Bóc trần chiêu lừa tiền tinh vi qua website giả danh ngân hàng Vietcombank

Kênh 14 - 21/08/2015, 08:23

Gửi tin nhắn trúng giải thưởng rồi yêu cầu chuyển khoản qua trang web có giao diện giống với webiste chính thức của ngân hàng Vietcombank, ăn cắp mật khẩu và lén lút lập lệnh rút toàn bộ số dư trong tài khoản... là chiêu lừa đảo mới đầy tinh vi mà một khách hàng gần đây vừa gặp phải tại Hà Nội.

"Bẫy lừa" tinh vi

Mới đây, nhiều diễn đàn mạng xã hội liên tục chia sẻ câu chuyện về thủ đoạn lừa đảo tinh vi qua website giả dạng ngân hàng Vietcombank. Câu chuyện do facebooker T.Đ chia sẻ sau đó đã nhận được sự quan tâm của rất nhiều người. Theo ý kiến của nhiều cư dân mạng, nếu những điều facebooker T.Đ chia sẻ là đúng sự thật thì thủ đoạn lừa đảo của nhóm tội phạm lần này vô cùng tinh vi và có tổ chức.

Thông tin về vụ lừa đảo liên tục được chia sẻ trên mạng xã hội

Theo lời facebooker này kể lại, chị T - một người bạn cùng công ty của T.Đ, sau khi nhận được tin nhắn trúng thưởng lớn qua facebooke đã nghe theo lời của đối tượng lừa đảo và suýt bị mất trắng toàn bộ số tiền có trong tài khoản. Theo đó, nhóm đối tượng này đã dụ dỗ chị T. đăng nhập theo một đường link (do nhóm này gửi cho chị T. qua facebook) để ngân hàng Vietcombank xác thực và chuyển tiền thưởng đến tài khoản của chị T..

"Trang web này có giao diện giống hệt của Vietcombank nên chị này không nghi ngờ gì nhập ngay tên truy cập và mật khẩu (nó lấy được ngay thông tin này và đăng nhập vào tài khoản của mình trên trang Vietcombank thật). Sau khi nhập mật khẩu nó lại yêu cầu nhập tiếp số OTP (mã giao dịch), khi ấy chị này mới thấy lạ và xem lại đường link thì mới tá hỏa ra là nó không phải web đúng của Vietcombank", facebooker T.Đ kể lại.

Ngay sau đó, nạn nhân đã thực hiện thao tác đổi mật khẩu tài khoản ngân hàng internet-banking nhưng không có kết quả. Đối tượng lừa đảo liên tục lập lệnh chuyển khoản toàn bộ số tiền của chị sang tài khoản của chúng và hệ thống ngân hàng Vietcombank lúc này vẫn trả về tin nhắn yêu cầu chị T. nhập mã OPT để hoàn tất giao dịch.

"Chị này sau khi đã đổi mật khẩu vẫn nhận được thông báo giao dịch chuyển tiền như vậy liền gọi lên ngân hàng báo khóa thẻ. Bọn nó sau đấy còn gan đến nỗi gọi lại cho chị vẫn giọng ngọt ngào tử tế bảo chị đọc mã OTP cho chúng để hoàn tất nhận thưởng", facebooker T.Đ nói.

T.Đ còn đưa ra lời cảnh báo:"Sau vụ tai nghe mắt thấy này mới biết bọn lừa đảo nó rất tinh vi và nhanh lắm, nên mọi người làm gì nhất là liên quan đến thông tin cá nhận, tiền, thông tin tài khoản email, ngân hàng v.v... phải tuyệt đối cẩn trọng khi giao ra ngoài".

Thông tin về vụ việc nhận được sự quan tâm của rất nhiều người.

Trước thông tin về hình thức lừa đảo tinh vi này, chúng tôi đã liên hệ với facebooker T.Đ và được biết, nạn nhân trong vụ việc này là chị Đ.T.Nhung (nhân viên văn phòng làm việc tại Hà Nội). Chị Nhung kể lại, sáng ngày 17/8, chị có nhận được yêu cầu của một người bạn tên Thu làm cùng cơ quan, yêu cầu gửi giúp khoản tiền 1.500.000 đồng để thanh toán phí lĩnh thưởng.

"Tôi thấy chị ấy nói mình không có tài khoản internet-banking nhưng lại muốn chuyển tiền online cho một số tài khoản nào đó để thanh toán phí nhận giải thưởng. Vì là chỗ chị em với nhau nên tôi hoàn toàn tin tưởng và đã làm theo yêu cầu".

