Giả mạo nhân viên ngân hàng để lấy OTP

Mới đây, câu chuyện được một Facebooker chuyên bán hàng online chia sẻ đã khiến nhiều người sử dụng tài khoản ngân hàng lo lắng vì thủ đoạn của bọn lừa đảo cực kỳ tinh vi. Theo đó, chúng giả nhân viên ngân hàng, đọc chính xác 100% các giao dịch của nạn nhân. Cụ thể, tài khoản Facebook này cho biết, các số điện thoại lạ là 0888.501.xxx và 028.71098xxx gọi vào điện thoại của chị, tự xưng là nhân viên của Techcombank.

“Chúng đọc đúng 100% tất cả các giao dịch của tôi ngày hôm qua, đọc đúng luôn cả số thẻ. Thậm chí, chúng lựa chọn đúng giao dịch nhiều tiền nhất của mình, đọc cụ thể số tiền mình đã nhận lẫn lời nhắn gửi “ck mua tom 5,2kg” và bảo là hiện tại không xác định được người gửi số tiền này. Bên ngân hàng sẽ gửi một mã OTP cho tôi và yêu cầu tôi cung cấp mã OTP đó, nếu không tài khoản sẽ bị phong tỏa 72 giờ và số tiền 2.652.000 đồng kia sẽ chuyển hoàn vào tài khoản của người gửi cho mình”, nạn nhân kể lại. Đáng nói, theo nạn nhân, khi chị không chịu cung cấp mã OTP thì “đúng là tài khoản ngân hàng của mình đã bị treo mất 10 phút không giao dịch được”. Khách hàng này sau đó đã ra phòng giao dịch Techcombank hỏi và được biết đây là thủ đoạn của bọn lừa đảo.

{keywords}
Sự sơ hở và cả tin của khách hàng khiến các đối tượng lừa đảo dễ dàng chiếm được tiền trong tài khoản

Trong trường hợp trên, khách hàng là người may mắn vì đã tỉnh táo không cung cấp mã OTP cho kẻ gian. Trong nhiều trường hợp bị lừa đảo trước đó, một khi khách hàng đã cung cấp mã OTP cho đối tượng thì kẻ gian sẽ dễ dàng thực hiện các thao tác chuyển tiền từ tài khoản nạn nhân đến tài khoản của bọn chúng.

Trao đổi với phóng viên báo chí, đại diện Techcombank cho rằng đây chỉ là một trong số rất nhiều vụ việc lừa đảo chiếm đoạt tiền qua tài khoản điện tử diễn ra gần đây. Bất chấp việc các ngân hàng và cả cơ quan công an liên tục ra các khuyến cáo, cảnh báo, nhiều khách hàng vẫn cả tin về việc sẽ nhận được khoản tiền giao dịch đang bị “treo” hoặc do quá lo sợ khi bị dọa “công an, tòa án” đang điều tra, nên đã cung cấp mã OTP cho kẻ gian.

Trước đó, ngày 22/8, Công an TP.Quy Nhơn, tỉnh Bình Định tiếp nhận điều tra vụ việc anh N.Đ.T., chủ tài khoản 051000... mở tại ngân hàng TMCP Ngoại thương Việt Nam (Vietcombank) tố cáo bị một người xưng là giao dịch viên của ngân hàng Vietcombank lừa lấy mã OTP rồi chuyển hết tiền trong tài khoản. Theo anh T., trưa 19/8, anh có thực hiện giao dịch trên máy tính tại một quán cà phê, ở địa chỉ trang web ngân hàng trực tuyến VCB - iB@nking, chuyển cho vợ anh số tiền 70 triệu đồng.

Giao dịch vừa thành công thì lập tức có số điện thoại 0588900075 xưng là nhân viên Vietcombank, nói giao dịch vừa diễn ra bị lỗi yêu cầu anh T. nói vợ anh chuyển lại số tiền 70 triệu đồng. Anh T. thấy vô lý nên không chấp nhận thì nhân viên này nói anh T. giữ máy để xác nhận các mã tổng đài gửi về để xác nhận giao dịch này là đúng chủ, không bị lỗi. Quả nhiên sau đó có 3 mã xác nhận OTP gửi qua số điện thoại, nên anh T. không cảnh giác và đọc 3 mã xác nhận.

Anh T. cho biết người lừa lấy mã OTP của anh có khả năng đã biết được ID và password và nhập thực hiện chuyển khoản ở VCB-Mobile B@nking. Khi vào trang này để chuyển tiền thì hệ thống sẽ gửi 3 lần mã OTP qua điện thoại của chủ tài khoản để xác nhận. Khi anh đọc 3 mã OTP xác nhận thì đối tượng này đã chuyển hết tiền từ tài khoản của anh qua tài khoản khác.

