KungfuPHP

Cảnh báo mất tiền trong tài khoản ngân hàng: Khi “thiết bị lạ” có thể rút sạch tiền chỉ sau một đêm

by · Published · Updated

Cảnh báo mất tiền trong tài khoản ngân hàng

Trong nhiều năm, người dùng luôn tin rằng tiền gửi trong ngân hàng là nơi an toàn nhất. Chúng ta quen với suy nghĩ rằng chỉ cần có mật khẩu, mã OTP và xác thực sinh trắc học thì tài khoản gần như “bất khả xâm phạm”.

Nhưng thực tế đang cho thấy một nguy cơ mới đáng sợ hơn nhiều:

Tiền có thể biến mất khỏi tài khoản mà chủ tài khoản không hề nhận được OTP, không thực hiện giao dịch, và vẫn thấy điện thoại của mình hoạt động bình thường.

Điều đáng lo ngại là trong một số vụ việc gần đây, hệ thống ngân hàng ghi nhận:

  • tài khoản được mở online qua eKYC
  • hai thiết bị cùng được gắn vào tài khoản
  • thiết bị thứ hai thực hiện giao dịch
  • sinh trắc học vẫn báo “thành công”
  • nhưng người mất tiền khẳng định chưa từng xác nhận giao dịch đó

Đây không còn là kiểu lừa đảo cũ.

Đây có thể là một hình thức chiếm quyền tài khoản tinh vi ngay từ lúc tài khoản vừa được tạo ra.

Miễn trừ trách nhiệm: Bài viết này chỉ mang tính chất chia sẻ thông tin và góc nhìn phân tích bảo mật cá nhân từ các nguồn công khai, không bảo đảm rằng nội dung chính xác, người đọc cần xác thực lại trước mọi thông tin. Nội dung không phải kết luận chính thức của cơ quan điều tra và không nhằm quy kết trách nhiệm cho bất kỳ cá nhân hay tổ chức nào. Mọi đánh giá cuối cùng cần dựa trên hồ sơ kỹ thuật và kết luận của cơ quan có thẩm quyền.

Bài viết phân tích theo quan điểm cá nhân, tham khảo nguồn thông tin từ bài báo “Vụ ‘bốc hơi’ 5 tỷ trong tài khoản: Dấu hiệu bất thường mã OTP, sinh trắc học” của báo Tiền Phong.

Khi tiền mất mà chủ tài khoản không hề biết

Kịch bản thường bắt đầu rất bình thường.

Người dùng:

  • tải ứng dụng ngân hàng chính thức
  • mở tài khoản online qua eKYC
  • xác minh khuôn mặt
  • nhập OTP
  • tài khoản hoạt động bình thường

Sau đó:

  • nạp tiền vào tài khoản
  • kiểm tra số dư vẫn hiển thị đầy đủ
  • không thấy dấu hiệu bất thường

Nhưng vài giờ sau:

tài khoản phát sinh hàng loạt giao dịch chuyển tiền ra ngoài.

Điều khiến nhiều người sốc là:

  • không có chuỗi OTP liên tiếp
  • không có thông báo nghi ngờ
  • không có cuộc gọi xác minh
  • điện thoại của khách hàng vẫn nằm yên tại chỗ

Ngân hàng lại cho biết: “Các giao dịch đã được xác thực sinh trắc học đầy đủ.”

Gợi ý: Bạn đang quan tâm đến Bitcoin? Tìm hiểu ngay Bitcoin Toàn Tập Cho Người Mới nhé!

Nghe qua tưởng vô lý.

Nhưng về mặt kỹ thuật, điều này hoàn toàn có thể xảy ra.

“Biometric success” chưa chắc là chính chủ

Rất nhiều người hiểu nhầm rằng:

xác thực sinh trắc học thành công = chính chủ xác nhận

Thực tế không phải lúc nào cũng vậy.

