2 phút, tài khoản bị 'móc' 11 triệu đồng: VPBank nói gì?

Ngày 4/12, chị N.T.M.K nhận được tin nhắn từ tổng đài có tên Routee thông báo trúng 1 sổ tiết kiệm từ "SAN SO LOC VANG" tri ân. Truy cập vào trian.bank-vp.com để nhận giải. Chi tiết liên hệ số 02439959368.

2 phút, tài khoản bị 'móc' 11 triệu đồng

Biết đây là trò lừa nên chị M.K tắt điện thoại nhưng rồi lại tò mò bật máy tính cơ quan truy cập vào địa chỉ website trian.bank-vp.com (http://trian.bank-vp.com/) có giao diện màu sắc logo, phông chữ, nền… giống VPBank nên yên tâm đó là website của ngân hàng và gõ tên đăng nhập và mật khẩu vào hệ thống.

Hệ thống VPBank giả mạo

Chị M.K cho rằng, việc đăng nhập trên của chị vẫn chưa thể xảy ra rủi ro được bởi muốn lừa đảo rút tiền từ tài khoản của chị, đối tượng lừa đảo phải có được OTP. Tuy nhiên, ngay sau đó, một nam thanh niên điện thoại cho chị M.K gọi đích danh tên cúng cơm, đọc cả tên cũ và tên mới chuyển đổi, đọc luôn 4 số đầu và 4 số cuối của cái thẻ tín dụng của chị M.K. Người này thông báo chị M.K trúng sổ tiết kiệm trị giá 30 triệu đồng nên yêu cầu chị đọc đầy đủ số tài khoản để hoàn tất phần còn lại trao giải.

Thấy nghi ngờ lừa đảo, chị M.K cúp máy và điện đến ngân hàng để xác minh thông tin, nhân viên ngân hàng cho hay ngân hàng vẫn có chương trình khuyến mãi nên chị cứ tìm hiểu.

Trong lúc đang nói chuyện, điện thoại chị M.K nhận được tin nhắn báo chị vay ngân hàng 360 triệu đồng, 5 giây sau nhận thêm tin nhắn khác vay 90 triệu đồng. 2 giây sau, tài khoản chị M.K bị trừ hơn 3,5 triệu đồng, rồi cứ 2 - 5 giây lại có một giao dịch trừ tiền 500.000 đồng. Hiện phía VPBank phong tỏa 2 tài khoản vay 450 triệu đồng.

Chị M.K ngay lập tức gọi cho ngân hàng hỗ trợ khóa tất cả các giao dịch trên internet. Chị M.K thông tin, "Khi các bạn ấy khóa xong và xác định tài khoản đã an toàn, em mới bắt đầu ngồi đếm lại trong vòng chưa đầy 2 phút, kẻ gian đã thực hiện được 16 giao dịch (1 giao dịch 3,5 triệu đồng), 15 giao dịch còn lại mỗi giao dịch 500.000 đồng. Dù xác định ngay đây là lừa đảo, thế mà, chỉ trong vòng 2 phút thôi, em đã bị móc túi 11 triệu đồng".

VPBank phản hồi

Liên quan đến sự việc của chị N.T.M.K, ngân hàng VPBank cũng vừa chính thức phát đi thông cáo báo chí nhằm cung cấp thông tin, đồng thời đưa ra cảnh báo cho người khách hàng của VPBank.

Theo thông tin từ VPBank, nhà băng này khẳng định đã tiếp nhận vụ việc của khách hàng N.T.M.K và đã triển khai ngay lập tức các biện pháp bảo vệ cho tài sản của khách hàng tại ngân hàng. “Chúng tôi rất lấy làm tiếc với những thiệt hại mà khách hàng gặp phải và đang nỗ lực hết sức để bảo vệ cho quyền lợi chính đáng của khách hàng.

Chúng tôi cũng đã báo cáo vụ việc tới các cơ quan chức năng để được điều tra làm rõ, và sẽ phối hợp cung cấp thông tin kịp thời để vụ việc sớm có kết luận, đảm bảo quyền lợi của khách hàng”, VPBank cho hay.

