Nở rộ tin nhắn lừa đảo đến từ đầu số ngân hàng, 'lỗ hổng' ở đâu?
Thời gian gần đây, nhiều khách hàng nhận được tin nhắn đến từ hệ thống SMS Banking của ngân hàng, nhưng khi làm theo hướng dẫn lại dẫn đến mất tiền trong tài khoản. Trong khi đó, ngân hàng lại khẳng định tin nhắn này không được gửi đi từ hệ thống của mình.
Tin nhắn lừa đảo đến từ hệ thống tin nhắn của ngân hàng
Trước đó, một khách hàng của Sacombank là chị L.N.T.Q, trú tại TP.HCM phản ánh, đã nhận được tin nhắn với nội dung “Phat hien tai khoan cua ban dang nhap khac vung bat thuong, vui long dang nhap http://i-sacombank.com de xac nhan thong tin và thay doi mat khau”.
Đáng nói, tin nhắn này lại được gửi từ hệ thống tin nhắn mang thương hiệu Sacombank mà từ trước đến nay khách hàng này vẫn nhận thông tin biến động số dư. Do đó, chị Q đã không chút nghi ngờ, truy cập vào đường link để đăng nhập tài khoản và mật khẩu của mình.
Sau khi nhập tài khoản và mật khẩu, khách hàng nhận được mã OTP của cùng hệ thống tin nhắn trên. Khi nhập mã OTP này vào website nói trên, chị ngã ngửa vì bị trừ mất hơn 38 triệu đồng trong tài khoản.
Tương tự, chị P.T.T.D cũng cho biết, nhận được tin nhắn SMS banking của Sacombank mà chị vẫn thường sử dụng với nội dung: “Buoc sang nam moi, can xac nhan thong tin cua ban, hoan thanh thong tin duoc tang the 50k...”. Chị D tin tưởng làm theo hướng dẫn, khiến toàn bộ số tiền hơn 1 triệu đồng trong tài khoản bị trừ sạch.
Đáng nói, sau khi các khách hàng trên trình báo sự việc đến cơ quan công an, nhiều khách hàng khác vẫn cho biết, họ tiếp tục nhận được những tin nhắn tương tự.
Không chỉ Sacombank mà mới đây, nhiều khách hàng của Ngân hàng Á Châu (ACB) cũng nhận được tin nhắn với cùng một nội dung: “Chung toi phat hien tai khoan cua ban dang tieu dung o nuoc ngoai. Neu khong phai ban dang tieu dung vui long nhap vao https://v-acb.com de huy thanh toan”, đồng thời tin nhắn cũng gửi cùng một đường link truy cập.
Tin nhắn trên cũng được gửi từ hệ thống tin nhắn mang tên ACB. Sau khi làm theo hướng dẫn, đầu số này tiếp tục gửi mã xác thực OTP đến điện thoại khách hàng và sau đó khách hàng lập tức bị trừ tiền trong tài khoản.
Tin nhắn… không phải từ ngân hàng
Trong thủ đoạn lừa đảo mới này, sở dĩ khách hàng khó thoát bẫy là do các tin nhắn lừa đảo được gửi đến khách hàng từ chính hệ thống tin nhắn mang thương hiệu ngân hàng mà trước đó khách hàng vẫn nhận các thông tin.
Tuy nhiên, điều lạ là phía ngân hàng lại khẳng định không gửi các tin nhắn này. Như trường hợp tại Sacombank, trao đổi với chúng tôi, đại diện Ngân hàng này cho biết:
“Sacombank khẳng định tin nhắn giả mạo không được gửi từ hệ thống của Sacombank. Việc gửi tin nhắn bằng tin nhắn thương hiệu (SMS Brandname) của Sacombank được kiểm soát và thực hiện thông qua các đối tác cung cấp dịch vụ. Ông Dương Đức Hiếu, Tổng giám đốc Công ty IRIS Media, đối tác cung cấp dịch vụ SMS Brandname cho Sacombank, khẳng định hệ thống của IRIS không gửi các tin nhắn này”.
Những khẳng định này của Sacombank cho thấy rõ ràng có “lỗ hổng” nào đó khiến tội phạm có thể lợi dụng lừa đảo và phía ngân hàng và đối tác cần sớm làm rõ để bảo vệ quyền lợi khách hàng.
Phía ngân hàng cũng cho hay, tin nhắn giả mạo được gửi đi có tính chất ngẫu nhiên với số lượng và phạm vi giới hạn nên trong số những người nhận được tin nhắn bao gồm cả những người không phải là khách hàng của Sacombank.
“Hiện Sacombank đang khẩn trương phối hợp với đối tác cung cấp dịch vụ, cơ quan chức năng (gồm Cục Công nghệ thông tin Ngân hàng Nhà nước, Trung Tâm Ứng cứu khẩn cấp sự cố không gian mạng Việt Nam (VNCERT), Cục An ninh mạng và phòng chống tội phạm sử dụng công nghệ cao - Bộ công an) và các bên liên quan để điều tra nguyên nhân và biện pháp ngăn chặn” – Sacombank cho hay.
Ngân hàng này cũng cho biết, trong quá trình xử lý, Sacombank cũng đã phối hợp với cơ quan chức năng gỡ bỏ nhiều website giả mạo ngân hàng.
Và trong lúc các thông tin chưa được làm rõ, các ngân hàng phải liên tục phát đi các cảnh báo khách hàng cần… tự bảo vệ mình. Theo đó, các ngân hàng khuyến cáo khách hàng cần tuyệt đối không truy cập các đường link, liên kết trong tin nhắn/email lạ hoặc không rõ nguồn gốc; không cung cấp tên, mật khẩu đăng nhập ngân hàng trực tuyến, mã xác thực OTP, số thẻ ngân hàng qua điện thoại, email...
Đồng thời, không sử dụng các tính năng lưu mật khẩu để đăng nhập tự động, không sử dụng chung một mật khẩu để đăng nhập ngân hàng trực tuyến và mật khẩu thư điện tử hoặc mật khẩu đăng nhập vào các mạng xã hội.
Ngân hàng cũng khẳng định không bao giờ yêu cầu khách hàng cung cấp thông tin bảo mật của khách hàng dưới bất cứ hình thức nào.