[Funland] Tài khoản VCB ‘bốc hơi’ 406 triệu trong vài phút

windmill · 17:39 04/10/2020

Em trước này vẫn dùng xác thực bằng SMS. Từ khi cài đặt xác thực bằng SmartOTP thì hệ thống nó tự động tắt xác thực SMS đi mà vẫn tính phí cả 2 dịch vụ. Lại mất công kích hoạt lại xác thực bằng SMS và cả SmartOTP.

Doinhucaitoi · 17:44 04/10/2020

tvu732 nói:
Cụ mới đọc hiểu vội vàng ạ. Kính cụ: "Sau khi thực hiện thành công hai giao dịch chuyển tiền bằng phương thức xác thực OTP qua tin nhắn điện thoại, tính năng xác thực bằng SmartOTP trên thiết bị mới có thể được sử dụng."

Như vậy tổng cộng có 6 mã xác thực đã được gửi:
- Qua SMS lần 1: để kích hoạt ứng dụng Digibank trên một thiết bị lạ.
- Qua SMS lần 2: để kích hoạt tính năng SmartOTP.
- Qua SMS lần 3, lần 4: để thực hiện 2 giao dịch chuyển tiền trị giá 89tr.
- Qua SmartOTP lần 5, lần 6: để thực hiện 2 giao dịch trị giá 317tr.

Nếu đúng như báo viết thì SMS có vấn đề. Như bác nào đó nói là bị copy SIM?
Ngay cả với 2 giao dịch cuối, dùng SmartOTP thì cũng vẫn bị hỏi số Pin hoặc dấu vân tay cơ mà. Lạ thật?

Coppy sim e nghĩ là không thể vì khi không thể nào có 2 sim 1 số dt được. Chắc ô Luận tường trình chưa chuẩn hoặc vì lý do nào đó mà ô ý giấu chăng

mel2810 · 4/10/20

windmill nói:
Em trước này vẫn dùng xác thực bằng SMS. Từ khi cài đặt xác thực bằng SmartOTP thì hệ thống nó tự động tắt xác thực SMS đi mà vẫn tính phí cả 2 dịch vụ. Lại mất công kích hoạt lại xác thực bằng SMS và cả SmartOTP.

Bác hiẻu nhầm rồi, nó tắt xác thực SMS chứ đâu tắt tính năng báo số dư về SMS, nên nó vẫn tính phí là đúng rồi. Bác muốn tắt luôn tính năng báo số dư thì VCB nó có cái phần Quản lý thông báo của app ấy, nhận số dư qua app luôn, đỡ chi phí cái sms kia.

maximax903 nói:
Con người tạo ra được mấy cái DigiBank hay OTP nhắn vào điện thoại, nhưng 1 khi lòng tham nổi lên thì teller người ta cũng tự làm trên hệ thống bỏ qua chủ nhân luôn. Tất nhiên teller ấy sẽ bị phát hiện ngay & luôn, nhưng 1 khi đã là “đói ăn vụng, túng làm liều” thì ko nói trước được gì hết

Nhưng teller làm sao có đc bao nhiêu mã OTP gửi về số điện thoại của khách?

Mandalord nói:
Có vài cách để hacker có thể lấy được OTP.
1. Nếu như điện thoại bị hacker chiếm quyền điều khiển thì nó muốn làm gì cũng được. Hacker có thể âm thầm jailbreak/root cái điện thoại chẳng hạn.
2. Nó duplicate được cái app tạo Smart OTP.
3. Nó cài malware/key-capture vàod diện thoại mình.

Ở VN, điện thoại dễ bị chiếm quyền điều khiển nhất bởi 2 tình huống:
1. Đem điện thoại cho thợ sửa.
2. Bị vợ/chồng/con cái/đồng nghiệp tấn công. Rất nhiều người không cài mật khẩu, hoặc chỉ cài những loại hời hợt như Pattern (vẽ màn hình), hoặc PIN 6 số, bị chiếm cái rụp.

Ngân hàng cung ứng dịch vụ online, bao giờ cũng đòi hỏi một loạt yêu cầu cao về bảo mật. Khách hàng phải chứng minh mình (hoặc ít nhất là hợp tác với ngân hàng) đã tuân thủ các yêu cầu bảo mật, thì mới có thể được bồi thường tiền, còn không thì là lỗi của khách hàng.

App VCB nó ko cho cài trên máy đã jailbreak bác ạ. Năm trước con Note của e đã vọc vạch tí chút, tải app VCB về ko caid được, nó báo luôn thiết bị đã jailbreak. E ức chế cãi nhau luôn với nhân viên bank, sau về nghĩ lại thấy nó làm thế cũng đúng

thành ra e phải cài app VCB lên con Vsmart

Mà cái smart otp trên app của vcb nó là tích hợp chứ ko phải có 1 app OTP riêng đâu bác. Nên để dup được cái app VCB e nghĩ hơi khó

slaz8 · 17:50 04/10/2020

MANFROMEARTH nói:
Tài khoản của ông Luận bị kích hoạt ứng dụng VCB Digibank trên thiết bị mới và chuyển 406 triệu cho người thụ hưởng tại MSB, SEABank trong 7 phút.
Ông Trần Việt Luận, ngụ quận Thủ Đức (TP HCM) cho biết tài khoản tại Ngân hàng Ngoại thương Việt Nam (Vietcombank) phát sinh 4 giao dịch chuyển khoản vào trưa 4/9. Vì không nhận được tin nhắn thông báo mã xác thực, biến động số dư qua điện thoại nên ông không phát hiện cho đến khi ra ngân hàng giao dịch vào chiều cùng ngày.
"Lúc đến chi nhánh Nam Bình Dương làm lệnh chuyển tiền, tôi mới tá hoả khi nhân viên thông báo tài khoản chỉ còn 5 triệu đồng", ông Luận nói với VnExpress. Ngay sau đó, ông đưa điện thoại cho nhân viên ngân hàng kiểm chứng không nhận được tin nhắn và đề nghị lập biên bản, dừng ngay các giao dịch.
Khách hàng này khẳng định 4 giao dịch không phải mình thực hiện và cũng không biết đối tượng thụ hưởng là ai. Ông cho biết trước đó không cung cấp, chia sẻ tên truy cập dịch vụ hay mật khẩu VCB Digibank cho bất cứ ai.

