Khách hàng giao dịch tại Vietcombank. (Nguồn: Vietcombank)

Như chúng tôi đã đưa tin, chủ tài khoản của Vietcombank là chị Hoàng Thị Na Hương bỗng nhiên bị rút mất 500 triệu đồng từ tài khoản Vietcombank vào đêm mùng 3, rạng sáng ngày 4/8.

Xung quanh câu chuyện này, ông Đào Minh Tuấn, Phó Tổng Giám đốc Vietcombank cho biết, ngân hàng tiếp tục khuyến cáo khách hàng cần nâng cao cảnh giác bằng việc không truy cập vào các trang web lạ, không tải những phần mềm mã độc hại để đối tượng lừa đảo có thể lợi dụng.

- Ông có thể chia sẻ về phương thức mà khách hàng lừa đảo như thế nào?

Ông Đào Minh Tuấn: Phương thức này không phải là mới mà đã ngay từ đầu những năm 2000 khi thương mại điện tử bắt đầu trở nên phố biến, ngân hàng cũng như các cơ quan chức năng đã cảnh báo nhiều lần.

Cụ thể, đối tượng lừa đảo gửi email cho khách hàng kèm theo đường link và nội dung nhằm tạo sự quan tâm cho khách hàng như thông tin về chương trình khuyến mại của ngân hàng hoặc yêu cầu nâng cấp hệ thống của ngân hàng...

Khi khách hàng vô tình bấm vào đường link đó sẽ được dẫn giải vào một trang web giả giống trang web của Vietcombank với địa chỉ không phải của Vietcombank (www.Vietcombank.com.vn) và tiếp đó vô tình khách hàng để lộ nhiều thông tin, trong đó có cả những thông tin như mã và mật khẩu truy cập, số thẻ, ngày hết hạn, mã bảo mật thẻ CVC, CVV, CSC... Đối tượng lừa đảo sau khi có được những thông tin này có thể sử dụng thẻ của khách hàng để thanh toán mua hàng hóa dịch vụ hoặc lấy tiền qua mạng (chuyển tiền qua mạng).

Đối với trường hợp cụ thể này, đối tượng rất tinh vi trong việc thực hiện vào nửa đêm và rạng sáng. Có 7 giao dịch thực hiện thì có 4 giao dịch được chuyển khoản trực tiếp vào tài khoản, trên đó đã phát hành thẻ ghi nợ quốc tế và ngay sau khi thực hiện đối tượng đã sử dụng thẻ để rút tiền ở bên Malaysia. Còn lại 3 giao dịch đối tượng chuyển vào tài khoản của ngân hàng khác. Rất may vào ban đêm nên hệ thống liên ngân hàng chưa hoạt động, chính vì vậy ngân hàng đã kịp giữ lại và hoàn trả cho khách hàng.

- Vậy hướng xử lý trong thời gian sắp tới sẽ như thế nào thưa ông?

Ông Đào Minh Tuấn: Ngoài việc tiếp tục phối hợp cùng các cơ quan chức năng truy bắt nhóm tội phạm này, ngân hàng tiếp tục gửi các khuyến cáo cho khách hàng như không truy cập vào các trang web lạ; không tải những phần mềm mã độc hại để đối tượng lừa đảo có thể lợi dụng.

Về phía ngân hàng vẫn cam kết các thông tin của khách hàng được đảm bảo an toàn vả bảo mật.

Ông Đào Minh Tuấn, Phó Tổng Giám đốc Vietcombank (Nguồn: Vietcombank)

- Rất nhiều khách hàng thắc mắc là tại sao không có mã OTP vẫn giao dịch được bình thường, thưa ông?

Ông Đào Minh Tuấn: Tôi lấy ví dụ, khi bạn cho mở cửa cho người khác vào nhà thì cái khóa để mở két đáng ra bạn phải cất đi thì bạn lại cho người ta chìa để mở két.

Đối với trường hợp này, nhận OTP có hai dạng. Một là nhận theo phương thức truyền thống là qua SMS, ngoài ra ngân hàng cung cấp một dịch vụ nữa là Smart OTP cho phép tạo ra OTP trên thiết bị smartphone hoặc Ipad (eToken). Để kích hoạt e-tocken, khách hàng phải phải nhập usename, password, sau đó hệ thống sẽ gửi mã OTP qua SMS đến điện thoại của khách hàng và khách hàng tiếp tục cung cấp cho các đối tượng mã OTP này. Ngay sau khi có đầy đủ các thông tin này e-Tocken của khách hàng đã bị chiếm đoạt.

Thứ hai là khách hàng và đối tượng chat với nhau trên facebook và khách hàng cung cấp tự nguyện các thông tin riêng của khách hàng.