Giao dịch chuyển 1,5 triệu đồng (đến tài khoản của nhóm lừa đảo) mà chị Nhung đã thực hiện theo yêu cầu của chị Thu. Ảnh: NVCC

Sau khi giao dịch này được khớp lệnh thành công, đối tượng lừa đảo tiếp tục gọi điện và gửi cho chị Thu một đường link, yêu cầu đăng nhập vào đó để ngân hàng Vietcombank xác thực lệnh chuyển tiền và trả về tiền thưởng cho chị Thu. Chị Thu gửi lại đường link này cho chi Nhung. Không nghi ngờ gì, chị Nhung dùng tài khoản ngân hàng Vietcombank của mình đăng nhập vào webiste giả mạo (đường link mà nhóm đối tượng gửi khi click chuột vào sẽ hiện ra trang web có giao diện rất giống với website thật của Vietcombank). Tuy nhiên, sau khi đăng nhập hoàn tất, website ngân hàng Vietcombank không điều hướng chị Nhung đến giao diện thể hiện chi tiết giao dịch như bình thường mà tiếp tục yêu cầu chị nhập mã OTP đã gửi qua tiếp thoại để hoàn tất việc xác thực đăng nhập.

Khi xem tin nhắn, chị Nhung tá hỏa phát hiện có ai đó đang dùng user và password của mình để tất toán toàn bộ số tiền tiết kiệm trị giá 76 triệu đồng trong tài khoản. Biết mình bị lừa, chị Nhung lập tức đổi mật khẩu truy cập internet-banking nhưng lúc này, việc làm đó đã không còn tác dụng.

Chúng đã chiếm được thông tin tài khoản của chị Nhung nên vẫn tiếp tục lập lệnh chuyển khoản và phía Vietcombank liên tục trả về tin nhắn yêu cầu nhập OTP để hoàn thành giao dịch. Trong khi đó, nhóm lừa đảo tiếp tục cầm chân chị Thu nhằm kéo dài thời gian nắm giữ tài khoản trước khi nạn nhân kịp thực hiện lệnh khóa tài khoản.

"Tuy nhiên, chúng có một điểm không may là người nhận điện thoại và người chuyển tiền là hai người khác nhau nên ngay trong lúc chị Thu vẫn bị kìm chân, tôi lập tức gọi điện yêu cầu ngân hàng khóa tài khoản".

2-e7559

Giao diện trang web giả mạo website chính thức của ngân hàng Vietcombank.

that-17b28

Website thật của Vietcombank. Nhìn bề ngoài, nó khá giống với trang web giả mạo.

Untitled1-93e44

Tuy nhiên, ở phần tên miền của website chính thức bao giờ cũng có số hiệu đăng ký hoạt động website ngân hàng trực uyến.

s0-sanh-073df

Một điểm nữa là ô đăng nhập user và password của website giả mạo (bên trái) thường bị lỗi xuống dòng, không được chỉn chu như trang web chính thức (bên phải).

Theo lời chị Nhung, nhóm lừa đảo này rất trơ trẽn và tinh vi. Khi chị Nhung đã yêu cầu khóa tài khoản, bọn chúng vẫn tiếp tục giả danh nhân viên ngân hàng Vietcombank, gọi điện đến yêu cầu chị cung cấp số chứng minh nhân dân, họ tên đầy đủ để hoàn thành yêu cầu khóa tài khoản. "

Họ nói là nhân viên ngân hàng nhưng lại gọi bằng số di động và mặc dù, ở miền Bắc có nhiều chi nhanh của Vietcombank nhưng người gọi cho tôi lại nói giọng miền Nam. Tôi đã hỏi một vài câu để bóc mẽ chúng và lập tức đầu dây bên kia cúp máy rồi tiếp tục quay sang tác động đến tâm lý của chị Thu, bạn tôi".

Capture-073df

Nội dung tin nhắn lừa đảo mà chị Thu đã nhận được.

Thong tin ve trang web gia mao-073df

Thông tin về trang web giainhat.vn được nhóm đối tượng lừa đảo dựng lên để đăng tải các thông tin về giải thưởng trị giá lớn nhằm đánh lừa chị Thu. ảnh: NVCC

1-073df

2-073df

Tuy nhiên, hiện tại, toàn bộ các trang web mà nhóm đối tượng này cung cấp đã không thể truy cập được. Số điện thoại gọi cho chị Thu hiện cũng đã bị khóa. Ảnh chụp màn hình.

