Khách hàng Vietcombank “ngồi trên lửa” chờ tin 200 triệu đồng bị đánh cắp

Sau một tuần, kể từ lần họp với các bên là Cục Cảnh sát Phòng chống Tội phạm Sử dụng Công nghệ cao (C50) và đại diện ngân hàng Vietcombank, chị Hoàng Thị Na Hương vẫn chưa có thêm thông tin về phương án mà Vietcombank đưa ra để giải quyết trường hợp của chị.

Theo đó, chị Na Hương cho biết, ngày 15/8, chị đã có buổi làm việc và cung cấp thông tin cho cơ quan an ninh và ngân hàng, tuy nhiên, chị không được biết, bao giờ thì Vietcombank sẽ có câu trả lời cho trường hợp của chị.

Nạn nhân của vụ bị hack 500 triệu đồng bày tỏ mong muốn sớm nhận được câu trả lời, trước hết là nguyên nhân số tiền của mình bị đánh cắp khỏi tài khoản, ngoài ra chị khẳng định: “Tôi sẽ chứng minh được là mình không bấm vào đường link lạ nào cả”.

Kể từ ngày 4/8, khi vụ việc chị Na Hương bị phát hiện và báo với Vietcombank, ngân hàng này đã có ít nhất 3 lần cập nhật ứng dụng Smart OTP trên hệ điều hành iOS của Apple và trên Android.

Trong vụ chị Na Hương, ban đầu, phía ngân hàng đưa ra thông tin về nguyên nhân mất tiền, đó là do chị Na Hương đã click vào đường dẫn lạ, dẫn đến việc mất thông tin cá nhân về tài khoản và mật khẩu vào tay Hacker.

Tiếp đó, một nguồn tin từ C50 cho biết, hacker đã kích hoạt dịch vụ Smart OTP của chị Na Hương, thông qua việc sử dụng tài khoản Vietcombank của chị đăng nhập vào trang chủ của Vietcombank và gửi mã kích hoạt Smart OTP về số điện thoại của chị Na Hương.

Sau khi có được thông tin về tên tài khoản, mật khẩu và chiếm quyền điều khiển Smart OTP, đối tượng xấu đã chuyển tiền của chị Na Hương lòng vòng qua 3 ngân hàng khác nhau, rút thành công 200 triệu đồng trên tổng số 500 triệu đồng bị mất cắp tại Malaysia.

Trong một diễn biến liên quan, diễn đàn vnsecurity (VNSEC) do một nhóm kĩ sư bảo mật lập nên đã đăng tải bài viết “Sự cố Vietcombank, một góc nhìn kỹ thuật” và cho rằng, Smart OTP của Vietcombank (tính đến trước ngày 13/8, khi Vietcombank chưa cập nhật Smart OTP) có lỗ hổng. Tuy nhiên, nhóm kỹ sư cũng nhấn mạnh, họ không cho rằng lỗ hổng Smart OTP chính là điểm yếu mà các hacker đã tấn công vào để chiếm đoạt tiền trong vụ Vietcombank mà nghiêng về một kịch bản Phishing, đánh lừa người dùng bằng cách giả mạo y hệt giao diện trang đích mà nạn nhân muốn truy cập, để đánh cắp thông tin tài khoản.

Chúng tôi đã liên lạc với quản trị viên của VNSEC và được người này xác nhận, bài viết trên là do 3 thành viên của VNSEC thực hiện, sau khi thử phân tích kĩ thuật các giao thức bảo mật của Vietcombank. Một trong những kỹ sư tham gia thực hiện là Dương Ngọc Thái, kỹ sư bảo mật đang làm việc tại Google.

Dương Ngọc Thái sinh năm 1984, là một người rất nổi tiếng trong cộng đồng CNTT của Việt Nam, anh từng phát hiện ra lỗ hổng bảo mật của dịch vụ chia sẻ ảnh Flickr vào năm 2009, Thái cũng phát hiện ra lỗ hổng bảo mật của Microsoft trong năm 2010.

Trước đó, trao đổi với bộ phận phụ trách truyền thông của Vietcombank về vụ việc của chị Na Hương, ICTnews được biết vụ việc vẫn đang tiếp tục điều tra và Vietcombank sẽ trả lời khi có kết quả điều tra chính thức.

Chị Na Hương nói, chị vẫn đang chờ đợi thông tin và để ngỏ khả năng sớm viết một bức “tâm thư” cho Vietcombank, đồng thời chị nhận định: “có vẻ như Vietcombank không thay đổi được cách đối xử với khách hàng”.

Vụ các hacker tấn công vào khách hàng của Vietcombank và đánh cắp số tiền lên tới nửa tỉ đồng, là vụ tấn công nhằm vào một khách hàng cá nhân lớn nhất từ trước đến nay tại Việt Nam được công bố.

Số tiền 200 triệu đồng trên tổng số 500 triệu đồng bị đánh cắp thành công cũng là một số tiền lớn, tương đương với số tiền thu được trong vòng 1 năm của nhân viên ngân hàng có mức lương trung bình 16 triệu đồng/tháng.

Theo Thành Lương (ITCNwes.vn)