-
Quỳnh Anh Shyn tiết lộ bí mật trong màn làm hoà gây chấn động với Chi Pu
-
Thiếu niên 15 tuổi ở Ninh Bình mất tích bí ẩn, để lại thư tay với lời nhắn "Tết này con không về"
-
Cảnh giác chiêu lừa đảo nộp phạt giao thông qua Cổng Dịch vụ công Quốc gia giả
-
Giá vàng miếng SJC đắt nhất lịch sử
-
Bộ Công an bảo vệ Lễ 80 năm Cách mạng Tháng Tám và Quốc khánh ở cấp độ cao nhất
-
Vướng vào "địa ngục tâm linh", 3 đại gia bị vợ chồng thầy cúng lừa 20 tỷ đồng
-
Thủ tướng: Bắn pháo hoa tại 34 tỉnh, thành phố chào mừng Quốc khánh
-
Sức khỏe của nghệ sĩ Phước Sang sau 1 năm bị đột quỵ
-
Sốc với visual của ca sĩ Việt đi hát hội chợ Trung Quốc, hình tượng nàng thơ vỡ tan tành
-
Phát hiện chấn động: Thi thể người đàn ông mất tích 28 năm vẫn còn nguyên vẹn
-
Vụ hiệu trưởng nâng khống điểm cho 1 thí sinh thành thủ khoa: Hội đồng chấm thi giải trình gì?
-
Nam thanh niên mất tích khi leo núi ở Nha Trang: Trước khi đi nhắn chủ nhà một điều đáng lo
-
Sau dịu mát ngày lập thu, miền Bắc sẽ nắng nóng gay gắt như giữa mùa hè từ ngày 8-8
-
Đang làm nhiệm vụ, trung tá cảnh sát giao thông bị người đàn ông nước ngoài đấm vào miệng
-
Bộ Tài chính thông tin mới về mức giảm trừ gia cảnh thuế thu nhập cá nhân
-
Campuchia và Thái Lan đạt được thỏa thuận đột phá về biên giới
-
Bộ Quốc phòng thông tin chương trình diễu binh, diễu hành mừng Cách mạng tháng Tám và Quốc khánh 2/9
-
Một gia đình nông thôn ở Thanh Hóa tiền điện tăng gần 10 triệu đồng một tháng
-
Quảng Ninh sẽ lắp thiết bị này trên tất cả tàu du lịch ở Hạ Long
-
Giá xăng tăng vượt mốc 20.000 đồng/lít
Kinh tế
14/08/2016 13:27Những dấu hỏi quanh vụ mất nửa tỷ đồng trong tài khoản
Nhiều chuyên gia cho rằng có thể tin tặc đã chiếm quyền kiểm soát tài khoản Internet Banking tại Vietcombank của khách hàng từ ngày 28/7, chứ không chờ đến đêm 3/8, rạng sáng 4/8 - khi các giao dịch chuyển tiền thực hiện. Vì vậy khi bị mất tiền, chị mới không nhận được tin nhắn OTP từ ngân hàng.
Theo Vietcombank, chị Na Hương (Cầu Giấy, Hà Nội) đã truy cập vào một website giả mạo từ ngày 28/7 - tức là trước thời điểm xảy ra 7 giao dịch lừa đảo 6 ngày. Đường link http://creatingacreator.com/kob/1/index.htm) với giao diện giống hệt của Vietcombank khiến khách hàng vô tình nhập các thông tin như tên tài khoản (username), mật khẩu vào Internet Banking mà không hề hay biết. Dù chị Hương vẫn khẳng định không vào trang web lạ nhưng Vietcombank nói, trong cuộc làm việc ngày 11/8, nhân viên ngân hàng đã hướng dẫn chị kiểm tra và thấy có đường link này vẫn còn lưu trên lịch sử của điện thoại.
![]() |
Khách hàng cho biết không nhận được thông báo nào từ ngân hàng về việc đã chuyển đổi hình thức đăng ký xác thực từ OTP sang Smart OTP. |
Nhiều khả năng, trên một giao diện giả mạo Internet Banking của Vietcombank, tin tặc từng bước lừa người dùng vào cài đặt Smart OTP mà chị Hương không hề biết. Để kích hoạt được phương thức xác thực mới này, khách hàng sẽ nhận một mã xác thực OTP bằng SMS.
Một chuyên gia về thanh toán thẻ lý giải, trên website giả mạo sẽ không hiển thị nội dung thực hiện giao dịch của khách hàng là kích hoạt Smart OTP mà có thể chỉ đơn giản là dẫn dụ chị để xác nhận một thông tin nào đó về tài khoản. Vì thế không loại trừ khả năng chính chị Hương đã điền mã OTP vào website giả mạo mà không biết mục đích là để kích hoạt phương thức xác thực mới.
Cơ chế hoạt động Smart OTP của Vietcombank thế nào?
Nếu thực sự chị Na Hương vào website giả mạo và bị dẫn dụ nộp không thông tin, cả quyền kích hoạt Smart OTP cho tin tặc thì nhiều chuyên gia cho rằng, Vietcombank cũng cần có trách nhiệm với quy trình bảo mật chưa chặt chẽ.