Lỗ hổng khiến kẻ gian "đọc vanh vách" giao dịch của khách hàng

Theo giới am hiểu công nghệ, nhóm đối tượng sử dụng công nghệ cao còn có khả năng cài đặt số điện thoại “ảo” khiến cho điện thoại của nạn nhân hiện ra số điện thoại của ngành công an hoặc tòa án. Người dân tra lại số thì đúng với thực tế, nên nhiều người tin đây là cuộc gọi thực sự từ cơ quan chức năng. Một số tình huống khác, kẻ gian thậm chí còn gọi điện nhiều lần bằng số giả hotline gần giống với đường dây nóng của ngân hàng. Và khi khách hàng gọi tới, chúng cho chuyển hướng cuộc gọi đến tổng đài của ngân hàng, và theo dõi cuộc gọi để lấy hết dữ liệu thông tin. Trước vấn nạn lừa đảo đang có nguy cơ bùng phát, các ngân hàng đã liên tục đưa ra khuyến cáo tới khách hàng những thủ đoạn lừa đảo như: Lừa khách hàng tự chuyển tiền, thông báo trúng thưởng, yêu cầu hoàn tất thủ tục nhận thưởng bằng cách nạp tiền vào số điện thoại chỉ định và chuyển trước một khoản phí nhận thưởng vào tài khoản của bọn tội phạm...

Thậm chí, kẻ xấu còn dùng chiêu thức dùng email giả mạo gửi từ các tổ chức thẻ quốc tế: Visa, Mastercard, Amex, JCB... với nội dung thông báo giao dịch bị từ chối, trong khi khách hàng không hề thực hiện giao dịch qua thẻ, hoặc email thông báo thẻ của quý khách bị khóa và yêu cầu quý khách cung cấp lại thông tin cá nhân, thông tin thẻ để kích hoạt, mở lại thẻ hoặc yêu cầu cung cấp bổ sung thông tin cá nhân, thông tin tài khoản thẻ vào link sẵn có.

Việc giả danh người thân, bạn bè nhờ nhận tiền từ nước ngoài chuyển về bằng hình thức yêu cầu khách hàng đăng nhập vào đường dẫn trang web được cung cấp sẵn bằng tên đăng nhập (username) và mật khẩu tài khoản Internet banking của khách hàng, sau đó nhập tiếp mã OTP được ngân hàng gửi vào số điện thoại hoặc email của khách hàng.

Từ những vụ việc trên, thời gian gần đây, nhiều ngân hàng đã liên tục đưa ra cảnh báo khách hàng tuyệt đối không cung cấp tên đăng nhập, mật khẩu, mã OTP cho bất kỳ ai qua các cuộc gọi, tin nhắn điện thoại, mạng xã hội... kể cả người tự xưng là công an, cơ quan điều tra, nhân viên ngân hàng. Không nhập mật khẩu/mã OTP trên các trang mạng không rõ nguồn gốc, hoặc đường link lạ do người khác gửi đến, đặc biệt các trang web giả mạo các dịch vụ chuyển tiền. Không thực hiện giao dịch trên các thiết bị công cộng, tiềm ẩn rủi ro cao như máy tính tại tiệm internet hay điện thoại của người lạ.

Ông Võ Đỗ Thắng, Giám đốc công ty An ninh mạng Athena nhận định, đây là loại hình tội phạm mà đối tượng lừa đảo giả mạo danh tính, lừa đảo khách hàng, thực hiện các hành vi chiếm đoạt tiền trong tài khoản. Các bước thực hiện của chúng thường như sau: Bước thứ nhất là thu thập thông tin khách hàng bằng nhiều cách thức khác nhau kẻ gian thực hiện thu thập thông tin liên quan đến khách hàng, từ thông tin cá nhân (tên, số điện thoại, ngày tháng năm sinh, địa chỉ, số CMND, địa chỉ email....) tới các thông tin về thẻ tín dụng (số thẻ, số CVV, hạn sử dụng), thông tin về tài khoản (username, mật khẩu, số dư, lịch sử giao dịch...). Bước thứ hai, kẻ gian sẽ giả danh nhân viên ngân hàng, tổng đài ngân hàng, cơ quan chức năng, hoặc các tổ chức thực hiện các event, khuyến mãi... để liên hệ với khách hàng qua điện thoại hoặc tin nhắn. Với những thông tin đã có từ trước, kẻ gian dễ dàng chiếm lòng tin của khách hàng và tiếp tục khai thác các thông tin nhạy cảm như mã số xác thực OTP. Cuối cùng, khi đã có các thông tin bảo mật do khách hàng cung cấp, kẻ gian chiếm đoạt tài khoản và lập tức tẩu tán, rút hết tiền mà khách hàng có.

(Theo Đời sống & Pháp luật)