Chờ Vietcombank lên tiếng khách hàng nhắc nhau “tự bảo vệ mình trước”
Theo thông báo của Vietcombank, chị Hoàng Thị Na Hương, nạn nhân trong vụ việc đã click vào đường link giả mạo, dẫn đến việc bị hacker đánh cắp thông tin và lợi dụng để chuyển khoản 500 triệu khỏi tài khoản của chị, đồng thời rút thành công 200 triệu trong tổng số tiền này tại box ATM.
Tuy nhiên, phía Vietcombank đã chần chừ trong việc đưa ra giải thích chính thức về việc, tại sao máy của chị Hương không nhận được mã OTP (mật khẩu dùng một lần) qua SMS mà vẫn bị trừ tiền trong tài khoản, điều này dẫn đến tâm lý hoang mang của nhiều khách hàng đang là chủ tài khoản Vietcombank.
Theo thông tin từ chị Hương, chiếc điện thoại mà chị sử dụng là iPhone 6 64GB, được đánh giá là bảo mật khá cao so với các thiết bị di động thông minh khác.
Khách hàng làm thủ tục tại một phòng giao dịch của Vietcombank. ảnh: Vietcombank |
Ông Đặng Nguyên Khôi, một chuyên gia bảo mật cho rằng: “Trong vụ việc của Vietcombank, câu hỏi được đặt ra là lỗi ở đâu? một đường link lạ có thể là một script mã độc nhưng nó đòi hỏi người dùng phải tải về và cài đặt, tuy nhiên khả năng một thiết bị iOS bị nhiễm malware là rất thấp”.
Có vài trường hợp có thể xảy ra đối với trường hợp chị Na Hương, trong đó có việc các hacker khai thác lỗi giao thức gọi là SS7 nằm từ phía nhà mạng, cho phép các hacker nhận được OTP của nạn nhân thông qua tin nhắn. Ngoài ra, nạn nhân có thể bị đánh cắp thông tin bằng việc truy cập vào các mạng Wi-Fi công cộng và sử dụng thông tin này tìm cách tiếp tục thực hiện các lệnh chuyển tiền.
Đây được gọi là hình thức Man in the Middle (MITM), các hacker sẽ “nằm vùng” trên đường kết nối với vai trò là máy trung gian trong việc trao đổi thông tin giữa hai máy tính, hai thiết bị hay giữa một máy tính và server nhằm nghe trộm, thông dịch dữ liệu nhạy cảm, đánh cắp thông tin hoặc thay đổi luồng thông tin.
Chuyên gia bảo mật Nguyễn Hồng Phúc đưa ra tới 5 kịch bản có thể tấn công vào tài khoản ngân hàng của chị Na Hương như cài Trojan (hay RAT) trên thiết bị, tấn công qua lỗi giao thức SS7 của hệ thống SMS, chép SIM và làm thành SIM giả mạo, hack thẳng vào giao thức GSM… theo chuyên gia này, người dùng có thể áp dụng một số biện pháp nhằm gia tăng mức độ bảo mật như không dùng Smart OTP mà dùng thiết bị phần cứng sinh OTP chuyên dụng, ngừng sử dụng việc nhận OTP qua SMS, không Jailbreak hay Rot các thiết bị, cập nhật hệ điều hành mới cho các thiết bị và nên đặt hạn mức thanh toán trực tuyến ở mức phù hợp.
Cho dù các giả thiết và khuyến cáo đều đã được đưa ra, nhưng nhiều khách hàng của Vietcombank vẫn chưa cảm thấy an toàn.
Chị Thu Giang (Hà Nội) nói, sau khi đọc các thông tin về Vietcombank chị cảm thấy cần phải tạm rút tiền trong tài khoản của ngân hàng này, chị nói: “chẳng có gì bằng tiền của mình, mình giữ, cứ để đấy trong tài khoản thì bị trộm rút một phát thế là xong, bây giờ người ta còn chưa biết thế nào…”.
Nhiều người dùng Facebook đã tag bạn bè của mình vào để cảnh báo vụ chị Na Hương bị rút mất tiền. Ảnh: FB Na Hương |
Trên bài viết của chị Na Hương trên Facebook cá nhân về trường hợp bị mất tiền của chị, đã có tới hơn 1.400 lượt chia sẻ và mỗi một chia sẻ là một cảnh báo. Trong phần bình luận, nhiều người dùng Facebook cũng tag bạn bè, người thân và đề nghị hãy cẩn thận hoặc chuyển tiền ra khỏi tài khoản.
Anh Việt Dũng, một khách hàng khác tại Hà Nội cũng bày tỏ lo lắng, sau khi đọc thông báo của Vietcombank: “Vietcombank khẳng định hệ thống của ngân hàng luôn an toàn, bảo mật và cam kết nỗ lực tối đa trong việc hạn chế, ngăn chặn hành vi gian lận để bảo vệ lợi ích chính đáng của khách hàng”, anh lại cảm thấy thiếu an toàn hơn, vì sự việc chưa đưa ra kết luận cuối cùng, Vietcombank đã vội khẳng định là hệ thống của họ an toàn.
Điều trước tiên anh Dũng sẽ làm là bảo vệ tài khoản của mình: “cầm tiền thì sợ cướp, để trong tài khoản Vietcombank thì sợ bị rút, nhưng mình cứ tìm biện pháp khác trước”, anh Dũng nói.
Theo thông tin chúng tôi nhận được, sau khi sự cố mất tiền của khách hàng Vietcombank xảy ra, bộ phận bảo mật của một số ngân hàng cũng đã được cảnh báo nội bộ, yêu cầu họp bàn đặt ra giả thiết về các trường hợp của Vietcombank và xem xét nghiêm túc hệ thống của mình để ngăn chặn những cuộc tấn công tương tự có thể xảy ra.
Hiện Vietcombank vẫn chưa trả lời được, trước khi vụ việc của chị Na Hương được lên tiếng, vì sao lại âm thầm thiết lập lại dịch vụ Smart OTPcủa khách hàng mà không thông báo qua SMS hay hình thức thông báo khác mà khách hàng dễ dàng tiếp cận được?
Khi khách hàng thiếu thông tin và cảm thấy mọi việc chưa rõ ràng, phản ứng đầu tiên của họ là tự bảo vệ chính mình và có lẽ tâm lý này vẫn chưa dừng lại, cho đến khi vụ việc của chị Na Hương được thông tin rõ ràng và thuyết phục.
Thành Lương