Ông Đào Minh Tuấn, Phó Tổng Giám đốc Vietcombank cho biết: Ngân hàng tiếp tục khuyến cáo khách hàng cần nâng cao cảnh giác bằng việc không truy cập vào các trang web lạ, không tải những phần mềm mã độc hại để đối tượng lừa đảo có thể lợi dụng.
- Thưa ông, phương thức mà khách hàng vừa bị lừa đảo diễn ra thế nào?
Phó Tổng giám đốc VCB Đào Minh Tuấn. Ảnh nguồn VCB |
Ông Đào Minh Tuấn: Tôi khẳng định phương thức này không mới. Ngay từ đầu những năm 2000 khi thương mại điện tử có xu hướng phát triển phổ biến, ngân hàng cũng như các cơ quan chức năng đã cảnh báo nhiều lần. Theo đó, đối tượng thường lừa đảo gửi email cho khách hàng kèm theo đường link và đăng tải nội dung nhằm tạo sự quan tâm cho khách hàng về các chương trình khuyến mại của ngân hàng hoặc yêu cầu nâng cấp hệ thống của ngân hàng...
Trong trường hợp, khách hàng bị vô tình bấm vào đường link đó sẽ được dẫn giải vào một trang web giả giống trang web của Vietcombank với địa chỉ không phải của Vietcombank (www.Vietcombank.com.vn), tiếp đó vô tình khách hàng đã để lộ nhiều thông tin, trong đó có cả những thông tin như: Mã và mật khẩu truy cập, số thẻ, ngày hết hạn, mã bảo mật thẻ CVC, CVV, CSC... Đối tượng lừa đảo sau khi có được những thông tin này có thể sử dụng thẻ của khách hàng để thanh toán mua hàng hóa dịch vụ hoặc lấy tiền qua mạng (chuyển tiền qua mạng).
Đối với trường hợp cụ thể này, đối tượng rất tinh vi trong việc thực hiện vào nửa đêm và rạng sáng. Có 7 giao dịch thực hiện thì có 4 giao dịch được chuyển khoản trực tiếp vào tài khoản, trên đó đã phát hành thẻ ghi nợ quốc tế và ngay sau khi thực hiện đối tượng đã sử dụng thẻ để rút tiền ở bên Malaysia. Còn lại 3 giao dịch đối tượng chuyển vào tài khoản của ngân hàng khác. Rất may vào ban đêm nên hệ thống liên ngân hàng chưa hoạt động nên ngân hàng đã kịp giữ lại và hoàn trả cho khách hàng.
- Trên diễn đàn mạng xã hội (facebook), có nhiều ý kiến khách hàng thắc mắc: tại sao không có mã OTP vẫn giao dịch được bình thường, thưa ông?
Ông Đào Minh Tuấn:Tôi lấy ví dụ, khi bạn mở cửa cho người khác vào nhà thì cái khóa để mở két đáng ra phải cất đi thì bạn lại cho người ta chìa để mở két. Trong trường hợp này, nhận OTP có hai dạng: Một là theo phương thức truyền thống qua SMS, ngoài ra ngân hàng cung cấp một dịch vụ nữa là Smart OTP cho phép tạo ra OTP trên thiết bị smartphone hoặc Ipad (eToken). Để kích hoạt e-tocken, khách hàng phải phải nhập người sử dụng (usename), mật khẩu password, sau đó hệ thống sẽ gửi mã OTP qua SMS đến điện thoại của khách hàng và khách hàng tiếp tục cung cấp cho các đối tượng mã OTP này. Ngay sau khi có đầy đủ các thông tin này e-Tocken của khách hàng đã bị chiếm đoạt.
Thứ hai là khách hàng và đối tượng chat với nhau trên facebook và khách hàng cung cấp tự nguyện các thông tin riêng của khách hàng.
Trường hợp thứ 3 là máy điện thoại của khách hàng bị nhiễm loại mã độc (malwware) và đối tượng lừa đảo vẫn có thể nhận các tin nhắn, trong đó có mã OTP. Malware này có thể thậm chí chỉ tồn tại trong một khoảng thời gian nào đó sẽ tự động bị xóa khỏi máy và khi kiểm tra có thể sẽ không phát hiện thấy malwware này nữa.
