Những thông tin này gồm tên đầy đủ, số chứng minh thư, số điện thoại, địa chỉ nhà, ngày tháng năm sinh, giới tính, email và nghề nghiệp của khách hàng.
Diễn đàn Raid*** là nơi các hacker đăng tải thông tin cá nhân, dữ liệu khách hàng với mục đích rao bán là chính. Tuy vậy, thông tin khách hàng của ngân hàng trên được đăng miễn phí, bất kỳ ai cũng có thể tải về.
Trước đó, diễn đàn này cũng từng xuất hiện bài viết chứa dữ liệu gồm email, thẻ ngân hàng của khách hàng Thế Giới Di Động.
Người nắm giữ thông tin của ngân hàng trên tuyên bố họ có đầy đủ dữ liệu của tất cả khách hàng. Thư mục chứa 2 triệu dữ liệu này chưa phải duy nhất. Trong thời gian tới, hacker sẽ đăng thêm những dữ liệu khác.
Tuy vậy, nếu ai muốn có bản đầy đủ, phải chi tiền cho hacker này. Ngoài ra, người này còn cam kết những dữ liệu này là của năm 2019, không phải dữ liệu cũ.
 |
| Ảnh minh họa |
Thử tìm kiếm thông tin của một số khách hàng có tài khoản của ngân hàng trên, toàn bộ những thông tin cá nhân đều trùng khớp với dữ liệu của hacker.
Nguồn tin này cho biết ngay sau đó ngân hàng đã nắm bắt tình hình và nhờ sự can thiệp từ cơ quan chức năng để gỡ bỏ thông tin cá nhân khách hàng, đồng thời làm việc với các khách hàng về thông tin cá nhân. Tuy nhiên, đến chiều 21/11, các thông tin trên vẫn còn lưu trên diễn đàn.
Trước đó, trên mạng xã hội cũng lan truyền câu chuyện những kẻ lừa đảo đã nắm được thông tin của khách hàng, thậm chí biết rõ đến từng số tiền và nội dung giao dịch, lại có khả năng “khóa” tài khoản khách hàng khiến nhiều người thực sự cảm thấy lo lắng về tài khoản ngân hàng của mình. Vụ việc đang được xác thực thông tin cụ thể.
Sự việc được chia sẻ nhiều diễn ra ở tài khoản của một người bán hàng trực tuyến trên mạng xã hội Facebook. Người này mô tả sự việc rằng đã nhận được cuộc điện thoại từ một người tự xưng là nhân viên ngân hàng T, yêu cầu xác thực thông tin giao dịch mà khách hàng đã thực hiện.
Để tạo lòng tin, kẻ tự xưng là nhân viên ngân hàng đã đọc đúng toàn bộ các giao dịch của ngày hôm trước và cả số thẻ ATM nên khiến chủ nhân bất ngờ.
Sau đó, kẻ lừa đảo này chọn giao dịch có giá trị lớn nhất, cũng đọc đúng số tiền và nội dung chuyển khoản, nói rằng không xác định được người gửi tiền nên nhờ chủ tài khoản xác định và yêu cầu đọc lại mã OTP (mật khẩu chỉ sử dụng một lần), nếu không tài khoản sẽ bị phong tỏa tài khoản trong 72 tiếng và số tiền giao dịch trên sẽ chuyển hoàn trở lại.
May mắn là chủ nhân của tài khoản ở ngân hàng T. nói trên không chịu cung cấp mã OTP, nhưng sau đó, chuyện kỳ lạ nữa là tài khoản ngân hàng của khách hàng bị treo 10 phút không giao dịch được, như lời dọa của người gọi. Khách hàng này sau đó phải đến phòng giao dịch của ngân hàng để trao đổi thông tin cụ thể.
Theo ông Ngô Tuấn Anh, Phó Chủ tịch phụ trách An ninh mạng của Tập đoàn BKAV, những thông tin từ phía khách hàng đang lan truyền trên mạng xã hội hiện nay chưa đủ để khẳng định điều gì. “Mấu chốt của vấn đề nằm ở chỗ khách hàng nói rằng đã bị “hack” tài khoản trong vòng 10 phút, nên sẽ có nhiều kịch bản khác nhau”, ông Tuấn Anh nói.
Theo đó, nếu sự việc đúng như khách hàng nói thì kịch bản có khả năng xảy ra cao nhất là khách hàng đã bị mất mật khẩu tài khoản, nên kẻ lừa đảo có thể đăng nhập, xem được lịch sử giao dịch, và bắt đầu gọi điện thoại để lừa lấy thêm mã OTP nhưng không thành công. Từ phía khác, việc ngân hàng bị lộ thông tin cũng là một khả năng có thể xảy ra dù rất thấp.
Một kịch bản khác nữa là khách hàng có thể bị lộ thông tin giao dịch ở nhiều nguồn khác nhau, một trong số đó có thể là sao kê ngân hàng ở một cửa hàng nào đó mà khách hàng đã giao dịch, trong đó có đầy đủ thông tin như số tài khoản, họ tên, số tiền và nội dung giao dịch.
Ở những trường hợp này, việc khóa tài khoản xảy ra cũng có thể là do kẻ lừa đảo cố tình đăng nhập sai mật khẩu, sau đó hệ thống ngân hàng tự động khóa lại trong một khoảng thời gian ngắn để bảo đảm an toàn cho chủ tài khoản.
Những cuộc gọi lừa đảo khách hàng diễn ra từ lâu nhưng trong vòng 2 năm trở lại đây, các vụ việc diễn ra thường xuyên hơn và mức độ lừa đảo được đánh giá ngày càng tinh vi.
Ông Nguyễn Thành Long, Phó Tổng giám đốc VPBank cho biết, các ngân hàng luôn phải đấu tranh với các thủ đoạn lừa đảo tinh vi lợi dụng thông tin, đặc biệt là tình trạng giả danh ngân hàng, yêu cầu khách hàng cung cấp OTP để chiếm đoạt tiền của khách hàng, làm tổn hại đến uy tín nhà băng. “Nếu có người tự xưng là nhân viên ngân hàng yêu cầu cung cấp thông tin về thẻ hay mã OTP, chắc chắn đó là đối tượng lừa đảo”, ông Long khẳng định.
Việc giữ bảo mật mã OTP được xem là mấu chốt quan trọng để khách hàng chặn các giao dịch bất hợp pháp và hầu như ngân hàng nào cũng khuyến cáo điều này với khách hàng, rằng “không cung cấp mã OTP cho bất kỳ ai, kể cả nhân viên ngân hàng”.
Phương thức xác thực OTP (One-Time Password, mã xác thực một lần) được sử dụng để xác nhận các giao dịch của khách hàng. Mã OTP có thể được gửi đến khách hàng dưới nhiều hình thức như tin nhắn (SMS), hoặc các loại Token mà ngân hàng cung cấp.
Để tăng cường bảo mật, ngày 1/7 vừa qua, theo yêu cầu của Ngân hàng Nhà nước, các ngân hàng đồng loạt chuyển đổi phương thức xác thực OTP mới là Smart OTP. Theo đó, mã giao dịch được tạo ra trên ứng dụng di động của ngân hàng, có cấp độ an toàn cao hơn so với phương thức truyền thống là tin nhắn SMS. Nhiều ngân hàng đã bắt buộc khách hàng phải sử dụng Smart OTP với những giao dịch có giá trị lớn.
Hoài Sơn
Phiên bản di động