam (Vietcombank) phát sinh 4 giao dịch chuyển khoản vào trưa 4/9. Vì không nhận được tin nhắn thông báo mã xác thực, biến động số dư qua điện thoại nên ông không phát hiện cho đến khi ra ngân hàng giao dịch vào chiều cùng ngày.
"Lúc đến chi nhánh Nam Bình Dương làm lệnh chuyển tiền, tôi mới tá hoả khi nhân viên thông báo tài khoản chỉ còn 5 triệu đồng", ông Luận nói với VnExpress. Ngay sau đó, ông đưa điện thoại cho nhân viên ngân hàng kiểm chứng không nhận được tin nhắn và đề nghị lập biên bản, dừng ngay các giao dịch.
Khách hàng này khẳng định 4 giao dịch không phải mình thực hiện và cũng không biết đối tượng thụ hưởng là ai. Ông cho biết trước đó không cung cấp, chia sẻ tên truy cập dịch vụ hay mật khẩu VCB Digibank cho bất cứ ai.

Trong công văn trả lời ông Luận sau đó, phía Vietcombank cho biết việc đăng nhập tài khoản trên thiết bị mới và thực hiện 4 giao dịch chuyển tiền hoàn toàn hợp lệ. Nhà mạng Vinaphone cũng xác nhận ngân hàng gửi tổng cộng 8 tin nhắn xác thực và biến động số dư đến điện thoại ông Luận.

Cụ thể, lúc 11h, hệ thống ghi nhận yêu cầu kích hoạt ứng dụng Digibank từ tài khoản ông Luận trên thiết bị mới. Đối tượng thực hiện giao dịch đã nhập đúng tên truy cập, mật khẩu và mã xác thực (OTP lần 1) gửi đến điện thoại.
Hai phút sau, hệ thống ghi nhận thao tác kích hoạt tính năng SmartOTP trên ứng dụng và đối tượng cũng nhập chính xác mã xác thực (OTP lần 2). Tiếp đó, đối tượng thực hiện 2 yêu cầu chuyển khoản 89 triệu đồng tới người thụ hưởng Pham Lan Anh tại Ngân hàng Đông Nam Á (SEA Bank) và nhập đúng mã xác thực.
Sau khi thực hiện thành công hai giao dịch chuyển tiền bằng phương thức xác thực OTP qua tin nhắn điện thoại, tính năng xác thực bằng SmartOTP trên thiết bị mới có thể được sử dụng. Vì thế, lúc 11h07, đối tượng chuyển 317 triệu đồng tới tài khoản Vo Khoa Tuan tại Ngân hàng TMCP Hàng hải Việt Nam (MSB) thông qua hai giao dịch.
"Đây là trường hợp nghi ngờ bị giả mạo giao dịch qua ứng dụng VCB Digibank dẫn đến bị rút tiền trong tài khoản", đại diện Vietcombank trả lời VnExpress.

Quảng cáo


Sau khi nhận đơn khiếu nại, chi nhánh ngân hàng đã kiểm tra trên hệ thống và làm việc với các bên liên quan để xử lý yêu cầu tra soát giao dịch, cấp mật khẩu VCB Digibank và hướng dẫn khách hàng kích hoạt lại dịch vụ.
Vietcombank cũng hai lần gặp trực tiếp khách hàng để trả lời, cung cấp thông tin liên quan và sẽ tiếp tục cập nhật trong thời gian chờ kết quả tra soát giao dịch tại ngân hàng hưởng. Ngân hàng đã tư vấn và hướng dẫn ông Luận trình báo vụ việc với công an để xác minh và truy bắt tội phạm.
Đại diện Vietcombank khẳng định hệ thống của ngân hàng an toàn và đáp ứng quy định pháp luật liên quan đến cung ứng dịch vụ trực tuyến, đồng thời lưu ý khách hàng giữ bí mật các yếu tố định danh, thực hiện theo hướng dẫn của ngân hàng về giao dịch an toàn.
lộ mất khảu thì dành chịu thôi. nhưng lạ cái SM OTP phải đúng sô DT đăng ký mới chuyển được. sao ông này kêu không nhận đựơc tin nhắn SMS? hay lều viết sai
 

maximax903

Xe điện
Biển số
OF-719960
Ngày cấp bằng
12/3/20
Số km
3,104
Động cơ
128,894 Mã lực
Bác hiẻu nhầm rồi, nó tắt xác thực SMS chứ đâu tắt tính năng báo số dư về SMS, nên nó vẫn tính phí là đúng rồi. Bác muốn tắt luôn tính năng báo số dư thì VCB nó có cái phần Quản lý thông báo của app ấy, nhận số dư qua app luôn, đỡ chi phí cái sms kia.



Nhưng teller làm sao có đc bao nhiêu mã OTP gửi về số điện thoại của khách?



