Không giao dịch nhưng tiền "bốc hơi"
‘Mới đây, một số khách hàng dùng thẻ Visa của ngân hàng T. phản ánh bị mất tiền trong tài khoản một cách bất thường. Các giao dịch thanh toán đều được thực hiện trên cổng thanh toán của ZaloPay.
Không liên kết thẻ với ví điện tử ZaloPay để thanh toán, anh Quang Huy, phường Phúc Xá, Ba Đình, Hà Nội bỗng thấy tài khoản thẻ báo về 5 giao dịch bất thường, trong đó 2 giao dịch thanh toán trên Internet có giá trị hơn 5 triệu đồng được hoàn trả ngay tại thời điểm đó, còn 3 giao dịch qua ZaloPay không được hoàn trả. Tổng số tiền anh Huy bị mất là 21,5 triệu đồng.
Chị Nguyễn Lê Phương sinh năm 1991, chủ cơ sở kinh doanh xã Kinh Môn, tỉnh Hải Dương vừa làm đơn trình báo đến ngân hàng H về việc bị chiếm đoạt tài sản. Theo đơn trình báo, chị Phương nhận được một đơn hàng từ tài khoản Facebook V.A trị giá 9,5 triệu đồng. Sau khi cung cấp số tài khoản cho Facebook V.A, chị Phương không thấy tin nhắn của ngân hàng báo nhận được tiền.
Liên hệ với khách hàng V.A, chị Phương được hướng dẫn truy cập vào link thanh toán bằng ZaloPay; đồng thời hoàn tất nhập thông tin (số tài khoản ngân hàng, mật khẩu, mã OTP) thì sẽ nhận được tiền. Tin khách hàng, chị Phương đã đăng nhập số tài khoản ngân hàng, mật khẩu và mã OTP theo link thanh toán ZaloPay. Vừa hoàn tất, kẻ gian đã lấy được thông tin tài khoản của chị Phương và thực hiện mở ví điện tử đối với khách hàng chưa từng mở ví để rút tiền.
Trên mạng xã hội, chị Mai Thu, ngõ 392 Bạch Mai, Hà Nội than thở: Chỉ trong vài phút, tài khoản của tôi đã bị trừ hơn 20 triệu đồng. Cũng chỉ trong vài giây, một khách hàng khác tại Đà Nẵng bị trừ tiền từ thẻ tín dụng ngân hàng với 2 giao dịch tổng 20 triệu đồng. Nội dung những phần giao dịch trừ tiền được báo về đều có nội dung: "Giao dịch qua POS số thẻ xxx... tại ZaloPay hoặc "Giao dịch qua POS số thẻ xxx... tại ví điện tử SenPay...".
“Tôi không cho ai mượn thẻ hay click vào đường link lạ cũng như cung cấp thông tin thẻ cho ai khác mà tiền lại bị rút. Sau vài ngày liên hệ và tới trực tiếp ngân hàng, tôi được nhân viên ngân hàng lập biên bản trình bày vụ việc và thông báo chờ ngân hàng tra soát”, chị Mai Thu cho biết.
Trước những giao dịch bất thường, mất tiền trong tài khoản, một số khách hàng đã thông báo đến ngân hàng để được kịp thời hỗ trợ đóng thẻ và rà soát xác thực thông tin giao dịch để bảo vệ quyền lợi hợp pháp. Nếu kết quả tra soát cho thấy. khách hàng không giao dịch, ngân hàng phát hành thẻ sẽ làm việc với các tổ chức liên quan để hoàn trả. Theo quy định của Tổ chức thẻ quốc tế Visa, thời gian tra soát tối đa là 45 ngày.
Không chỉ vậy theo khuyến cáo của hàng loạt ngân hàng, nhiều kẻ lừa đảo còn giả mạo nhân viên ngân hàng, thông báo khách hàng tài khoản liên kết với ví điện tử có vấn đề phát sinh để yêu cầu khách hàng cung cấp các thông tin cá nhân, thông tin bảo mật để xử lý. Tuy nhiên thực chất, đây là hành vi trộm tiền trong ví.
Trước tình trạng nhiều khách hàng bị lừa đảo, các ngân hàng đã đồng loạt cảnh báo thủ đoạn mới đánh cắp mã mật khẩu giao dịch một lần (OTP) nhằm lấy dữ liệu rồi kết nối ví điện tử, từ đó rút tiền. Trong đó có hành vi lợi dụng việc toàn bộ ghẻ ghi nợ nội địa của ngân hàng đã liên kết với hầu hết các ví điện tử Momo, ZaloPay, Moca, SenPay…, kẻ gian đã mời chào khách hàng vay vốn trực tuyến (online); đồng thời yêu cầu cung cấp các thông tin chứng minh nhân dân, số thẻ ngân hàng, ngày đến hạn, số mã dùng để xác minh thẻ Visa gồm thẻ ghi nợ và thẻ tín dụng (CVV), mật khẩu OTP…
Sau khi lấy được những thông tin, kẻ lừa đảo sẽ mở ví điện tử đối với khách hàng chưa từng mở ví, trộm tiền về ví điện tử và mua sắm, chuyển qua ví điện tử khác để chiếm đoạt.
