Loạt dấu hỏi vụ khách bị xâm nhập tài khoản, lừa hơn 460 triệu tại VPBank

Các tin nhắn về giao dịch được gửi tới điện thoại của khách hàng

Nhiều thông tin mâu thuẫn nhau

Chiều tối 4/12, VPBank đã thông tin chính thức về vụ việc khách hàng N.K.M (tên khách hàng đã được thay đổi) của ngân hàng này bị lừa hơn 460 triệu đồng mà Báo Giao thông đã phản ánh.

Cụ thể, trong thông tin gửi tới Báo Giao thông, VPBank cho biết đã báo cáo vụ việc tới cơ quan chức năng để được điều tra làm rõ, và sẽ phối hợp cung cấp thông tin kịp thời để vụ việc sớm có kết luận, đảm bảo quyền lợi của khách hàng.

Ngân hàng này cũng cung cấp sao kê các giao dịch của khách hàng trong thời gian từ 16:23p đến 16:24p:23s ngày 4/12, trong đó có 3 giao dịch đầu tiên và theo trình tự là đăng nhập hệ thống ngân hàng để khởi tạo yêu cầu đổi phương thức nhận OTP từ SMS sang email; xác nhận việc đổi phương thức nhận OTP và chuyển đổi thành công.

Cũng theo VPBank, ngay sau khi thực hiện đổi phương thức nhận mã OTP thành công sang email, tài khoản này đã phát sinh loạt giao dịch: 1 chuyển tiền, 15 giao dịch mua mã thẻ; khởi tạo hai khoản vay 360 triệu đồng và 90 triệu đồng bằng cách cầm cố sổ tiết kiệm.

Tuy nhiên, trao đổi với PV Báo Giao thông, khách hàng N.K.M cho biết, trong thời gian từ 16:23p đến 16:24p:23s chị chỉ nhận được tin nhắn với nội dung thông báo “thay đổi phương thức OTP” thậm chí còn không nêu cụ thể là từ SMS sang email. Chị này khẳng định không nhận được thông báo chuyển đổi phương thức nhận mã OTP thành công tại thời khắc 16:24p:23s như VPBank thông tin.

Đáng chú ý, ngay sau khi đổi phương thức nhận OTP thành công, hai giao dịch vay 360 triệu đồng và 90 triệu đồng dồn dập đến với thông báo là đã vay thành công và được giải ngân. Ngay sau đó tới tin nhắn tài khoản bị trừ hơn 3,5 triệu đồng với lý do khách hàng bị phạt vì không vay được. Các nội dung tin nhắn trên rất mâu thuẫn với nhau.

Khách hàng bị hack email hay hệ thống VPBank bị hack?

PV Báo Giao thông đặt 4 câu hỏi tới VPBank: Vụ việc của khách hàng N.K.M sẽ được giải quyết như thế nào? Quy trình cho khách hàng vay online được như thế nào, cần những thủ tục gì? Vì sao thông tin cá nhân của chị M. tại VPBank lại bị rò rỉ? Việc bảo mật thông tin khách hàng của VPBank đang được thực hiện như thế nào?

VPBank mới chỉ cho biết đã tiếp nhận vụ việc và đã triển khai các biện pháp bảo vệ cho tài sản của khách hàng tại ngân hàng. “Chúng tôi rất lấy làm tiếc với những thiệt hại mà khách hàng gặp phải và đang nỗ lực hết sức để bảo vệ cho quyền lợi chính đáng của khách hàng”, thông tin từ VPBank nêu và cho biết đang tích cực phối hợp với các cơ quan chức năng và với khách hàng để thực hiện các bước xử lý tiếp theo nhằm làm rõ vụ việc.

Các nội dung khác mà Báo Giao thông đặt ra không được ngân hàng trả lời.

Trở lại với thông tin mà VPBank cung cấp cho Báo Giao thông, ngân hàng cho biết trong thời gian từ 16:23p đến 16:24p:23s có ba giao dịch phát sinh và việc chuyển đổi phương thức nhận mã OTP của khách hàng đã thành công và địa chỉ email đăng ký nhận OTP (là địa chỉ đã được khách hàng N.K.M đăng ký trên hệ thống VPBank từ năm 2016).

Theo logic này, khi đã thực hiện chuyển đổi thành công thì những thông tin về giao dịch hay biến động tài khoản sau đó phải được hệ thống của ngân hàng thông báo tới email của khách hàng. Nhưng thực tế chị M. vẫn được hệ thống của ngân hàng báo bằng tin nhắn qua số điện thoại đã đăng ký.

Thêm nữa, chị M. cũng khẳng định, ngoài các tin nhắn qua điện thoại nói trên không có bất cứ email nào từ phía ngân hàng thông báo về các giao dịch trên, thông báo mã OTP hay kết quả thực hiện giao dịch. Và cả ngày 4/12 email này chị M. vẫn dùng để nhận các email đến và gửi email đi như thường ngày mà không có bất kỳ dấu hiệu bất thường nào.

Chị M. khẳng định, trong ba bước mà kẻ gian giăng ra là: Đăng nhập trang web giả mạo, cung cấp email cùng với mật khẩu; cung cấp mã OTP thì chị M. chỉ mới thực hiện thao tác thứ nhất là đăng nhập vào website giả mạo. Do đó, chị M. khẳng định không có chuyện email của chị bị hack. Và nếu nghi ngờ email của chị M. bị hack thì sau đó tại sao VPBank lại gửi một số email có nội dung liên quan tới giải quyết công việc vào email đó và không hề hỏi chị M. có dùng email nào khác an toàn hơn?

Ngược lại, ngân hàng thông báo việc thay đổi phương thức nhận OTP đã chuyển từ SMS sang email thành công nhưng sau đó mọi thông tin giao dịch vẫn được gửi vào điện thoại. Điều này chứng tỏ việc chuyển đổi phương thức nhận OTP không thành công, đồng thời hệ thống của ngân hàng VPBank bị hack?

Đáng chú ý, chị M. cho hay, trong khi người tự xưng là nhân viên ngân hàng gọi điện thoại tới nói chuyện thì các giao dịch trên cũng được thực hiện cùng lúc và trong một khoảng thời gian rất nhanh khiến khách hàng không kịp phản ứng.


Nguồn: Báo Giao Thông