App VCB nó ko cho cài trên máy đã jailbreak bác ạ. Năm trước con Note của e đã vọc vạch tí chút, tải app VCB về ko caid được, nó báo luôn thiết bị đã jailbreak. E ức chế cãi nhau luôn với nhân viên bank, sau về nghĩ lại thấy nó làm thế cũng đúng 🤣 thành ra e phải cài app VCB lên con Vsmart 😅

Mà cái smart otp trên app của vcb nó là tích hợp chứ ko phải có 1 app OTP riêng đâu bác. Nên để dup được cái app VCB e nghĩ hơi khó
Mình đã từng hỏi 1 teller bạn ấy bảo nếu thích bọn em vẫn lấy được tiền của khách hàng. Nhưng lấy xong bị đi tù
 

Hanoi1919

Xe tăng
Biển số
OF-322467
Ngày cấp bằng
5/6/14
Số km
1,460
Động cơ
803,419 Mã lực
Tóm tắt lại diễn biến chuyển tiền theo giải trình từ phía VCB:
1. Cài đặt VCB Digital và VCB SmartOTP trên thiết bị mới.
2. Nhập tên truy cập, mật khẩu và nhập đúng mã OTP lần 1.
3. Kích hoạt SmartOTP, nhập đúng mã OTP lần 2.
4. Chuyển tiền lần 1, xác thực OTP, nhập đúng mã OTP lần 3.
5. Chuyển tiền lần 2, xác thực OTP, nhập đúng mã OTP lần 4.
6. Chuyển tiền lần 3, xác thực SmartOTP
7. Chuyển tiền lần 4, xác thực SmartOTP

Tên truy cập là số điện thoại nên không khó để biết, vấn đề còn lại là mật khẩu và mã OTP. Nếu đúng là ông Luận bị chuyển tiền mà không biết, mình đoán bừa là ông Luận bị một người biết mật khẩu VCB Digital tráo sim điện thoại trong thời gian ngắn thực hiện các bước từ bước 2 đến bước 5.
Nói chung là khả năng ông này cấp mã OTP hay đưa đt cho ai cầm là rất cao.
 

mel2810

Xe máy
Biển số
OF-459874
Ngày cấp bằng
8/10/16
Số km
52
Động cơ
204,127 Mã lực
Tuổi
33
Mình đã từng hỏi 1 teller bạn ấy bảo nếu thích bọn em vẫn lấy được tiền của khách hàng. Nhưng lấy xong bị đi tù
Lấy thì lấy được, ví dụ rút tiền tại quầy mà ko có giấy tờ kí, hoặc mạo danh chữ kí. Hoặc lừa kí khống. Nhưng đây là app được cài lên điện thoại của khách hàng, mỗi lần chuyển là có mã otp báo về máy. Trừ khi nhân viên bank cố tình đăng ký sai số điện thoại của ông này. Còn nếu số đt của ông này đã khớp và trên máy của ông này đã đc cài app thì nhân viên có xừ mà lấy được.
 

gld

Xe điện
Biển số
OF-422367
Ngày cấp bằng
14/5/16
Số km
4,508
Động cơ
365,023 Mã lực
Tuổi
54
Cài App chuyển khoản nhanh tiện, nhưng quá nguy hiểm
 

tranhien1979

Xe tăng
Biển số
OF-4478
Ngày cấp bằng
30/4/07
Số km
1,663
Động cơ
554,365 Mã lực
Em đổi đt, chuyển phần mềm ok, trừ smart otp. Nên sd app digital vcb theo số đt. Mà theo số đt em nghĩ là dễ lộ hơn user name cũ, gồm cả số lẫn chữ
 

tvu732

Xe tăng
Biển số
OF-708234
Ngày cấp bằng
21/11/19
Số km
1,001
Động cơ
103,300 Mã lực
App VCB nó ko cho cài trên máy đã jailbreak bác ạ. Năm trước con Note của e đã vọc vạch tí chút, tải app VCB về ko caid được, nó báo luôn thiết bị đã jailbreak. E ức chế cãi nhau luôn với nhân viên bank, sau về nghĩ lại thấy nó làm thế cũng đúng 🤣 thành ra e phải cài app VCB lên con Vsmart 😅
Nhân tiện không biết cụ nào đánh giá được mức độ bảo mật của SmartOTP/SMS trên điện thoại so với cục tạo token kiểu cũ không nhỉ? Các ngân hàng giờ hay quảng cáo tính năng tiết kiệm online để có lãi suất cao hơn. Nhưng em thấy tiết kiệm mà cũng thao tác trên app nữa cứ rủi ro làm sao.
 

thudo

Xe buýt
Biển số
OF-205219
Ngày cấp bằng
7/8/13
Số km
638
Động cơ
325,316 Mã lực
Các cụ bàn vđ tại sao nhiều quá, giờ tiền đã chuyển được tới đích, ng nhận có thông tin đầy đủ thì đường đi của tiền vẫn còn. Vậy nếu lừa đảo thật thì có căn cứ luật nào để lấy lại đc tiền k mới quan trọng. Ví dụ đề nghị phong toả, đâm đơn kiện,????
 