Trong nhiều ứng dụng ngân hàng hiện nay, sinh trắc học chỉ xác minh:

  • người đang cầm điện thoại
  • người mở được Face ID
  • người mở được vân tay trên thiết bị

Điều đó chỉ chứng minh:

có ai đó mở được chiếc điện thoại đang đăng nhập

Nó chưa chắc chứng minh:

đó là đúng chủ tài khoản ngân hàng

Nếu một thiết bị lạ đã được gắn vào tài khoản, người cầm thiết bị đó chỉ cần:

  • dùng Face ID của chính họ
    hoặc
  • vân tay của chính họ

là hệ thống có thể ghi nhận:

Biometric success = true

trong khi chủ tài khoản thật hoàn toàn không hề biết.

Điểm nguy hiểm nhất: Hai thiết bị cùng được gắn vào tài khoản

Một trong những dấu hiệu kỹ thuật đáng lo ngại nhất là:

hệ thống ghi nhận hai thiết bị cùng được đăng ký vào tài khoản gần như cùng thời điểm.

Ví dụ:

  • Thiết bị 1: điện thoại khách hàng
  • Thiết bị 2: thiết bị lạ
  • Thời gian đăng ký gần như trùng nhau

Điều này cho thấy một trong hai khả năng:

Khả năng thứ nhất: Khách hàng vô tình cấp quyền

Người dùng có thể đã:

  • đọc OTP cho kẻ gian
  • làm theo hướng dẫn của đối tượng lừa đảo
  • vô tình xác nhận thêm thiết bị mới

Trong mắt hệ thống, thiết bị kia trở thành thiết bị hợp lệ.

Khả năng thứ hai: Hệ thống bind sai thiết bị

Trong một số trường hợp nghiêm trọng hơn:

  • một mã OTP
  • một lần eKYC
  • nhưng backend lại tạo ra hai thiết bị được tin cậy

Nếu điều này xảy ra, rủi ro không còn chỉ nằm ở khách hàng.

Nó có thể là vấn đề của hệ thống.

Vì sao không có OTP mà tiền vẫn bị rút?

Nhiều người thắc mắc:

“Không có OTP thì làm sao chuyển tiền được?”

Câu trả lời là:

OTP chỉ dùng ở bước đầu

Một số ứng dụng ngân hàng chỉ gửi OTP khi:

  • kích hoạt tài khoản
  • đăng ký thiết bị

Sau khi thiết bị đã được hệ thống tin cậy, các giao dịch tiếp theo có thể dùng:

  • soft OTP trong app
  • chữ ký số nội bộ
  • Face ID trên thiết bị
  • mã bảo mật nội bộ

Nghĩa là:

chỉ một OTP ban đầu có thể vô tình trao chìa khóa cho cả tài khoản.

Sau đó, thiết bị kia có thể giao dịch mà không cần thêm SMS.

Tại sao khách hàng vẫn không phát hiện?

Đây mới là phần đáng sợ nhất.

Thiết bị thật của khách hàng vẫn:

  • đăng nhập được
  • xem số dư được
  • sử dụng bình thường

Trong khi đó:

thiết bị lạ cũng đang:

  • theo dõi tài khoản
  • chờ tiền vào
  • thực hiện giao dịch

Điều này khiến nạn nhân không hề nghi ngờ rằng:

tài khoản của mình đang bị chia sẻ với một thiết bị khác.

Lỗ hổng nằm ở đâu?

Nếu nhìn từ góc độ bảo mật ngân hàng số, có 3 điểm cần đặt câu hỏi.

1. Vì sao thiết bị lạ được thêm vào?

Ngân hàng cần chứng minh:

  • thiết bị đó được thêm bằng cách nào
  • từ IP nào
  • dùng mã OTP nào
  • ai xác nhận

Nếu không giải thích được rõ: trách nhiệm có thể không hoàn toàn thuộc về khách hàng.