Một điều lạ mà chị Nhung thắc mắc là sau khi lệnh khóa tài khoản đã được ngân hàng xác nhận thành công, điện thoại của chị vẫn nhận được tin nhắn từ phía Vietcombank yêu cầu nhập mã OTP để hoàn thành giao dịch tất toán tài khoản. "Đối tượng tiếp tục gọi điện, lần này chúng đã bị bóc mẽ nên thẳng thừng dọa tôi, nếu không đọc OTP cho chúng thì chỉ 30 phút nữa, toàn bộ số tiền của tôi sẽ bị mất trắng", chị Nhung hốt hoảng nhớ lại. Quá lo sợ, chị Nhung lập tức tới PGD Vietcombank trên phố Nguyễn Du, yêu cầu được rút toàn bộ số tiền này thành tiền mặt và hủy mọi đăng ký tín dụng tại ngân hàng này.

IMG_0600-073df

IMG_0601-073df

Điện thoại của chị Nhung dồn dập nhận được tin nhắn yêu cầu nhập mã OTP để hoàn thành giao dịch tất toán tài khoản. Ảnh: NVCC

"Đến bây giờ đồng tiền đã liền với ruột rồi mà tôi vẫn còn chưa hết hoang mang khi nhớ lại vụ việc vừa qua", chị Nhung nói.

Ngân hàng Vietcombank nói gì về vụ lừa đảo tinh vi?

Trước thông tin về hành vi lừa đảo ngày một tinh vi của nhóm tội phạm công nghệ cao này, chúng tôi đã có cuộc trao đổi với ông Nguyễn Hữu Kiên, Phó phòng Truyền thông ngân hàng Vietcombank để tìm hiểu chi tiết hơn về cách thức lừa đảo của nhóm đổi tượng nêu trên.

Theo lời ông Kiên, hồi cuối năm 2013, hệ thống chăm sóc khách hàng 24/7 của ngân hàng Vietcombank từng tiếp nhận thông tin về một vụ việc tương tự. Theo phân tích hiện tượng mạo danh năm 2013 thì cơ chế ăn cắp thông tin của khách hàng là thực hiện thao tác hack ngay trên máy tính của họ và dùng thủ đoạn để yêu cầu khách hàng cung cấp mã OTP nhằm lấy cắp tiền của khách hàng.

Về vụ việc lừa đảo trên, ông Kiên cho biết cũng đã có trường hợp tương tự xảy ra ngân hàng ghi nhận được: "Đầu tháng 8, ngân hàng Vietcombank cũng tiếp nhận phản ánh của 1 khách hàng về việc lừa đảo qua tin nhắn facebook. Đó là một thông báo trúng thường kèm theo link của website giả mạo (địa chỉ: giainhat.vn/vietcombank). Khi khách hàng click vào đường link thì hiện ra hình ảnh trang web giống hệt website của Vietcombank. Sau khi đăng nhập trên website giả mạo, kẻ gian đã lấy được thông tin user và password rồi đăng nhập vào website thật của Vietcombank, thực hiện chuyển tiền và gọi điện yêu cầu khách hàng cung cấp mã OTP vừa được gửi đến cho họ nhằm hoàn tất giao dịch chuyển tiền trái phép".

xacnhan-05583

Để hoàn tất mọi giao dịch qua internet-banking của ngân hàng Vietcombank, khách hàng phải nhập mã xác thực một lần OTP được gửi qua tin nhắn điện thoại. Ảnh chụp màn hình.

Theo phân tích từ phía Vietcombank, mọi giao dịch trên internet-banking chỉ có thể hoàn tất khi khách hàng nhập đúng mã OTP gửi về điện thoại.

"Chúng tôi sẽ kiểm tra lại vì sao sau khi gọi điện yêu cầu khóa tài khoản nhưng chị Nhung vẫn nhận được tin nhắn yêu cầu nhập mã OTP vì rất có thể, chị ấy đã nhớ nhầm thời gian. Về việc kẻ xấu hăm dọa chỉ chỉ mất 30 phút để hack toàn bộ số tiền tiết kiệm tôi cho là thiếu cơ sở vì nếu không có mã OTP, giao dịch trên internet-banking sẽ không thể hoàn thành".

