Khách nói không quẹt thẻ, không thanh toán, tài khoản vẫn bị trừ 1.000 euro

Vụ việc mới đây xảy ra đối với tài khoản của bà N.T.T.B, khách hàng mở thẻ tín dụng tại ngân hàng VPB. Bà B. khẳng định không thực hiện giao dịch, nhưng tài khoản thẻ vẫn bị trừ tiền bởi hai giao dịch được thực hiện tại nước ngoài, mỗi giao dịch 500 euro. 

Nữ khách hàng này cho biết phía ngân hàng từ chối bồi thường thiệt hại do “không có cơ sở hoàn tiền”.

“Một điểm tôi đặc biệt thắc mắc nhưng chưa được ngân hàng giải đáp thỏa đáng: Trong khi các giao dịch trên 10 triệu đồng ngân hàng đã yêu cầu xác nhận bằng sinh trắc học, nhưng việc liên kết để chi tiêu thẻ tín dụng có hạn mức lên tới hàng trăm triệu đồng lại chỉ cần OTP”, bà B. nói.

Tại công văn phản hồi kết quả tra soát gửi khách hàng, phía ngân hàng cho biết đây là giao dịch liên kết thẻ tín dụng với ví điện tử Google Wallet trên ứng dụng Google Play, cho phép chủ thẻ “chạm” và thanh toán tất cả các giao dịch trên thiết bị Android.

no the tin dung qua han 3 700d192bcb.jpg
Ảnh minh họa.

Để thực hiện giao dịch liên kết ví điện tử bắt buộc phải xác thực đầy đủ và chính xác các thông tin gồm: Họ tên chủ thẻ, 16 số đầy đủ in trên thẻ, ngày hết hiệu lực của thẻ, mã CVV và mật khẩu OTP xác thực giao dịch gửi về số điện thoại được khách hàng đăng ký làm số điện thoại giao dịch với ngân hàng.

Theo lịch sử tin nhắn gửi về điện thoại của khách hàng, hệ thống ghi nhận mã OTP đã được nhập để xác thực giao dịch liên kết ví điện tử Google Play thành công và ví điện tử phát sinh hai giao dịch thanh toán trực tuyến tại đơn vị chấp nhận thẻ với số tiền 500 Euro/giao dịch. Ngân hàng đã gửi thông báo SMS thông báo phát sinh giao dịch trên thẻ về số điện thoại của khách hàng.

Theo cơ chế vận hành của Google Pay, việc liên kết thẻ được thực hiện qua quy trình xác thực đa yếu tố, trong đó thiết bị thực hiện liên kết là thiết bị đã đăng nhập và được sử dụng để hoàn tất các bước xác thực theo yêu cầu của hệ thống.

Đồng thời, OTP là mã xác thực dùng một lần, được gửi tới số điện thoại đã đăng ký của chủ thẻ và có giá trị xác thực giao dịch tại thời điểm thực hiện. Việc xác thực bằng OTP là phù hợp với hướng dẫn của ngân hàng và tuân thủ các quy định hiện hành của Ngân hàng Nhà nước về xác thực giao dịch. Giao dịch xác thực thành công được hệ thống ghi nhận là căn cứ xác thực hợp lệ. 

Theo thông tin do khách hàng cung cấp, người này khẳng định không trực tiếp thực hiện các giao dịch nêu trên.

Để bảo đảm quyền lợi, ngân hàng đã đề nghị khách hàng chủ động trình báo sự việc tới cơ quan chức năng để phối hợp xác minh, làm rõ.

Chỉ lộ OTP, khách hàng vẫn có thể mất tiền

Các ngân hàng đưa ra cảnh báo khách hàng về thủ đoạn lừa đảo chiếm đoạt tiền thông qua việc lấy cắp thông tin thẻ và/hoặc OTP để liên kết trái phép với ví Apple/Google.

Các đối tượng lừa đảo có thể dàn dựng nhiều tình huống khác nhau, sử dụng các kênh như SMS, email, cuộc gọi, mạng xã hội, mã QR hoặc đường link giả mạo để dụ dỗ khách hàng:

Cung cấp hoặc nhập thông tin thẻ (số thẻ, ngày hết hạn, CVV/CVC);

Cung cấp hoặc nhập mã OTP xác thực.

Đáng chú ý, trong một số trường hợp, kẻ gian đã có sẵn thông tin thẻ bị đánh cắp từ trước và chỉ cần lừa khách hàng cung cấp mã OTP để hoàn tất việc liên kết thẻ vào ví Apple/Google do chúng kiểm soát, từ đó thực hiện giao dịch trái phép.

Ngân hàng cảnh báo, việc cung cấp OTP, kể cả khi không cung cấp thông tin thẻ, vẫn có thể dẫn đến mất tiền.

Việc cung cấp OTP xác thực liên kết ví điện tử là cho phép người khác sử dụng thẻ của khách hàng.

Để bảo vệ an toàn thông tin và tài sản, ngân hàng khuyến nghị khách hàng:

Chỉ thực hiện liên kết Apple Pay/Google Pay thông qua ứng dụng chính thức của ngân hàng, hoặc ứng dụng ví điện tử chính chủ trên thiết bị của khách hàng.

Luôn kiểm tra kỹ nội dung tin nhắn OTP và chỉ nhập OTP khi chính khách hàng là người trực tiếp thực hiện thao tác liên kết ví.

Tuyệt đối không cung cấp OTP nếu khách hàng không tự mình khởi tạo yêu cầu liên kết ví hoặc thao tác liên quan đến thẻ.

Thường xuyên kiểm tra danh sách thiết bị/ví đã liên kết thẻ trên ứng dụng ngân hàng và xóa ngay các thiết bị/ví không nhận diện được.

Theo số liệu từ công ty an ninh mạng Kaspersky, có đến 2,3 triệu thẻ ngân hàng đã bị lộ thông tin trên dark web do loại mã độc được gọi là Infostealer, được thiết kế đặc biệt để thu thập thông tin quan trọng từ các thiết bị đã bị lây nhiễm.

Ngoài ra, Infostealer còn đánh cắp thông tin xác thực, bao gồm thông tin đăng nhập và mật khẩu. Những thông tin này cùng với cookie, được bán và trao đổi trên dark web, mở đường cho các hành vi lừa đảo và tấn công tài chính.

Nếu nghi ngờ mình là nạn nhân của Infostealer nên giám sát chặt chẽ các tài khoản ngân hàng và thông báo từ ngân hàng, hủy và cấp lại thẻ, đổi mật khẩu, kích hoạt xác thực hai yếu tố, đặt hạn mức chi tiêu và cảnh giác với các cuộc tấn công lừa đảo.