VPBank cho biết, sau khi kiểm tra kỹ thông tin ngân hàng này nhận thấy, tin nhắn và đường link mà khách hàng nhận được đều là giả mạo VPBank. Phía ngân hàng đã thử truy cập và thực hiện các nội dung/ hướng dẫn tại đường Link thì thấy rằng: Bước 1 website sẽ yêu cầu đăng nhập bằng tên tài khoản (user) và mật khẩu (pass) ngân hàng điện tử, bước thứ hai là yêu cầu cung cấp email và mật khẩu email đã đăng ký với ngân hàng, bước thứ ba là nhập mã OTP để xác nhận.

Trong trường hợp người dùng đã thực hiện đủ cả 3 bước trên thì kẻ gian đã lấy được: (1) user và pass tài khoản ngân hàng điện tử, (2) user và pass email cá nhân, (3) mã OTP, trong trường hợp này là mã để xác nhận việc đổi từ phương thức nhận OTP bằng SMS sang nhận bằng email (vui lòng xem chi tiết màn hình các bước giao dịch như dưới đây)

Qua tra soát, hệ thống VPBank ghi nhận các giao dịch sau từ tài khoản của chị N.T.M.K:

16:23p: Tài khoản đăng nhập trên hệ thống VPBank Online và khởi tạo yêu cầu đổi phương thức nhận OTP từ SMS qua email

16:24p: hệ thống gửi mã OTP vào số điện thoại 0988xxxxxx xác nhận việc đổi phương thức nhận OTP từ SMS sang email.

16:24p:23s: tài khoản đã thực hiện đổi thành công sang phương thức nhận OTP bằng email. Địa chỉ email đăng ký nhận OTP là địa chỉ đã được khách hàng N.T.M.K đăng ký trên hệ thống VPBank từ năm 2016.

Từ 16h:26-16h:49p: phát sinh 01 giao dịch chuyển tiền đi trong TKTT 17*****759 và 15 GD mua mã thẻ trên thẻ TD 114-P-******80 / 524394****4760, đồng thời khởi tạo 2 khoản vay cầm cố sổ tiết kiệm với giá trị lần lượt là 360 triệu và 90 triệu đồng. Đây là hai khoản vay cầm cố sổ tiết kiệm, khoản vay sẽ được phê duyệt ngay sau khi người dùng tạo yêu cầu, với hạn mức tối đa bằng 75% giá trị sổ tiết kiệm hiện có. Tuy nhiên, việc giải ngân khoản vay chỉ được thực hiện khi người khởi tạo khoản vay mang sổ tiết kiệm là tài sản cầm cố tới nhập kho của ngân hàng trong vòng 12h, sau 12h khoản vay sẽ bị hủy trên hệ thống nếu tài sản cầm cố chưa nhập kho hoặc người khởi tạo yêu cầu hủy. Ngay sau khi tiếp nhận yêu cầu tra soát của khách hàng N.T.M.K, VPBank đã hủy hai khoản vay nói trên và gửi thông báo SMS tới khách hàng.

Các thông báo đã gửi ra từ hệ thống VPBank trong thời gian từ 16:24p-16:49h gồm:

1 SMS tới số điện thoại 0988xxxxxx lúc 16:24p với nội dung “QK dang thuc hien thay doi phuong thuc OTP tren VPBank Online.KHONG GUI OTP cho bat ky ai,BAO GOM NGAN HANG de tranh rui ro MAT TIEN.MA OTP 679948 .LH 1900545415”.

Các email gửi tới địa chỉ khxxxxx@xxxxx trong khoảng thời gian từ 16:26p – 16:49p với các nội dung: 18 email chứa mã OTP nhằm xác thực cho 01 GD chuyển tiền trên TK 17*****759; 15 GD mua mã thẻ trên thẻ TD 114-P-******80 / 524394****4760 và 02 GD khởi tạo khoản vay cầm cố sổ tiết kiệm như đã nêu.

