Bảo mật OTP trong mọi trường hợp

Cách đây vài tháng, một ngân hàng tại TPHCM - gọi là Ngân hàng A. - liên tục nhận được khiếu nại của khách hàng về việc mất tiền từ tài khoản mở ở ngân hàng này. Đến tháng 8-2018, công an đã bắt quả tang đối tượng Lê Thanh Hiền (SN 1996, ngụ quận Gò Vấp) đang dùng thẻ ATM rút tiền từ tài khoản một khách hàng của Ngân hàng A. để chiếm đoạt. Từ đây, phương thức phạm tội của Hiền và đồng bọn được làm rõ. 
Chủ tài khoản cần bảo mật mã OTP khi giao dịch trực tuyến (ảnh mang tính chất minh họa)
Chủ tài khoản cần bảo mật mã OTP khi giao dịch trực tuyến (ảnh mang tính chất minh họa)

Mất tiền vì mắc bẫy lừa

Kết quả điều tra vụ án “Sử dụng mạng máy tính, mạng viễn thông, phương tiện điện tử thực hiện hành vi chiếm đoạt tài sản” cho thấy Công ty TNHH Thương mại dịch vụ Smart Link, trụ sở tại quận Bình Thạnh, do Lê Tiến Danh (SN 1992, ngụ quận Bình Thạnh) làm giám đốc là đại lý cấp 2 trong việc tìm kiếm khách hàng vay tiêu dùng tín chấp cho công ty tài chính của Ngân hàng A. Từ đó Danh phát hiện sự sơ hở trong quy trình cho vay tiêu dùng tín chấp của công ty tài chính này cũng như sự thiếu hiểu biết của khách hàng đối với các mã xác thực giao dịch OTP nên tổ chức băng nhóm, dùng thủ đoạn gian dối để rút tiền trong tài khoản của người bị hại.

Tham gia vào băng nhóm, Hiền được phân công sử dụng các sim điện thoại rác mạo danh nhân viên ngân hàng với tên “Nam” để điện thoại tư vấn khách hàng vay vốn tiêu dùng. Trường hợp khách hàng đồng ý, “Nam” đề nghị khách hàng mở tài khoản tại Ngân hàng A. để nhận tiền giải ngân. Khi hồ sơ vay được duyệt và giải ngân, nhóm đối tượng thông báo rằng khách hàng cầm CMND đến ngân hàng lãnh tiền mặt sau 24 tiếng đồng hồ, nhưng trước hết khách hàng phải cung cấp mã xác thực giao dịch OTP (viết tắt của One Time Password - mật khẩu sử dụng một lần, được ngân hàng gửi vào điện thoại đi động của khách hàng qua tin nhắn mỗi khi khách hàng thanh toán online hoặc chuyển khoản) mà Ngân hàng A. vừa gửi để “Nam” giúp hoàn tất xác thực giao dịch chuyển tiền qua Internet Banking (chuyển tiền trực tuyến).

Có mã OTP, Hiền cùng đồng bọn trong băng nhóm truy cập bất hợp pháp vào tài khoản của các khách hàng vay vốn, thực hiện việc chuyển tiền từ tài khoản khách hàng vào nhiều tài khoản khác rồi rút ra. Bằng thủ đoạn này, băng nhóm của Danh chiếm đoạt của 64 người tại TPHCM và các tỉnh, thành phố khác trong cả nước với tổng số tiền hơn 2 tỷ đồng. 

Tiền bay theo sự bất cẩn

Đây chỉ là một trong những vụ việc khách hàng bị mất tiền trong tài khoản do mã OTP bị đánh cắp. Bà H.T.N.H. trở thành người bị hại của băng nhóm lừa đảo khi bị mất 200 triệu đồng sau các giao dịch chuyển tiền từ tài khoản của bà tại một ngân hàng sang một số tài khoản trung gian tại các ngân hàng khác.

Trước đó, do bà truy cập vào trang web giả mạo một ngân hàng nên vô tình cung cấp tên tài khoản, mật khẩu Internet Banking, mã OTP để kẻ gian kích hoạt Smart OTP (phần mềm cho phép người dùng chủ động lấy mã xác thực OTP cho các giao dịch) trên một thiết bị di động khác. Từ đó, kẻ gian thực hiện hành vi rút tiền từ tài khoản của bà. Còn theo phản ánh của anh T.Q.V. (ngụ quận 3 TPHCM), vào tháng 8-2018, anh nhận được điện thoại của một người, tự xưng là nhân viên Ngân hàng B. cho biết anh đủ điều kiện để vay tiền từ ngân hàng. Làm theo các yêu cầu, anh V. bị kẻ gian chiếm đoạt 5 triệu đồng.

Những vụ việc trên xuất phát từ việc một số người dân chưa hiểu được tầm quan trọng của mã đăng nhập, mã OTP. Do cả tin, người bị hại không cần biết người hỏi mã OTP có đúng là nhân viên của ngân hàng hay không đã đồng ý cung cấp. Vì vậy, Công an TPHCM đề nghị người dân tăng cường cảnh giác trước loại tội phạm này: không tiết lộ mã OTP, mã kích hoạt dịch vụ cho bất cứ ai qua điện thoại, e-mail, mạng xã hội, ứng dụng; không truy cập vào các đường dẫn trang web lạ cũng như cẩn thận với những e-mail, tin nhắn, cuộc gọi yêu cầu cung cấp thông tin cá nhân, thông tin truy cập dịch vụ...

Cơ quan Cảnh sát Điều tra - Công an TPHCM cho biết thời gian qua cũng phát hiện một hình thức lừa đảo mới. Các đối tượng phạm tội sử dụng dữ liệu của những khách hàng từng vay tiền tại ngân hàng, sau đó làm giả hồ sơ xin vay tiêu dùng gửi đến ngân hàng. Khi nhân viên ngân hàng gọi đến số điện thoại ghi trong hồ sơ, đối tượng lừa đảo đóng giả khách hàng vay trả lời các câu hỏi thẩm định. Vì lỏng lẻo, thiếu chặt chẽ trong quy trình thẩm định hồ sơ vay (không trực tiếp làm việc với khách hàng, không thẩm định thực tế mà chỉ qua điện thoại) nên ngân hàng không xác định được người vay tiền có thật sự là khách hàng hay không, dẫn đến kẽ hở, tạo điều kiện đối tượng lừa đảo chiếm đoạt tiền.

Tin cùng chuyên mục