Tuy nhiên, ông Kiên cũng cho biết, hiện nay, nhóm hacker vẫn có cách lấy được mã xác thực một lần OTP khi phát tán virus hoạt động trên điện thoại di động, kết hợp với virus hoạt động trên máy tính cá nhân của khách hàng để thực hiện giao dịch giả mạo lấy trộm tiền từ tài khoản của họ. Tên virut này là Eurograbber và đã từng được các tin tặc sử dụng để lấy cắp 36 triệu euro từ nhiều tài khoản ngân hàng tại các nước châu Âu như Ý, Đức, Tây Ban Nha và Hà Lan. Tuy nhiên, tại Việt Nam, trường hợp này chưa được ghi nhận trường hợp tương tự.

Cảnh giác trước mọi tin nhắn trúng thưởng, mạo danh nhân viên ngân hàng

Theo lời ông Kiên, trước hiện tượng kẻ xấu lợi dụng sự thiếu cảnh giác của khách hàng, Vietcombank thường xuyên có thông tin cảnh báo gửi tới khách hàng trên trang Website, thông tin rộng rãi trên báo chí và gửi email tới khách hàng để nâng cao thói quen sử dụng đảm bảo các giao dịch và thao tác an toàn cho người sử dụng dịch vụ.

"Chúng tôi lưu ý Quý Khách hàng thực hiện những nội dung sau:

Chỉ thực hiện giao dịch tài khoản trên website chính thức của ngân hàng Vietcombank. Sử dụng các phần mềm diệt virus và thường xuyên cập nhật phiên bản mới nhất; không cài đặt các phần mềm độc hại, không rõ nguồn gốc xuất xứ trên máy tính cá nhân và điện thoại di động của mình. Khi nhận được tin nhắn hoặc thông báo qua SMS, email hay từ trang web của Ngân hàng, xin Quý khách lưu ý kiểm tra lại thông tin, tránh trường hợp tin tặc lợi dụng lòng tin, mạo danh ngân hàng để cướp đoạt tài sản. Nếu gặp khó khăn, khách hàng nên liên hệ trực tiếp đến tổng đài hoặc các phòng giao dịch của Vietcombank gần nhất để được giúp đỡ và hỗ trợ trực tiếp".

Ngoài ra, ông Kiên cũng khảng định, để tránh việc bị kẻ gian lừa đảo và đảm bảo an toàn các giao dịch trực tuyến nói chung, Vietcombank đã từng có văn bản hướng dẫn và cảnh báo chi tiết đến khách hàng. Các thông tin này đã được đăng tải cụ thể trên website chính thức của ngân hàng này. Trong đó, để đảm an toàn, khách hàng tuyệt đối lưu ý một số vấn đề như: "

Để sử dụng dịch vụ VCB-Ib@nking, khách hàng chỉ nên truy cập vào website chính thức của Vietcombank. Tuyệt đối không click vào các đường link lạ, đặc biệt là các đường link trong các email nghi ngờ là giả mạo cũng như tuyệt đối không khai báo thông tin cá nhân cho địa chỉ đã gửi email đến".

Ông Kiên cũng đưa ra lời khuyên, để tránh bị kẻ xấu lợi dụng, tuyệt đối không cung cấp thông tin cá nhân như: tên, địa chỉ, ngày sinh, số CMND, số thẻ, số tài khoản, tên truy cập dịch vụ ngân hàng điện tử qua Internet, Mobile… cho người lạ và

không đứng tên mở hộ tài khoản tại Ngân hàng, làm hộ thẻ ngân hàng và các dịch vụ ngân hàng điện tử để cho người khác sử dụng.

Trong trường hợp đã click vào các đường link nghi ngờ giả mạo, khách hàng có thể hạn chế rủi ro bằng cách ngay lập tức thay đổi mật khẩu truy cập dịch vụ internet-banking. Nên sử dụng mật khẩu đủ tin cậy, ví dụ: những mật khẩu đủ độ dài (thường là trên 7 ký tự), có sự kết hợp giữa chữ hoa với chữ thường, chữ số...

"Nếu có chương trình khuyến mại, chúng tôi sẽ trực tiếp thông báo đến khách hàng và có đầy đủ thông tin trên website chính thức, khách hàng nên vào đó để đối chứng thông tin trước khi đăng nhập vào các đường link khuyến mại giả danh", ông Kiên nhấn mạnh.

* Tên các nạn nhân đã được thay đổi