Trường hợp thứ 3 là máy điện thoại của khách hàng bị nhiễm loại mã độc (malwware) và đối tượng lừa đảo vẫn có thể nhận các tin nhắn, trong đó có mã OTP. Malware này có thể thậm chí chỉ tồn tại trong một khoảng thời gian nào đó sẽ tự động bị xóa khỏi máy và khi kiểm tra có thể sẽ không phát hiện thấy malwware này nữa.

Chính vì vậy ngân hàng luôn có khuyến cáo đến khách hàng dùng thiết bị smaphone không nên tải những phần mềm lạ có nguy cơ bị mã độc.

Tóm lại, như đã phân tích ở trên, để có được phương thức e-tocken để tạo và nhận OTP (SmartOTP) bắt buộc khách hàng phải sử dụng phương thức nhận OTP qua SMS. Khi khách hàng bị đối tượng lừa đảo truy cập vào đường dẫn lạ và cung cấp thông tin truy cập và tiếp theo đó khách hàng lại vô tình cung cấp mã OTP để kích hoạt e-tocken thì bản thân khách hàng đã giao hết chìa khóa cho đối tượng lừa đảo rồi.

- Quay trở lại câu chuyện của chị Hương, thời điểm này phía khách hàng và ngân hàng đã có những cuộc làm việc như thế nào để tìm ra được một giải pháp hợp lý hay chưa?

Ông Đào Minh Tuấn: Khi xảy ra vấn đề này đều là sự không mong muốn của cả hai bên, Vietcombank đã có báo cáo đến các cơ quan chức năng để điều tra xác minh làm rõ và thu hồi tài sản cho khách hàng. Số tiền còn lại sẽ cùng phối hợp với cơ quan công an để điều tra và truy bắt nhóm tội phạm này.

- Vậy khách hàng vẫn phải chờ các cơ quan chức năng điều tra làm rõ?

Ông Đào Minh Tuấn: Đúng là như vậy và chúng tôi cũng đề nghị khách hàng hợp tác.

- Liệu khách hàng đã thỏa mãn với giải thích của Vietcombank hay chưa?


Ông Đào Minh Tuấn: Theo tôi có thể khách hàng chưa hoàn toàn thỏa mãn với những giải thích của ngân hàng nhưng rất may là trong quá trình làm việc khách hàng cũng rất hợp tác với ngân hàng để cùng phối hợp với cơ quan chức năng điều tra tìm ra tội phạm. Trong trường hợp tìm ra được nguyên nhân cũng như thu hồi được tiền thì sẽ hoàn trả lại cho khách hàng.

- Qua vụ việc này Vietcombank có khuyến cáo gì đối với hàng triệu khách hàng đang sử dụng dịch vụ của Vietcombank hay không?

Ông Đào Minh Tuấn: Có lẽ không phải riêng Vietcombank, mà tất cả các trang mạng bán hàng qua mạng và đặc biệt là các ngân hàng đều khuyến cáo khách hàng phải tự bảo vệ các thông tin cá nhân của mình.

Khách hàng không nên cung cấp các thông tin bảo mật các dịch vụ ngân hàng điện tử, bao gồm: Mật khẩu truy cập, mật khẩu giao dịch một lần OTP, mật khẩu truy cập địa chỉ email cá nhân cho bất cứ ai và bằng bất cứ hình thức nào (nhắn tin, trả lời điện thoại, tiết lộ trực tiếp...); cung cấp các thông tin cá nhân trừ khi khách hàng chủ động gọi điện đến hotline 1900 54 54 13 để được trợ giúp và ngân hàng yêu cầu phối hợp cung cấp thông tin để định danh khách hàng.

Khách hàng cũng nên bảo vệ và thay đổi thường xuyên mật khẩu truy cập các dịch vụ ngân hàng điện tử/thẻ, email để bảo vệ toàn bộ giao dịch của chính mình (tối thiểu 03 tháng/lần) và cài đặt mật khẩu đảm bảo nguyên tắc an toàn.

Khách hàng lưu ý, Vietcombank không bao giờ yêu cầu khách hàng cung cấp thông tin bảo mật dịch vụ như: Mật khẩu truy cập, mã giao dịch OTP của bất kỳ dịch vụ ngân hàng điện tử nào, mã kích hoạt ứng dụng Vietcombank Smart OTP dưới bất kỳ hình thức nào.

Vietcombank cũng không bao giờ yêu cầu khách hàng chuyển tiền, nạp tiền vào số điện thoại/số tài khoản nào để nhận thưởng, nhận tiền hoàn trả..

Thông thường đây là những chiêu thức lừa đảo của các đối tượng không chỉ Việt Nam mà nhiều nước cũng đang gặp phải.

- Xin trân trọng cảm ơn ông!