Vietcombank mô phỏng lại quá trình mất tiền
Ngày 14/8, Vietcombank hoàn tất một clip mô phỏng lại giao dịch và quá trình dẫn đến mất quyền kiểm soát tài khoản của khách hàng Hoàng Thị Na Hương.
Theo mô tả của ngân hàng, có thể hình dung trong quá trình thực hiện một giao dịch qua Internet Banking, chị Na Hương đã bị đối tượng dẫn dụ vào một trang web giả mạo Vietcombank nhưng có tên miền và đường dẫn hoàn toàn khác.
Trước giao diện y hệt của ngân hàng, chị Hương đã vô tình khai báo tài khoản và password (mật khẩu). Cùng thời điểm, đối tượng đã vào trang web thật của ngân hàng và thực hiện giao dịch song song như chị Hương đang khai báo với trang web giả.
Khi mã xác thực OTP được gửi đến điện thoại của chính thân chủ (xác nhận giao dịch), chị Hương lại lần nữa vô tình khai báo mã xác thực đó vào trang web trên.
Thời điểm đó, đối tượng đã kịp có mã xác thực và xâm chiếm kiểm soát tài khoản của chị Na Hương song song với chị.
“Quan điểm của tôi trong sự việc này, Vietcombank có thể chia sẻ mất mát với khách hàng, ví như mỗi bên chịu một nửa tổn thất vì cả ngân hàng và khách hàng đều có lỗi.
Khách hàng đã bất cẩn truy cập vào trang web của hacker và để lộ các thông tin tài khoản, mật mã, kể cả việc vô tình chuyển sang xác thực bằng Smart OPT cho hacker; Ngân hàng thì thiếu cảnh báo, xác thực an toàn cho khách hàng khi chuyển đổi xác thực SMS OTP sang Smart OTP”.
Lãnh đạo một ngân hàng
Trao đổi với chúng tôi, ông Đào Minh Tuấn, Phó Tổng giám đốc phụ trách công nghệ Vietcombank giữ quan điểm ngân hàng đã công bố ngày 12/8: Sự việc xảy ra do ban đầu chị Hương không may dính lỗi sơ ý bất cẩn.
Để người ngoài cuộc có thể hình dung “lỗi” nằm ở đâu, vị đại diện này diễn giải:
Để đi vào tài khoản, ngân hàng đã trao cho mỗi chủ tài khoản một chùm chìa khoá mà trong đó mã xác thực OTP được ngân hàng gửi đến sau cùng coi như “chìa khoá két”, còn các thông tin khai báo như mã thẻ, mật khẩu... chính là những cánh cửa bảo vệ bên ngoài.
Tuy nhiên, ngay cả khi chìa khóa lớp các cửa đã bị mở, và chính chìa khóa két chủ nhân cũng không giữ được, vô tình trao cho tên trộm thì sẽ không có cách nào giữ được quyền kiểm soát độc quyền nữa. Và rủi ro xảy đến.
“Đầu tiên phải khẳng định là hệ thống của Vietcombank không bị hacker tấn công, đây cũng là điều Vietcombank luôn cam kết. Hiện, hệ thống Vietcombank an toàn bởi có nền tảng an toàn; phần mềm an toàn.
Trường hợp này, chị Hương đã bị Fishing (mất mật khẩu cơ bản) và hacker đã truy cập nhiều lần vào tài khoản.”, ông Tuấn nói.
Cả hai đều có lỗi và trách nhiệm?
Phía Vietcombank cũng đang sốt ruột chờ thông tin cơ quan điều tra công bố. Tuy nhiên, câu hỏi dư luận quan tâm nhất lúc này đó là trong câu chuyện trên, lỗi của khách hàng đến đâu, có hay không lỗi của ngân hàng?
Và với số tiền 200 triệu đã “bay” khỏi tài khoản của chị Hương (thực hiện qua giao dịch ATM bên Malaysia còn 300 triệu chuyển khoản Vietcombank chặn được), tổn thất này sẽ chia đều hay thuộc về ai?
Ông Nguyễn Đình Thắng, Phó Chủ tịch Hội Tin học Việt Nam, thành viên HĐQT LienvietPostbank, Chủ tịch Ủy ban công nghệ của ngân hàng này cho rằng: Xét một cách khách quan, lỗi đầu tiên của vụ việc thuộc về chị Na Hương khi vô tình để lộ thông tin tài khoản.
Nhưng sau đó, việc Vietcombank cho khách hàng chủ động chuyển từ SMS OTP sang Smart OTP có thể vô hình chung đã trở thành kẽ hở khiến chủ tài khoản chuyển thông tin vào đó. (OTP: One Time Password, tức mật khẩu sử dụng 1 lần.
OTP là xác nhận giao dịch của ngân hàng trên Internet. VCB Smart OTP là ứng dụng được phát triển bởi Vietcombank chạy trên điện thoại di động tạo ra mã xác thực khi thực hiện giao dịch trên các dịch vụ của Vietcombank.)
“Tại ngân hàng tôi có một số nguyên tắc rõ ràng như không cho truy xuất tài khoản sau 12 giờ đêm quá 2 lần và mỗi lần không quá 10 triệu đồng.
Vào ban ngày, khách hàng rút ATM không quá 4 lần, mỗi lần không quá 5 triệu đồng. Nếu chủ tài khoản đi nước ngoài thì phải vào cài đặt xác nhận lại với ngân hàng.
Ngoài ra cứ 10 ngày một lần, ngân hàng khuyến cáo khách hàng đổi mật khẩu còn nếu truy cập từ SMS sang Smart OTP cần xác nhận lại từ email”- ông Thắng khẳng định.
Theo ông Thắng, hiện lỗ hổng lớn nhất của các ngân hàng chính là thẻ tín dụng. Rất nhiều người khi thanh toán mua bán hay đi nước ngoài, chỉ cần quẹt thẻ một lần là có thể bị ăn cắp thông tin tên chủ thẻ, số tài khoản thậm chí bị các đối tượng dùng thẻ trắng sao chép lại.
Vấn đề này ngay cả các tổ chức thẻ lớn trên thế giới như Visa, Master card cũng bị dính rất nhiều. Nhất là khi Ebay- trang mua bán trực tuyến lớn nhất trên mạng cho phép chỉ khai báo tên và chủ tài khoản thẻ.
“Còn để đề phòng, mỗi lần đi nước ngoài về, tôi đều chủ động đổi thẻ mới, thà mất phí 300 ngàn đồng còn hơn mất tiền trăm triệu”, ông nói.
Một lãnh đạo cấp cao của Vietcombank nhìn nhận: “Trong kỷ nguyên số, bối cảnh công nghệ ngân hàng điện tử, ngân hàng cũng như nhiều doanh nghiệp đang là đối tượng bị tấn công.
Hiện hằng ngày hàng giờ, hệ thống của chúng tôi chịu rất nhiều sự tấn công ở bên ngoài nhưng hệ thống đều luôn xử lý được. Sự cố xảy ra vừa qua, cả ngân hàng và khách hàng đều là người bị hại. Chúng tôi cũng đang mong cơ quan công an sẽ làm rõ vụ việc”, vị này cho biết.