Smart OTP được Vietcombank ra mắt vào đầu năm 2015, được giới thiệu là ứng dụng có lợi thế vượt trội so với các hình thức tạo mã OTP hiện có. Một trong những lợi thế đầu tiên là Smart OTP có thể tạo mã OTP bất kỳ lúc nào, không cần phải có sóng điện thoại, cũng không cần thiết bị tạo mã OTP cứng tốn kém đi kèm. Tuy nhiên, theo tổng giám đốc một ngân hàng cổ phần, có thể sơ hở nằm ở chỗ Vietcombank cho phép người dùng cài Smart OTP trên một thiết bị di động khác - không phải thiết bị có chứa sim điện thoại đã đăng ký ban đầu với ngân hàng. Tức là, nếu bạn đăng ký nhận OTP qua SMS thông thường bằng chiếc điện thoại thông minh iPhone với số đăng ký 091xxx123 thì bạn vẫn có thể đăng ký cài Smart OTP trên một chiếc điện thoại hoặc máy tính bảng khác mà không cần với chính số đuôi 123 này. Trường hợp của khách hàng Na Hương, sau khi dẫn dụ được chị vào website giả mạo, kẻ gian đã lừa được chị nhập mã OTP một lần duy nhất để kích hoạt Smart OTP của chị Hương trên thiết bị di động của tin tặc.
![]() |
Vietcombank cho phép khách hàng cài đặt Smart OTP ở một thiết bị di động khác với thiết bị chứa sim nhận mã OTP. |
Bên cạnh đó, còn một nghi vấn đặt ra, ngay cả khi chị Na Hương bị tin tặc lừa nhập mã OTP để kích hoạt Smart OTP (mà chị không biết), đáng lẽ ra, ngay sau khi tin tặc đã kích hoạt Smart OTP của chị thành công, ngân hàng vẫn phải có một tin nhắn thông báo, tài khoản của bạn đã được chuyển đổi phương thức xác thực từ OTP sang Smart OTP. Vậy tại sao chị Na Hương không nhận được tin nhắn này và vẫn không hề hay biết gì về khái niệm Smart OTP cho tới khi trình báo với Vietcombank.
"Trường hợp này có thể là một trong hai đơn vị chưa nói đúng sự thật nhưng việc không có một tin nhắn hay email nào từ ngân hàng thông báo việc đã chuyển đổi thành công phương thức xác thực là vô lý", chuyên gia bảo mật này cho hay.
Không chỉ vậy, theo nhiều chuyên gia bảo mật, chính áp lực tạo thuận tiện tối đa cho khách hàng giao dịch online đã khiến một số ngân hàng mở điều kiện "thoáng" với một số dịch vụ. Như với Smart OTP của Vietcombank, khách hàng không cần ra quầy để đăng ký cài đặt và kích hoạt, chỉ cần qua một lần nhập OTP (SMS).
Phó tổng giám đốc một ngân hàng khác cũng cho biết, Smart OTP là phương thức xác thực được sử dụng nhiều ở một số nước. Tuy nhiên, thường các ngân hàng trên thế giới không để hạn mức giao dịch bằng Smart OTP cao mà hầu như đều thấp hơn với OTP thông thường bởi tính rủi ro cao hơn. Trong trường hợp này, mỗi giao dịch của tin tặc (với Smart OTP) đều với số tiền lớn, 50 và 100 triệu đồng.
Ai chịu trách nhiệm?
Theo Luật sư Hồ Anh Khoa, Trưởng phòng tư vấn doanh nghiệp của Công ty Luật Basico, trong trường hợp này nên nhắc tới trách nhiệm của cả hai bên thay vì đổ lỗi cho khách hàng hay nhà băng. Với khách hàng, nếu đúng họ truy cập vào website giảo mạo, theo ông Khoa, cũng là một sai sót. Mỗi khách hàng cần có ý thức bảo vệ và quản lý các thông tin của mình cũng như lường trước các rủi ro nếu tham gia dịch vụ.
Ngược lại, với ngân hàng, muốn tạo một tiện lợi cho khách thì khi đưa vào sử dụng phải có cách gì đó tăng cường tính bảo mật của ứng dụng. Ở trường hợp này, ngân hàng lại cho phép khách sử dụng ứng dụng trên một thiết bị khác thay vì thiết bị di động đã dùng OTP của khách.
Thực tế hiện nay trong khi khách hàng nói không có những giao dịch, truy cập vào website giả mạo thì ngân hàng lại đưa ra những bằng chứng trên hệ thống cho thấy có lệnh nhập OTP để mở tính năng xác thực Smart OTP. Do đó, theo các luật sư, rất cần sự vào cuộc của một bên thứ ba độc lập, có thể là cơ quan điều tra để làm sáng tỏ.
"Ngân hàng Nhà nước cũng cần có định hướng chung cho tất cả các tổ chức tín dụng về những rủi ro qua thanh toán trên những ứng dụng điện tử", ông Hồ Anh Khoa nói.
Theo Thanh Thanh Lan (VnExpress.net)








- Cô gái 24 tuổi đăng quang Hoa hậu Hàn Quốc 2025 (07/08/25 23:39)
- Phát hiện thi thể mất bàn tay chân, không quần áo ở Cà Mau (07/08/25 22:36)
- Hội bạn thân đẹp, giàu nổi tiếng TikTok Việt bị nghi nói xấu, nghỉ chơi (07/08/25 22:30)
- Mỹ nhân MasterChef qua đời vì tai nạn kinh hoàng ở tuổi 38 (07/08/25 21:56)
- Khởi tố vụ cô gái mất 96% sức khỏe vì bị khung đỡ đèn tiệc cưới đổ sập, đè lên người (07/08/25 21:07)
- Bé gái 7 tuổi đuối nước tử vong tại hồ bơi ở Đồng Nai (07/08/25 21:03)
- Sesko đối mặt cú sốc văn hóa tại MU (07/08/25 20:58)
- Xác định được nhóm đánh hội đồng cháu gái 14 tuổi (07/08/25 20:50)
- Bãi nại cho người xách ngược cháu bé 16 tháng tuổi ném xuống nền bê-tông (07/08/25 20:45)
- Một cảnh sát giao thông bị thanh niên người Nga tấn công ở Nha Trang (07/08/25 20:37)




