Chị Minh (trú tại Hà Nội) cho biết, cuối chiều 4/12 nhận tin nhắn từ tổng đài có tên Routee thông báo trúng một sổ tiết kiệm từ “San so loc vang” tri ân và yêu cầu truy cập vào website http://trian.bank-vp.com để nhận giải.
Nhận định ban đầu đây có thể là lừa đảo, nhưng vì tò mò, chị Minh đăng nhập vào website nói trên thì hiện ngay tên miền có giao diện màu sắc logo, phông chữ, nền… giống như website của Ngân hàng Việt Nam Thịnh Vượng (VPBank), nơi chị vẫn thường truy cập để giao dịch.
“Tôi cảm thấy yên tâm hơn khi khẳng định nó chính là website của VPBank nên gõ tên đăng nhập và mật khẩu vào hệ thống”, chị nói. Chị cũng cho rằng ở khâu này chưa thể xảy ra rủi ro được bởi nếu muốn trục lợi tiền từ tài khoản vẫn còn một khâu bảo mật rất quan trọng là nhập mã OTP.
Tin nhắn trừ tiền thẻ tín dụng của chị Minh
Đã cảnh giác hỏi lại xong chị được “nhân viên ngân hàng” này trả lời rằng đó là quy định của ngân hàng, nếu không tin chị có thể gọi đến tổng đài để xác minh.Nhưng ngay lúc ấy, chị nhận được một cuộc gọi tự xưng là “nhân viên ngân hàng” hỏi đích danh tên chị (cả tên cũ và tên mới chuyển đổi). Ngạc nhiên hơn, người này đọc luôn 4 số đầu và 4 số cuối của cái thẻ tín dụng đang sử dụng ở ngân hàng. Sau đó “nhân viên” này thông báo chị đã trúng sổ tiết kiệm trị giá 30 triệu đồng và yêu cầu chị đọc đầy đủ số tài khoản để hoàn tất việc trao giải.
Linh cảm có điều gì đó không ổn nên chị cúp máy, gọi ngay cho nhân viên VPBank – Chi nhánh Giảng Võ nơi vẫn giao dịch để hỏi tình hình. Người này bảo, “ngân hàng thỉnh thoảng vẫn có chương trình khuyến mãi, có tặng tiền cho khách gửi tiết kiệm… nhưng chị cứ tìm hiểu và đọc kỹ”.
Ngay khi đang nói chuyện với nhân viên ngân hàng, điện thoại chị nhận tin nhắn báo đã vay ngân hàng 360 triệu đồng. 5 giây sau, chị tiếp tục nhận được tin nhắn vay thêm 90 triệu đồng. Tiếp 2 giây nữa, chị nhận được tin nhắn tài khoản bị trừ 3.507.700 đồng (phí không vay), rồi sau đó cứ 2-5 giây lại có 1 giao dịch 500.000 đồng.
Tổng cộng chị Minh nhận được 18 tin nhắn với 2 giao dịch vay tổng cộng 450 triệu đồng và 16 tin nhắn bị trừ hết 11,5 triệu đồng trong tài khoản.
Về trường hợp này, đại diện VPBank khẳng định, tin nhắn thông báo trúng sổ tiết kiệm và đường link mà khách hàng nhận được đều là giả mạo. Sau khi thử truy cập và thực hiện các nội dung, hướng dẫn tại đường link thì thấy rằng: Bước 1, website sẽ yêu cầu đăng nhập bằng tên tài khoản (user) và mật khẩu (pass) ngân hàng điện tử. Bước thứ hai là yêu cầu cung cấp email và mật khẩu email đã đăng ký với ngân hàng. Bước thứ ba là nhập mã OTP để xác nhận.
VPBank cho rằng, nếu người dùng đã thực hiện đủ cả 3 bước trên thì kẻ gian đã lấy được: user và pass tài khoản ngân hàng điện tử, user và pass email cá nhân, mã OTP.
Qua tra soát, hệ thống VPBank ghi nhận, lúc 16h23 ngày 4/12, tài khoản đăng nhập trên hệ thống VPBank Online và khởi tạo yêu cầu đổi phương thức nhận OTP từ SMS qua email. Đến 16h24, hệ thống gửi mã OTP vào số điện thoại chị Minh để xác nhận việc này. Đến 16h24p23s, tài khoản đổi thành công sang phương thức nhận OTP bằng email.
Chị Minh xác nhận mình đã nhận được tin nhắn gửi mã OTP lúc 16h24 kèm thông báo đổi phương thức xác thực nhưng khẳng định với VnExpress chưa hề nói ra hay nhập mã OTP này.
Thay vào đó, chị khẳng định mình mới đăng nhập ở bước 1 nên tài khoản email cũng như OTP không thể bị lộ. “Từ lúc xảy ra sự việc, email của tôi vẫn dùng bình thường và không ghi nhận mã OTP từ phía ngân hàng gửi đến”, chị nói.
VPBank cho biết thêm, từ 16h26 đến 16h49 phát sinh một giao dịch chuyển tiền đi và 15 giao dịch mua mã thẻ. Đồng thời khởi tạo 2 khoản vay cầm cố sổ tiết kiệm với giá trị lần lượt là 360 triệu và 90 triệu đồng. VPBank nói đây là hai khoản sẽ được phê duyệt ngay sau khi người dùng tạo yêu cầu, với hạn mức tối đa bằng 90% giá trị sổ tiết kiệm hiện có. Việc giải ngân khoản vay chỉ được thực hiện khi người khởi tạo khoản vay mang sổ tiết kiệm là tài sản cầm cố tới nhập kho của ngân hàng trong 12h, sau thời gian này khoản vay sẽ bị hủy trên hệ thống.
Ngay sau khi tiếp nhận yêu cầu tra soát của chị Minh, VPBank đã hủy hai khoản vay nói trên và gửi thông báo SMS tới khách hàng. VPbank cho biết cũng đã báo cáo vụ việc tới các cơ quan chức năng để được điều tra làm rõ, và sẽ phối hợp cung cấp thông tin kịp thời để vụ việc sớm có kết luận, đảm bảo quyền lợi cho khách hàng.
VPBank khẳng định, không bao giờ yêu cầu khách cung cấp mã OTP, mật khẩu tài khoản hay tên tài khoản ngân hàng. Nhà băng khuyến cáo, người dùng cần lưu ý các điểm mấu chốt như: tuyệt đối không truy cập đường link trong các tin nhắn gửi tới từ số điện thoại không hiển thị thương hiệu ngân hàng.
Những đường link này có thể chứa virus hoặc là trang giả mạo. Nếu đã lỡ bấm vào link thì tuyệt đối không đăng nhập tài khoản ngân hàng trên các link này, chỉ đăng nhập tài khoản ngân hàng bằng cách tự nhập tên website ngân hàng hoặc vào các trang mà mình đã tự lưu trước đó.