Xác thực giao dịch (Kỳ I): Nạn nhân có vô can?

Theo thông tin ghi nhận từ vụ việc, tài khoản của nạn nhân được xác định có 4 giao dịch phát sinh, lần lượt chuyển toàn bộ số tiền bị mất nói trên đến các tài khoản thuộc 2 ngân hàng khác là MSB và SeaBank trong vòng 7 phút. Nạn nhân khẳng định, bản thân không thực hiện các giao dịch trên và cũng không biết người thụ hưởng là ai.

Nạn nhân cũng cho biết không hề nhận được tin nhắn SMS thông báo mã xác thực OTP, biến động số dư bằng SMS qua điện thoại như thông lệ. Phía ngân hàng cho biết đã ghi nhận 4 giao dịch chuyển khoản nói trên đều hợp lệ và đã có 8 tin nhắn được gửi đến số điện thoại của chủ tài khoản. Thêm một điểm đáng lưu ý nữa, theo Vietcombank, tài khoản trên ứng dụng VCB Digibank của nạn nhân đã được kích hoạt trên một thiết bị khác và thực hiện lệnh chuyển tiền trong khi chủ tài khoản khẳng định không cung cấp, chia sẻ tên truy cập dịch vụ và mật khẩu VCB Digibank cho bất cứ ai.

Có điện thoại trong tay, không tiết lộ tên và mật khẩu truy cập dịch vụ, không nhận được tin nhắn SMS thông báo mã xác thực OTP nào, thì kẻ gian không thể nào đột nhập được vào tài khoản để thực hiện các giao dịch đánh cắp tiền được. Tình huống này được nghiêng về giả thiết nạn nhân đã cung cấp các thông tin trên cho kẻ gian mà không hề biết là mình đã cung cấp.

Thật ra, chiêu trò lừa đảo đánh cắp tiền qua Internet Banking này đã có từ vài năm nay. Kịch bản thường như sau:

Bước 1: Kẻ gian giả mạo ngân hàng gửi tin nhắn giả đến điện thoại của nạn nhân với nội dung thông báo trúng thưởng, yêu cầu đăng nhập vào 1 đường link website giả để nhận thưởng/ tham gia quay thưởng.

Bước 2: Từ SMS lừa đảo, kẻ gian dẫn dụ nạn nhân truy cập vào 1 website giả mạo được thiết kế giống y chang Internet Banking của ngân hàng mà nạn nhân sử dụng dịch vụ. Khi đăng nhập bằng username và mật khẩu của Internet Banking vào website giả mạo này, nạn nhân đã để lộ thông tin đăng nhập cho kẻ gian.

Bước 3: Có username và mật khẩu, kẻ gian tìm cách lấy OTP (One Time Password - mật khẩu dùng 1 lần) của nạn nhân để thực hiện giao dịch chuyển tiền ra khỏi tài khoản của nạn nhân. Thông thường, kẻ gian sẽ gọi điện cho bạn và tự xưng là nhân viên ngân hàng, thông báo với bạn rằng bạn đang có một món tiền treo trên hệ thống chờ nhận và cần cung cấp mã OTP để ngân hàng hoàn tất thủ tục nhận tiền.

Nhìn chung, tùy theo tình huống mà kẻ gian có thể thay đổi "kịch bản" và các bước giả mạo, lừa đảo để đánh cắp thông tin của nạn nhân và thực hiện các giao dịch tài chính đánh cắp tiền của chủ tài khoản. Cách thức hay các bước đều khá xưa cũ nhưng vẫn được tội phạm ưa thích sử dụng. Mặc dù điều này đã được cảnh báo nhiều lần trên các phương tiện truyền thông thông tin, nhưng không ít khách hàng sẽ làm theo. Và đó là một trong những con đường để khách hàng trao hết dữ liệu cá nhân và các khoản tiền có trong ngân hàng cho kẻ lừa đảo, mà không hề hay biết cho đến khi phát hiện tiền ở tài khoản mình bốc hơi.

Khuyến nghị chung để phòng tránh các chiêu thức này là: Mọi khách hàng chỉ cần lưu ý là không được để lộ bất kỳ một thông tin cá nhân nào như tên đăng nhập, mật khẩu, mã OTP,… cho bất kì ai, kể cả người tự xưng là nhân viên ngân hàng, cơ quan chức năng hay người quen.

Khách hàng cũng cần chủ động bảo quản các thiết bị cá nhân như di động, máy vi tính,… có sử dụng dịch vụ internet banking. Ngoài ra, khách hàng cũng không nên đăng nhập tài khoản internet banking tại các thiết bị của người khác.

Đảm bảo được những yếu tố nói trên thì khả năng trở thành nạn nhân của tôi phạm lừa đảo tài chính qua giao dịch ở không gian mạng khó có thể xảy ra. Tuy nhiên, sẽ còn có yếu tố từ công nghệ ngân hàng và những vấn đề khác. 

(*) Bài viết thể hiện quan điểm riêng của tác giả. 

Kỳ II: SMS OTP có thực sự lạc hậu?