Hiện nay, VPBank vẫn đang tích cực phối hợp với các cơ quan chức năng và với khách hàng để thực hiện các bước xử lý tiếp theo nhằm làm rõ vụ việc.

Như vậy qua các thông tin do VPBank cung cấp, người viết có thể hiểu rằng, trường hợp của chị M.K sau khi đăng nhập các thông tin trên trang web giả mạo, đối tượng đã có được user và pass tài khoản ngân hàng điện tử, user và pass email cá nhân. Đồng thời, bằng cách nào đó đối tượng lừa đảo đã lấy được OTP từ tin nhắn điện thoại do VPBank gửi tới cho chị K (không loại trừ khả năng chị M.K đã vô tình cung cấp mật khẩu OTP cho đối tượng lừa đảo) để từ đó đối tượng này đã đổi thành công từ phương thức nhận OTP bằng SMS sang nhận bằng email. Sau đó đối tượng lừa đảo đã thực hiện các giao dịch chuyển và rút tiền bằng mã OTP mà ngân hàng cung cấp qua email cho khách hàng.

VPBank tiếp tục cảnh báo tới khách hàng

Qua sự việc của chị N.T.M.K, VPBank tiếp tục cảnh báo tới các khách hàng đang sử dụng dịch vụ của ngân hàng về những điểm cần lưu ý để bảo vệ an toàn cho tài sản của mình tại ngân hàng.

Theo đó, phương thức lừa đảo mà kẻ gian thường sử dụng đó là: Gửi tin nhắn dẫn dụ truy cập vào website giả mạo ngân hàng: kẻ gian gửi tin nhắn thông báo trúng thưởng, lấy tên chương trình trùng với các chương trình của ngân hàng kèm theo một đường link yêu cầu khách hàng truy cập để “lĩnh thưởng”. Thủ đoạn này tinh vi ở chỗ, các website được kẻ gian gửi tới cho khách hàng có giao diện tương tự với các website chính thức của các ngân hàng, khiến người dùng rất khó phân biệt. Ngay sau khi người dùng đăng nhập bằng tên tài khoản và mật khẩu, kẻ gian đã có được quyền quản lý tài khoản và có thể thực hiện các hành vi chiếm đoạt tiền như chuyển khoản, mở thấu chi, topup thẻ tín dụng, đăng ký khoản vay online…

Để bảo vệ cho tài sản của cá nhân mình, VPBank khuyến cáo người dùng lưu ý tuyệt đối không truy cập đường link trong các tin nhắn gửi tới từ các số điện thoại không hiển thị thương hiệu VPBank. Những đường link này có thể chứa virus hoặc là trang giả mạo VPBank. Nếu đã lỡ bấm vào link thì tuyệt đối không thực hiện đăng nhập tài khoản ngân hàng trên các link này, chỉ đăng nhập tài khoản ngân hàng bằng cách tự nhập tên website ngân hàng hoặc vào các trang mà mình đã tự lưu trước đó.

Thứ hai, Website chính thức của các tổ chức, doanh nghiệp sẽ được đăng ký với các cơ quan có thẩm quyền và được đánh dấu an toàn bằng hình ổ khóa bên cạnh tên miền website.

Ngoài ra, khách hàng cần đọc kỹ và ghi nhớ nội dung các email, tin nhắn, tin trên website, fanpage… cảnh báo của các tổ chức, doanh nghiệp mà mình sử dụng dịch vụ. Trong thời gian qua, VPBank và các ngân hàng thường xuyên gửi các cảnh báo tới khách hàng sử dụng dịch vụ thông qua email và tin nhắn, để giúp khách hàng nhận diện phương thức lừa đảo và có biện pháp bảo vệ cho tài khoản của mình.

Cũng phải nhận mạnh rằng, VPBank cũng không bao giờ yêu cầu cung cấp mã OTP, mật khẩu tài khoản hay tên tài khoản ngân hàng. Hãy báo ngay với VPBank khi có người yêu cầu bạn cung cấp những thông tin này.