(CATP) Thời gian gần đây, tội phạm công nghệ cao dùng thiết bị phát sóng để chèn tin nhắn giả mạo vào chính tên thương hiệu mà các ngân hàng vẫn sử dụng gửi tin nhắn giao dịch, biến động số dư… đã khiến một số người sau khi truy cập vào đường link đã bị mất hàng tỷ đồng.
Khác với những vụ mất tiền trước đây, phần lớn lỗi là do khách hàng bấm vào các đường link cung cấp bởi tin nhắn SMS từ số máy lạ, một số người mất tiền nhận được tin nhắn trong chính tên thương hiệu của ngân hàng. Vậy trong trường hợp trên, những pháp nhân nào phải chịu trách nhiệm?
Trao đổi với chúng tôi, bà Trương Thị Cẩm Ly (ngụ TPHCM) cho biết, lúc 16 giờ 52 ngày 26-11-2022, bà nhận được tin nhắn từ tên thương hiệu (Brand Name) Ngân hàng TMCP Ngoại thương Việt Nam (Vietcombank) gửi tin nhắn đến điện thoại của bà dùng đăng ký khi mở tài khoản tại đây với nội dung: "Tài khoản của bạn đang đăng nhập trên thiết bị khác. Nếu không phải bạn đang đăng nhập vui lòng vào http://vietcombank.vn-g88 để sửa chữa đổi mật khẩu hoặc thoát khỏi thiết bị kia". Thấy vậy, bà Ly đã bấm vào đường link trên thì nhận được tin nhắn: "Vietcombank nhận được yêu cầu kích hoạt lại ứng dụng VCB...".
Sau khi làm theo hướng dẫn, đến 17 giờ 41 cùng ngày, bà Ly nhận được tin nhắn từ Brand Name Vietcombank với nội dung thông báo tài khoản của bà đã bị tất toán khoản tiền tiết kiệm online là 3,4 tỷ đồng. Tiếp theo là một loạt tin nhắn thể hiện chi tiết các giao dịch. Quá bất ngờ, bà Ly liền gọi cho tổng đài Vietcombank để yêu cầu khóa tài khoản, nhưng kẻ gian đã kịp chuyển số tiền 2.994.000.000 đồng từ tài khoản của bà đến các tài khoản 09353615... của Nguyen Le Thang mở tại Ngân hàng VB bank; 0148779... của Phan Thi Hong Nhung mở tại VIB và 06710004... của Nguyen Thanh Nhan.
Ngày 28-11-2022, bà Ly đến trụ sở Vietcombank để làm rõ. Tại đây, bà được nhân viên ngân hàng đưa cho tờ giấy có nội dung: "Yêu cầu hỗ trợ khẩn cấp" nhưng sau khi điền tất cả các thông tin cần thiết, bà không ký vào tờ giấy trên bởi lẽ trên giấy "Yêu cầu hỗ trợ khẩn cấp" của Vietcombank cung cấp theo mẫu có 4 mục ghi chú với những thông tin có thể dẫn tới bất lợi cho khách hàng.
Trong đó, mục II ghi: "Tôi xin cam kết tự chịu trách nhiệm trong trường hợp Vietcombank xác định tôi không tuân thủ các quy định về an toàn bảo mật thông tin cũng như thực hiện thao tác theo các hướng dẫn giao dịch an toàn trên các kênh ngân hàng điện tử của Vietcombank và chấp nhận mọi rủi ro, tổn thất về tài sản (số tiền trên bất kỳ tài khoản nào của tôi tại Vietcombank) có thể xảy ra do việc tôi không tuân thủ”. Mục IV của ghi chú cũng ghi: "Tôi xin cam kết Vietcombank hoàn toàn miễn trách trước các tranh chấp liên quan đến khoản tiền tra soát này...".
Tin nhắn chứa link độc một khách hàng Vietcombank nhận được từ tên thương hiệu của ngân hàng này
Theo bà Ly, có dấu hiệu cho thấy tội phạm ngân hàng đã xâm nhập, chiếm quyền kiểm soát Brand Name trên hệ thống viễn thông để thực hiện gửi tin nhắn vì tin nhắn chứa link độc được gửi trên Brand Name đến sau những tin nhắn biến động số dư mà Brand Name của Vietcombank đã gửi trước đó. Sau đó, cũng chính Brand Name này gửi biến động số dư nên bà mới biết để gọi cho tổng đài yêu cầu khóa tài khoản (?!). Nhằm tìm hiểu vụ việc, chúng tôi đã liên hệ với một cán bộ ngân hàng Vietcombank thì vị cán bộ này khẳng định rằng bảo mật của Vietcombank không có lỗ hổng và việc giả mạo Brand Name đã được Bộ Công an cảnh báo...
Được biết, việc đối tượng lừa đảo sử dụng thiết bị phát sóng để chèn tin nhắn vào tên thương hiệu của các ngân hàng gửi xen lẫn các tin nhắn giao dịch, biến động số dư... khiến người dùng hiểu nhầm là một thủ đoạn mới của tội phạm. Để đánh vào tâm lý, tội phạm dùng mọi tin nhắn gây sốc như: "Vietcombank trân trọng thông báo tài khoản của quý khách đã bị khóa. Đăng nhập http//: vnvietcombank.cc để xác nhận" hoặc "Tài khoản của bạn đang đăng nhập trên thiết bị khác. Nếu không phải bạn đang đăng nhập vui lòng vào http://vietcombank.vn-g88".
Để đối phó với thủ đoạn trên, thời gian qua một số ngân hàng như Agribank, SCB... đã có những khuyến cáo khách hàng không bấm vào link cung cấp trong tin nhắn SMS, kể cả đường dẫn được gửi từ tên thương hiệu của ngân hàng. Đồng thời cho biết trong trường hợp người dùng lỡ bấm vào link lừa đảo thì có thể thao tác bằng cách nhập sai mật khẩu đăng nhập vào ngân hàng điện tử 5 lần để hệ thống tự động khóa ứng dụng nhằm hạn chế kẻ gian lấy cắp thông tin hoặc liên hệ trực tiếp với tổng đài của ngân hàng.
Trao đổi với chúng tôi, luật gia Nguyễn Thanh Lương - Hội luật gia TP.Thủ Đức cho rằng: "Nếu tin nhắn chứa link độc đến từ một số lạ hoặc một tên thương hiệu giả mạo nào đó tức là bên thứ ba thì không nói làm gì. Nhưng nếu nó xuất phát từ tên thương hiệu của chính ngân hàng thì ngân hàng sẽ phải xem xét, rà soát lại trách nhiệm của mình vì tin nhắn đó dễ làm cho người ta nhầm lẫn. Mặt khác, ngân hàng cũng cần đặt vấn đề với nhà mạng vì có dấu hiệu các biện pháp bảo mật của nhà mạng bị rò rỉ, không đủ bảo vệ các tên thương hiệu của ngân hàng... Trong trường hợp này, tên thương hiệu của ngân hàng thì ngân hàng và nhà mạng cung cấp dịch vụ viễn thông quản lý chứ người dân đâu có quản lý được. Còn đối tượng lừa đảo đương nhiên sẽ chịu trách nhiệm hình sự".
Thiết nghĩ, đã đến lúc các ngân hàng và bên cung cấp dịch vụ viễn thông cần phải có các biện pháp bảo mật để khách hàng yên tâm sử dụng dịch vụ ngân hàng.