2. Vì sao giao dịch bất thường không bị chặn?

Một tài khoản:

  • mới mở trong ngày
  • phát sinh tiền lớn
  • chuyển nhiều giao dịch ban đêm
  • sang tài khoản mới

Đây là mô hình cực kỳ rủi ro.

Một hệ thống tốt phải:

  • cảnh báo
  • tạm dừng
  • yêu cầu xác minh lại

Nếu không: đó là dấu hỏi lớn về kiểm soát rủi ro.

3. Sinh trắc học đang xác minh ai?

Ngân hàng cần làm rõ:

hệ thống đang xác minh khuôn mặt của chủ tài khoản hay chỉ xác minh người đang cầm thiết bị?

Đây là hai khái niệm hoàn toàn khác nhau.

Người dùng cần làm gì để tự bảo vệ mình?

Dù lỗi thuộc về ai, người dùng vẫn nên chủ động phòng ngừa.

Không đọc OTP cho bất kỳ ai

Không ai từ ngân hàng được phép yêu cầu bạn đọc OTP qua điện thoại.

Kiểm tra danh sách thiết bị đăng nhập

Nếu ứng dụng ngân hàng hỗ trợ:

  • xem thiết bị đang đăng nhập
  • đăng xuất thiết bị lạ

hãy kiểm tra định kỳ.

Không mở tài khoản theo hướng dẫn từ người lạ

Đặc biệt khi có lời mời:

  • lãi suất cao
  • đầu tư
  • hoàn tiền
  • hỗ trợ tài chính

Không chuyển tiền lớn ngay sau khi mở tài khoản

Nên:

  • dùng số tiền nhỏ trước
  • kiểm tra hoạt động vài ngày
  • đổi mật khẩu và PIN ngay sau khi kích hoạt

Bật mọi cảnh báo có thể

Nên bật:

  • push notification
  • email giao dịch
  • cảnh báo đăng nhập thiết bị mới

Điều đáng sợ nhất không phải hacker

Điều đáng sợ nhất là:

nhiều người vẫn tin rằng chỉ cần OTP là an toàn.

Trong thực tế hiện nay, nguy hiểm không còn nằm ở việc hacker “hack ngân hàng”.

Nguy hiểm nằm ở chỗ:

hệ thống có thể công nhận nhầm một thiết bị lạ là chủ tài khoản hợp lệ.

Và khi điều đó xảy ra:

  • OTP không còn ý nghĩa
  • sinh trắc học không còn chắc chắn
  • tiền có thể biến mất trong vài phút

Kết luận

Bài học lớn nhất từ những vụ việc như vậy là:

Ngân hàng số không chỉ cần xác minh thiết bị.
Ngân hàng số phải xác minh đúng con người.

Khi hệ thống chỉ kiểm tra:

  • điện thoại hợp lệ
  • vân tay hợp lệ
  • Face ID hợp lệ

mà không xác minh:

  • đúng chủ tài khoản
  • đúng ý chí giao dịch

thì “biometric success” đôi khi chỉ là:

một cảm giác an toàn giả tạo.

Và với tài khoản chứa toàn bộ tài sản của một con người, một cảm giác an toàn giả tạo có thể phải trả giá bằng cả cuộc đời tích góp.

Từ khóa bài viết: mất tiền trong tài khoản ngân hàng, lừa đảo ngân hàng online, tài khoản ngân hàng bị hack, mất tiền không nhận OTP, bảo mật mobile banking, thiết bị lạ đăng nhập ngân hàng, sinh trắc học ngân hàng

Chia sẻ nhanh bài viết ↓

Hieu

"Những người điên rồ tới mức nghĩ mình có thể thay đổi được thế giới chính là những người có thể làm được điều đó" _ Steve Job

Subscribe
Notify of
guest

0 Bình Luận
Newest
Oldest Most Voted
Inline Feedbacks
Xem Tất Cả Bình Luận
0
Bạn có ý kiến về bài viết, hãy để lại bình luận nhé!x
()
x