Trước những nguyên nhân này, ngân hàng luôn có khuyến cáo đến khách hàng dùng thiết bị smaphone không nên tải những phần mềm lạ có nguy cơ bị mã độc.
Tóm lại, như đã phân tích ở trên, để có được phương thức e-tocken để tạo và nhận OTP (SmartOTP) bắt buộc khách hàng phải sử dụng phương thức nhận OTP qua SMS. Khi khách hàng bị đối tượng lừa đảo truy cập vào đường dẫn lạ và cung cấp thông tin truy cập và tiếp theo đó khách hàng lại vô tình cung cấp mã OTP để kích hoạt e-tocken thì bản thân khách hàng đã giao hết chìa khóa cho đối tượng lừa đảo rồi.
- Quay trở lại câu chuyện của khách hàng Hương, phía khách hàng và ngân hàng đã có buổi làm việc ra sao để tìm giải pháp khắc phục?
Ông Đào Minh Tuấn: Khi xảy ra vấn đề này đều là sự không mong muốn của cả hai bên, Vietcombank đã báo cáo đến các cơ quan chức năng để điều tra xác minh làm rõ và thu hồi tài sản cho khách hàng. Số tiền còn lại sẽ cùng phối hợp với cơ quan công an để điều tra và truy bắt nhóm tội phạm này.
- Liệu khách hàng đã thỏa mãn với giải thích của Vietcombank hay chưa?
Ông Đào Minh Tuấn: Theo tôi có thể khách hàng chưa hoàn toàn thỏa mãn với những giải thích của ngân hàng nhưng rất may là trong quá trình làm việc, khách hàng đã hợp tác tích cực với ngân hàng để cùng phối hợp với cơ quan chức năng điều tra tìm ra tội phạm. Trong trường hợp tìm ra được nguyên nhân cũng như thu hồi được tiền thì sẽ hoàn trả lại cho khách hàng.
- Qua vụ việc này Vietcombank có khuyến cáo gì đối với hàng triệu khách hàng đang sử dụng dịch vụ của Vietcombank hay không?
Ông Đào Minh Tuấn: Có lẽ không phải riêng Vietcombank, mà tất cả các trang mạng bán hàng qua mạng và đặc biệt là các ngân hàng đều khuyến cáo khách hàng phải tự bảo vệ các thông tin cá nhân của mình.
Khách hàng không nên cung cấp các thông tin bảo mật các dịch vụ ngân hàng điện tử, bao gồm: Mật khẩu truy cập, mật khẩu giao dịch một lần OTP, mật khẩu truy cập địa chỉ email cá nhân cho bất cứ ai và bằng bất cứ hình thức nào (nhắn tin, trả lời điện thoại, tiết lộ trực tiếp...); cung cấp các thông tin cá nhân trừ khi khách hàng chủ động gọi điện đến hotline 1900 54 54 13 để được trợ giúp và ngân hàng yêu cầu phối hợp cung cấp thông tin để định danh khách hàng.
Khách hàng cũng nên bảo vệ và thay đổi thường xuyên mật khẩu truy cập các dịch vụ ngân hàng điện tử/thẻ, email để bảo vệ toàn bộ giao dịch của chính mình (tối thiểu 03 tháng/lần) và cài đặt mật khẩu đảm bảo nguyên tắc an toàn.
Khách hàng lưu ý, Vietcombank không bao giờ yêu cầu khách hàng cung cấp thông tin bảo mật dịch vụ như: Mật khẩu truy cập, mã giao dịch OTP của bất kỳ dịch vụ ngân hàng điện tử nào, mã kích hoạt ứng dụng Vietcombank Smart OTP dưới bất kỳ hình thức nào. Vietcombank cũng không bao giờ yêu cầu khách hàng chuyển tiền, nạp tiền vào số điện thoại/số tài khoản nào để nhận thưởng, nhận tiền hoàn trả.. Thông thường đây là những chiêu thức lừa đảo của các đối tượng không chỉ Việt Nam mà nhiều nước cũng đang gặp phải.
Về phía ngân hàng vẫn cam kết các thông tin của khách hàng được đảm bảo an toàn vả bảo mật.
- Xin trân trọng cảm ơn ông!