Như ICTnews đã đưa, liên quan đến vụ tài khoản ngân hàng Vietcombank của khách hàng Hoàng Thị Na Hương bỗng dưng bị "bốc hơi" 500 triệu đồng vào đêm ngày 3, rạng sáng ngày 4/8/2016, trong ngày 12/8, phía Ngân hàng TMCP Ngoại thương Việt Nam (Vietcombank) đã đưa ra thông báo khẳng định nguyên nhân là do khách hàng này đã truy cập vào một trang web giả mạo có địa chỉ http://creatingaxxxx... vào ngày 28/7/2016 qua máy điện thoại cá nhân.

Từ việc truy cập này, thông tin và mật khẩu của khách hàng đã bị đánh cắp, sau đó tài khoản khách hàng đã bị lợi dụng vào đêm ngày 3 rạng sáng ngày 4/8/2016. Các đối tượng lừa đảo đã chuyển tiền từ tài khoản khách hàng tới nhiều tài khoản trung gian tại 3 ngân hàng khác nhau tại Việt Nam. Sau đó, đối tượng lừa đảo đã rút thành công 200 triệu đồng qua ATM ở Malaysia. Vietcombank đã xử lý các biện pháp khẩn cấp, kịp thời khoanh giữ lại được 300 triệu đồng.

Liên quan đến kết luận của Ngân hàng Vietcombank ngày 12/8, ông Võ Đỗ Thắng, Giám đốc Trung tâm Đào tạo và Quản trị an ninh mạng Athena nhận định: Việc Vietcombank truyền thông ra công chúng khẳng định nguyên nhân mất 500 triệu đồng từ tài khoản là do lỗi của khách hàng khi click vào trang web giả mạo nên bị lừa lấy đi mất password, mất số pin..., đồng thời Vietcombank lờ đi chức năng bảo vệ khách hàng bằng cách xác thực gửi tin nhắn SMS OTP vào di động là những thông tin gây ra sự hoang mang cho người dùng.

Ông Thắng nhấn mạnh, khách hàng của Vietcombank hoang mang với cách trả lời của ngân hàng này khi đẩy lỗi về phía người dùng, còn chức năng bảo vệ từ ngân hàng là xác thực SMS OTP vẫn không được nhắc đến.

Theo CEO Athena, cũng có nhiều thông tin đặt giả thiết điện thoại di động của khách hàng đã bị cài mã độc, bị hacker đọc tin nhắn SMS OTP từ ngân hàng sau đó xóa đi, thì nếu đây là sự thật cộng với việc Vietcombank tiếp cận được điện thoại, xem được tất cả các thông tin trong điện thoại, có thể dò xét tất cả các mã độc có trong máy nạn nhân, thì tại sao Vietcombank lại không công bố luôn là có mã độc trong máy nạn nhân ?

Ngoài ra, Vietcombank lờ đi việc bảo vệ bằng SMS OTP, thì người dùng có quyền đặt ra câu hỏi nghi vấn là phải chăng hệ thống bảo vệ SMS OTP của Vietcombank đã bị vô hiệu hóa nên Vietcombank không dám công bố thông tin?

Trao đổi với phóng viên ICTnews ngày 12/8, chị Hoàng Thị Na Hương cho biết sau 1 đêm ngủ dậy (từ đêm ngày 3, rạng sáng ngày 4/8/2016 – PV), chị thấy có tới 7 tin nhắn trừ tiền nhưng không hề có mã OTP nào gửi đến. Do vậy, chị Hương khẳng định không thể nói là ngân hàng Vietcombank bảo mật tốt được.

Cùng đó, đáng chú ý là trong thông báo phát đi ngày 12/8, phía Vietcombank cũng chưa có thông tin đề cập về việc vì sao nhiều khách hàng của Vietcombank bị dừng sử dụng dịch vụ Smart OTP và tài khoản ngân hàng Vietcombank đã đăng ký Smart OTP nhưng lại bị thiết lập về trạng thái chưa đăng ký.