Ngọc Yến
Writer
Vụ khách hàng Nguyễn C.S. bị mất 5 tỷ đồng chỉ trong chưa đầy 24 giờ sau khi mở tài khoản tại KienlongBank đang gây chú ý vì xuất hiện nhiều điểm bất thường, cả về kỹ thuật lẫn quy trình bảo mật.\
Tiếp đến là các dấu hiệu bất thường trong xác thực và kiểm soát giao dịch. Dữ liệu sinh trắc học do ngân hàng cung cấp chỉ là ảnh chụp lúc mở tài khoản, không có dữ liệu xác thực tại thời điểm thực hiện 11 giao dịch chuyển tiền với tổng số 5 tỷ đồng. Điều này khiến người ta nghi ngờ liệu các giao dịch có đúng do chính chủ thực hiện hay không. Đáng chú ý, các giao dịch lớn diễn ra dồn dập vào ban đêm, từ khoảng 1 giờ sáng, nhưng hệ thống lại không ghi nhận cảnh báo bất thường nào gửi tới khách hàng. Về mã OTP, ngân hàng khẳng định các giao dịch đều được xác thực hợp lệ qua số điện thoại đăng ký, trong khi khách hàng phủ nhận đã thực hiện thao tác và cho biết có dấu hiệu bất thường liên quan đến OTP.
Ngoài ra, còn có dấu hiệu cho thấy khả năng lừa đảo công nghệ cao từ trước khi mở tài khoản. Khách hàng cho biết mình được một người trên Facebook mời chào gửi tiền với lãi suất cao nên mới mở tài khoản. Phía ngân hàng cũng xác nhận rằng khi khách đến quầy nộp 50 triệu đồng để kích hoạt tài khoản, giao dịch viên đã cảnh báo về rủi ro lừa đảo từ các lời mời gọi lãi suất cao trên mạng. Tuy nhiên, sau đó khách hàng vẫn chuyển vào tài khoản số tiền lớn và rồi bị mất.
Hiện vụ việc đã được chuyển cho cơ quan công an tại Hà Nội để điều tra. Câu hỏi đang được dư luận quan tâm là đây là sự cố do lỗ hổng bảo mật từ phía ngân hàng hay do tài khoản của khách hàng bị chiếm quyền kiểm soát.
Trước hết là vấn đề thiết bị đăng nhập. Theo dữ liệu từ ngân hàng, ngay thời điểm mở tài khoản đã có hai chiếc iPhone cùng đăng nhập gần như đồng thời, thời gian lệch nhau cực nhỏ. Điều này bị cho là khó xảy ra, vì quy trình định danh điện tử eKYC phải thực hiện lần lượt từng bước như nhận diện khuôn mặt và quét NFC từ căn cước công dân, nên không thể diễn ra song song trên hai thiết bị. Ngoài ra, phía ngân hàng cho rằng khách hàng đã chuyển sang dùng thiết bị thứ hai để giao dịch, nhưng lại không có bằng chứng cho thấy đã thực hiện xác thực sinh trắc học khi đổi thiết bị, trong khi đây là yêu cầu bắt buộc.
Tiếp đến là các dấu hiệu bất thường trong xác thực và kiểm soát giao dịch. Dữ liệu sinh trắc học do ngân hàng cung cấp chỉ là ảnh chụp lúc mở tài khoản, không có dữ liệu xác thực tại thời điểm thực hiện 11 giao dịch chuyển tiền với tổng số 5 tỷ đồng. Điều này khiến người ta nghi ngờ liệu các giao dịch có đúng do chính chủ thực hiện hay không. Đáng chú ý, các giao dịch lớn diễn ra dồn dập vào ban đêm, từ khoảng 1 giờ sáng, nhưng hệ thống lại không ghi nhận cảnh báo bất thường nào gửi tới khách hàng. Về mã OTP, ngân hàng khẳng định các giao dịch đều được xác thực hợp lệ qua số điện thoại đăng ký, trong khi khách hàng phủ nhận đã thực hiện thao tác và cho biết có dấu hiệu bất thường liên quan đến OTP.
Ngoài ra, còn có dấu hiệu cho thấy khả năng lừa đảo công nghệ cao từ trước khi mở tài khoản. Khách hàng cho biết mình được một người trên Facebook mời chào gửi tiền với lãi suất cao nên mới mở tài khoản. Phía ngân hàng cũng xác nhận rằng khi khách đến quầy nộp 50 triệu đồng để kích hoạt tài khoản, giao dịch viên đã cảnh báo về rủi ro lừa đảo từ các lời mời gọi lãi suất cao trên mạng. Tuy nhiên, sau đó khách hàng vẫn chuyển vào tài khoản số tiền lớn và rồi bị mất.
Hiện vụ việc đã được chuyển cho cơ quan công an tại Hà Nội để điều tra. Câu hỏi đang được dư luận quan tâm là đây là sự cố do lỗ hổng bảo mật từ phía ngân hàng hay do tài khoản của khách hàng bị chiếm quyền kiểm soát.
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