Azeglio

Xe điện
Biển số
OF-204340
Ngày cấp bằng
31/7/13
Số km
3,441
Động cơ
606,367 Mã lực
Có vài cách để hacker có thể lấy được OTP.
1. Nếu như điện thoại bị hacker chiếm quyền điều khiển thì nó muốn làm gì cũng được. Hacker có thể âm thầm jailbreak/root cái điện thoại chẳng hạn.
2. Nó duplicate được cái app tạo Smart OTP.
3. Nó cài malware/key-capture vàod diện thoại mình.

Ở VN, điện thoại dễ bị chiếm quyền điều khiển nhất bởi 2 tình huống:
1. Đem điện thoại cho thợ sửa.
2. Bị vợ/chồng/con cái/đồng nghiệp tấn công. Rất nhiều người không cài mật khẩu, hoặc chỉ cài những loại hời hợt như Pattern (vẽ màn hình), hoặc PIN 6 số, bị chiếm cái rụp.

Ngân hàng cung ứng dịch vụ online, bao giờ cũng đòi hỏi một loạt yêu cầu cao về bảo mật. Khách hàng phải chứng minh mình (hoặc ít nhất là hợp tác với ngân hàng) đã tuân thủ các yêu cầu bảo mật, thì mới có thể được bồi thường tiền, còn không thì là lỗi của khách hàng.
Cụ là dân có nghề đấy.

Smart phone do các vị lẩm cẩm nhiều tiền sử dụng thì havker chiếm quyền điều khiển dễ không.

Tuy nhiên, trong vụ này mà nói thì em không nghĩ bị hack vì với trình độ hack được như vậy thì chỉ có cơ quan chức năng hoặc hacker trình độ cao. Mà hai đối tượng này thì không làm mấy vụ lẻ tẻ đó. Khả năng cao là con cháu trong nhà.
 

luyenok

Xe điện
Biển số
OF-60057
Ngày cấp bằng
26/3/10
Số km
3,919
Động cơ
770,832 Mã lực
Quảng cáo nhạy phết :D
Screenshot_20201004-181424.png
 

Thắng_Sơn Tây

Xe cút kít
Biển số
OF-455694
Ngày cấp bằng
24/9/16
Số km
17,189
Động cơ
1,134,782 Mã lực
Nơi ở
Cấm chỉ
Các cụ bàn vđ tại sao nhiều quá, giờ tiền đã chuyển được tới đích, ng nhận có thông tin đầy đủ thì đường đi của tiền vẫn còn. Vậy nếu lừa đảo thật thì có căn cứ luật nào để lấy lại đc tiền k mới quan trọng. Ví dụ đề nghị phong toả, đâm đơn kiện,????
Tài khoản mở bằng giấy tờ giả thì khó kiện cụ ạ.
 

escape2012

Xe buýt
Biển số
OF-484612
Ngày cấp bằng
17/1/17
Số km
530
Động cơ
199,242 Mã lực
Tuổi
44
Vụ ấn vào link lạ cũng có nhưng trong trường hợp này, mã xác thực gửi qua SMS đến 4 lần thì chẳng lẽ bác này ấn link lạ 4 lần mà không thắc mắc gì? Em nghĩ vụ này thông tin chưa chính xác ở khâu nào đó, nhiều khả năng chính chủ không khai báo hết.
Có thể phone bị cài phần mềm trojan, có chức năng đọc trộm tin nhắn, đọc được OTP sms thì forward đi và xoá tin nhắn luôn.
 

levision

Xe hơi
Biển số
OF-406062
Ngày cấp bằng
22/2/16
Số km
142
Động cơ
228,001 Mã lực
Tuổi
40
E thấy vcb có vẻ kém công nghệ, app ngân hàng tech e dùng thì chỉ chuyển tiền đc ở đúng 1 điện thoại, đăng nhập sang đt khác có cài app thì ko chuyển đc.
 

congthuong

Xe điện
Biển số
OF-387066
Ngày cấp bằng
14/10/15
Số km
2,678
Động cơ
271,551 Mã lực
Nói chung DigiBank của thằng VCB chuyển sang sử dụng số điện thoại làm tài khoản đăng nhập là 1 thiết kế ngu dốt vô cùng.

Như vậy rất dễ lộ tài khoản / số điện thoại của khách hàng.
 

vietdang89

Xe tải
Biển số
OF-469158
Ngày cấp bằng
9/11/16
Số km
312
Động cơ
203,590 Mã lực
Tuổi
36
OTP đi qua một agency thứ 3 cung cấp dịch vụ gửi tin sms, hoặc thậm chí đi trực tiếp qua nhà mạng (telcos), chỉ cần chặn hệ thống API bằng biện pháp cơ bản thì tin nó cũng không về được đến máy
Nói về cái này thì từ phía bank -> agency -> telcos -> endusers nó còn nhiều cái để bóc tách lắm các cụ ạ. Em ngồi không cũng phải đếm dc 3-4 lí do có thể phát sinh ở khâu trên rồi
 
Thông tin thớt
Đang tải
Top