Hiện, chưa thể khẳng định lỗi tại ai nhưng có một điều chắc chắn những khách hàng bị mất tiền sẽ phải chờ đợi 45 ngày để biết mình có được hoàn tiền hay không. Bên cạnh đó, một số ý kiến cũng cho rằng khi nạp tiền vào các ví điện tử như MoMo, ZaloPay, ViettelPay,… đều phải qua số thẻ, nếu người dùng làm lộ thẻ rất có thể đã bị kẻ xấu lợi dụng lấy tiền.
Trước những chiêu hack thẻ ngày càng tinh vi của tội phạm công nghệ, các ngân hàng đều khuyến cáo khách hàng của mình tuyệt đối không cung cấp mã OTP cho bất kỳ ai, kể cả nhân viên ngân hàng; không click vào đường link lạ.
Nhiều nguyên nhân gây lộ thông tin khách hàng; bảo mật kỹ tài khoản
Trước những “lùm xùm” này, ông Vũ Anh Tú – Giám đốc Công nghệ Tập đoàn FPT cho biết: “Khách hàng khi bị trừ tiền bất ngờ sẽ xót xa và có tâm lý hoang mang cho rằng, đó là do lỗ hổng bảo mật của ngân hàng. Thực tế có nhiều nguyên nhân gây lộ thông tin khách hàng, bao gồm cả trách nhiệm của những nhà thanh toán khi giám sát lỏng lẻo các giao dịch, những tổ chức thanh toán trung gian chưa đảm bảo an ninh thông tin ví khách hàng”.
Theo ông Vũ Anh Tú, rủi ro mà khách hàng hay gặp phải nhất đó là bị lộ số thẻ, ngày đến hạn và mã CVV/CVC2 là mã số bảo mật của thẻ tín dụng dùng trong thanh toán quốc tế, để xác minh quyền sở hữu thẻ của người dùng. Mã CVV/CVC gồm 3 chữ số được in ở phần dưới dải băng đen do ngân hàng phát hành thẻ cấp và quản lý giao dịch mỗi khi người dùng thanh toán hoặc chi tiêu trên thẻ và nó cũng thường được bố trí để mặt sau của thẻ đề phòng các camera quay lén chụp được số thẻ ngày đến hạn và cả CVV2.
Đề cập về những hoài nghi của một số khách hàng cho rằng, họ không bị mất thẻ, không nhận được thông báo OTP để xác thực giao dịch mà tiền trong tài khoản vẫn “bốc hơi”, đại diện Tập đoàn FPT cho rằng: Thời gian qua, rất nhiều ngân hàng đã áp dụng phương thức 3D-Secure (3DS), lớp bảo vệ tăng cường cho các chủ thẻ khi giao dịch trực tuyến. Với phương thức này, khi thực hiện các giao dịch trên các website thương mại điện tử, bên cạnh các bước xác thực thông thường, ngân hàng sẽ gửi thêm mật khẩu OTP qua tin nhắn hoặc email để khách hàng nhập và hoàn tất giao dịch.
Tuy nhiên, một số chuyên gia công nghệ cho rằng: Việc không áp dụng 3DS là do thỏa thuận giữa Visa, MasterCard với các doanh nghiệp cung cấp dịch vụ. Cụ thể: với các doanh nghiệp lớn đã được xác thực danh tính (verified merchant) như: Facebook, Google, Apple, Google…, các giao dịch đều không đòi hỏi mã OTP.
Một số chuyên gia công nghệ cho rằng: Có 4 "thủ đoạn" kẻ gian sử dụng để lấy cắp thông tin thẻ hiện nay: Lấy thông tin người dùng bằng cách hack trang web mua sắm, dịch vụ,… nơi khách hàng hay sử dụng thẻ tín dụng thanh toán; sử dụng máy quét dữ liệu thẻ (Skimming) tại nhà hàng, khách sạn, siêu thị khi khách hàng đưa thẻ thanh toán; đặt máy MP3 tại cây ATM để ghi lại tiếng động nhập mật khẩu và chuyển hóa thành các bộ số chính và mã pin thẻ của khách hàng; fishing hay dùng trang web/link giả để lấy thông tin bảo mật từ chính khách hàn.
"Phổ biến nhất là tội phạm thông qua Zalo/Facebook/số điện thoại để gửi thông tin cho quý khách thông quan các lời mời giả mạo (tặng quà, giải thưởng, khác phục sự cố…) để lừa khách hàng nhập thông tin thẻ, ngày đến hạn, CVV… từ đó dùng thông tin để thanh toán, hoặc rút tiền theo mục đích của họ. Trường hợp này thường chỉ có thể giải quyết với sự vào cuộc của ngân hàng phát hành thẻ, phối hợp với An ninh mạng và cơ quan công an", Giám đốc Công nghệ Tập đoàn FPT cho biết.
Để bảo vệ chính mình, ông Vũ Anh Tú chia sẻ: Các khách hàng tuyệt đối không để lộ thông tin số thẻ, ngày đến hạn và số CVV (thường ở mặt sau) của thẻ tín dụng cho bất kỳ ai; không tự nhập các thông tin này vào các đường link lạ được gửi đến email/số điện thoại/zalo/facebook… của mình, để tránh bị kẻ gian lợi dụng tiêu dùng qua thẻ; tuyệt đối không/hoặc rất hạn chế nhập và lưu thông tin về thẻ khi đăng ký các gói sản phẩm/dịch vụ mang tính chu kỳ/định kỳ, như mua dịch vụ của Apple, Google, Facebook…hay đăng ký hội viên VIP của LinkedIn, nạp ví (chơi game, mua dịch vụ) của Zalo, Moca...