Tội phạm lừa đảo tiền trong tài khoản gia tăng, mã OTP liệu đã an toàn?

Thủ đoạn chính mà kẻ lừa đảo thường áp dụng là gửi tới cho nạn nhân (thông qua tin nhắn SMS, email, chat qua facebook messenger …) với nội dung thông báo trúng thưởng hoặc phân chia tài sản kèm theo yêu cầu click vào các đường link, trang web do kẻ lừa đảo cung cấp để có cơ sở nhận thưởng.

Nếu nạn nhân nhẹ dạ truy cập vào các đường link này (thường là website giả mạo có tên miền gần giống với website của ngân hàng) và đăng nhập internet banking thì toàn bộ thông tin cá nhân, thông tin tài khoản ngân hàng sẽ bị đánh cắp và gửi cho hacker để thực hiện các hành vi phạm pháp như: chiếm đoạt tiền trong tài khoản thanh toán của khách hàng, thanh toán hàng hóa hoặc các dịch vụ bất hợp pháp khác…

Những cạm bẫy lừa đảo bủa vây người dùng

Mới đây, một khách hàng của Ngân hàng Việt Nam Thịnh vượng (VPBank) đã rơi vào cái "bẫy" này và chỉ sau ít phút số tiền thiệt hại đã lên tới cả trăm triệu đồng.

Cụ thể, vào chiều ngày 17/9, chị N (Láng Thượng, quận Đống Đa, Hà Nội) nhận được cuộc gọi tự xưng là nhân viên ngân hàng VPBank chúc mừng và có một phần quà từ ngân hàng gửi tới chị nhân ngày sinh nhật.

Để nhận quà, theo người tự xưng là nhân viên ngân hàng này hướng dẫn thì chị N cần truy cập vào đường một đường link và đăng nhập internet banking.

Mặc dù đã từng nghe về các chiêu trò lừa đảo chiếm đoạt tài khoản, nhưng do người gọi đọc đúng các thông tin cá nhân cũng như thông tin về tài khoản ngân hàng của mình và website cần truy cập cũng có tên và biểu tượng giống của VPBank nên chị N đã không mảy may do dự và làm theo.

Ngay sau đó, chị N liên tiếp nhận được tin nhắn báo số tiền trong tài khoản VPBank của chị bị rút. Nghi có vấn đề rủi ro, chị tức tốc chạy ra chi nhánh ngân hàng để tìm hiểu rõ sự việc. Tại đây, nhân viên ngân hàng cho biết, số tiền 71 triệu đồng trong tài khoản của chị đã “bốc hơi”. Không dừng ở đó, tài khoản của chị còn bị thấu chi thêm 32 triệu đồng.

Điều đáng nói là cùng lúc các SMS báo tiền trong tài khoản bị trừ thì điện thoại của chị N cũng liên tục nhận được các cuộc gọi mời mua thẻ gym, nhà đất, thuê gia sư... khiến chị không thể thao tác gọi tới hotline ngân hàng hay truy cập internet banking để lập tức khóa thẻ.

Tương tự như chị N, chủ tài khoản facebook L.T tuần qua đã chia sẻ trên trang cá nhân về việc chị nhận được các cuộc gọi từ đầu số lạ, tự xưng là nhân viên của Ngân hàng TMCP Kỹ thương Việt Nam (Techcombank) và yêu cầu cung cấp OTP. Điều đáng nói là kẻ gian đã đọc đúng tất cả các giao dịch của chị một ngày trước đó cũng như số thẻ ngân hàng của chị tại Techcombank.

Đặc biệt, chọn đúng giao dịch nhiều tiền nhất trong ngày (2.652.000 đồng), đọc đúng số tiền chị L.T đã nhận cùng lời nhắn gửi trong giao dịch; đồng thời cho biết hiện không xác định được người gửi số tiền này. Theo đó, sẽ có một mã OTP gửi cho chị L.T và chị cần cung cấp mã này cho người gọi nếu không tài khoản sẽ bị phong tỏa 72h và số tiền hơn 2,6 triệu kia sẽ chuyển hoàn vào tài khoản của người gửi.

"‭‬Mình không chịu cung cấp mã OTP thì đúng là tài khoản ngân hàng của mình bị treo mất 10 phút không giao dịch được" - nữ khách hàng kể lại sự việc trên mạng xã hội. Rất may là nữ khách hàng này đã không chịu cung cấp mã OTP nên kẻ lừa đảo không thể chiếm đoạt được tiền trong tài khoản.

Có cảnh báo nhưng nạn nhân vẫn còn sơ hở

Trong các vụ lừa đảo, chiếm đoạt tiền trong tài khoản, nạn nhân hầu hết bị sập bẫy bởi kẻ gian đã chiếm được lòng tin bằng cách "đọc vanh vách" những thông tin cá nhân.

Theo Techcombank, khách hàng có thể bị lộ thông tin giao dịch ở nhiều nguồn khác nhau và một trong số đó có thể là sao kê ngân hàng ở một cửa hàng nào đó mà khách hàng đã giao dịch với đầy đủ thông tin như: số tài khoản, họ tên, số tiền và nội dung giao dịch.

Trong trường hợp của chị L.T kể trên cũng như nhiều người bán hàng trên mạng khác là thường xuyên đăng tải các đơn bán hàng và giao dịch chuyển khoản của mình lên facebook để minh chứng cho việc đang buôn may, bán đắt. Song chính những thông tin đó đã bị kẻ gian tập hợp để biến thành mồi câu để chiếm đoạt tài khoản.

Đây chỉ là một vài trong số rất nhiều vụ việc lừa đảo chiếm đoạt tiền qua tài khoản điện tử diễn ra thời gian gần đây. Trên thực tế, ngân hàng và cơ quan công an, tòa án không bao giờ yêu cầu người dân cung cấp OTP và mật khẩu internet banking.

Do đó, khách hàng cần cẩn trọng với các email, tin nhắn hay cuộc gọi trên mạng xã hội với nội dung chuyển tiền, trúng thưởng, chia tài sản,…; cảnh giác với tất cả các yêu cầu liên quan đến việc click vào các website yêu cầu cung cấp thông tin cá nhân, mã đăng nhập internet banking, số thẻ thanh toán, thẻ tín dụng, thẻ ghi nợ, mã CVV...

Tỉnh táo là việc khách hàng cần làm. Tuy nhiên, vấn đề trách nhiệm của ngân hàng ra sao qua các vụ việc mất tiền đã xảy ra? Liệu có lỗ hổng nào trong các khâu giám sát và bảo mật của ngân hàng hay không?

Trao đổi với TS Nguyễn Trí Hiếu, một chuyên gia có nhiều năm làm việc trong lĩnh vực ngân hàng trong và ngoài nước, ông cho biết: "Ở nước ngoài, nếu có phát sinh giao dịch bất thường (gửi số tiền lớn tới tài khoản lạ hay nhiều giao dịch liên tiếp...) thì ngân hàng có thể "treo" giao dịch đó trong một thời gian ngắn để xác minh rằng chủ tài khoản chắc chắn muốn thực hiện giao dịch. Điều này nghe qua có thể hơi phiền phức, nhưng lại rất cần để tránh rủi ro mất tiền cho khách hàng".

Theo Tạp chí Điện tử