Trong công văn trả lời ông Luận sau đó, phía Vietcombank cho biết việc đăng nhập tài khoản trên thiết bị mới và thực hiện 4 giao dịch chuyển tiền hoàn toàn hợp lệ. Nhà mạng Vinaphone cũng xác nhận ngân hàng gửi tổng cộng 8 tin nhắn xác thực và biến động số dư đến điện thoại ông Luận.

Cụ thể, lúc 11h, hệ thống ghi nhận yêu cầu kích hoạt ứng dụng Digibank từ tài khoản ông Luận trên thiết bị mới. Đối tượng thực hiện giao dịch đã nhập đúng tên truy cập, mật khẩu và mã xác thực (OTP lần 1) gửi đến điện thoại.
Hai phút sau, hệ thống ghi nhận thao tác kích hoạt tính năng SmartOTP trên ứng dụng và đối tượng cũng nhập chính xác mã xác thực (OTP lần 2). Tiếp đó, đối tượng thực hiện 2 yêu cầu chuyển khoản 89 triệu đồng tới người thụ hưởng Pham Lan Anh tại Ngân hàng Đông Nam Á (SEA Bank) và nhập đúng mã xác thực.
Sau khi thực hiện thành công hai giao dịch chuyển tiền bằng phương thức xác thực OTP qua tin nhắn điện thoại, tính năng xác thực bằng SmartOTP trên thiết bị mới có thể được sử dụng. Vì thế, lúc 11h07, đối tượng chuyển 317 triệu đồng tới tài khoản Vo Khoa Tuan tại Ngân hàng TMCP Hàng hải Việt Nam (MSB) thông qua hai giao dịch.
"Đây là trường hợp nghi ngờ bị giả mạo giao dịch qua ứng dụng VCB Digibank dẫn đến bị rút tiền trong tài khoản", đại diện Vietcombank trả lời VnExpress.

Quảng cáo

Sau khi nhận đơn khiếu nại, chi nhánh ngân hàng đã kiểm tra trên hệ thống và làm việc với các bên liên quan để xử lý yêu cầu tra soát giao dịch, cấp mật khẩu VCB Digibank và hướng dẫn khách hàng kích hoạt lại dịch vụ.
Vietcombank cũng hai lần gặp trực tiếp khách hàng để trả lời, cung cấp thông tin liên quan và sẽ tiếp tục cập nhật trong thời gian chờ kết quả tra soát giao dịch tại ngân hàng hưởng. Ngân hàng đã tư vấn và hướng dẫn ông Luận trình báo vụ việc với công an để xác minh và truy bắt tội phạm.
Đại diện Vietcombank khẳng định hệ thống của ngân hàng an toàn và đáp ứng quy định pháp luật liên quan đến cung ứng dịch vụ trực tuyến, đồng thời lưu ý khách hàng giữ bí mật các yếu tố định danh, thực hiện theo hướng dẫn của ngân hàng về giao dịch an toàn.

Tài khoản ngân hàng ‘bốc hơi’ 406 triệu trong vài phút

Tài khoản của ông Luận bị kích hoạt ứng dụng VCB Digibank trên thiết bị khác và chuyển 406 triệu cho người thụ hưởng tại MSB, SEABank trong 7 phút.

vnexpress.net

lộ mất khảu thì dành chịu thôi. nhưng lạ cái SM OTP phải đúng sô DT đăng ký mới chuyển được. sao ông này kêu không nhận đựơc tin nhắn SMS? hay lều viết sai

maximax903 · 17:52 04/10/2020

mel2810 nói:
Bác hiẻu nhầm rồi, nó tắt xác thực SMS chứ đâu tắt tính năng báo số dư về SMS, nên nó vẫn tính phí là đúng rồi. Bác muốn tắt luôn tính năng báo số dư thì VCB nó có cái phần Quản lý thông báo của app ấy, nhận số dư qua app luôn, đỡ chi phí cái sms kia.

Nhưng teller làm sao có đc bao nhiêu mã OTP gửi về số điện thoại của khách?

App VCB nó ko cho cài trên máy đã jailbreak bác ạ. Năm trước con Note của e đã vọc vạch tí chút, tải app VCB về ko caid được, nó báo luôn thiết bị đã jailbreak. E ức chế cãi nhau luôn với nhân viên bank, sau về nghĩ lại thấy nó làm thế cũng đúng thành ra e phải cài app VCB lên con Vsmart

Mà cái smart otp trên app của vcb nó là tích hợp chứ ko phải có 1 app OTP riêng đâu bác. Nên để dup được cái app VCB e nghĩ hơi khó

Mình đã từng hỏi 1 teller bạn ấy bảo nếu thích bọn em vẫn lấy được tiền của khách hàng. Nhưng lấy xong bị đi tù

Hanoi1919 · 17:54 04/10/2020

coindesar nói:
Tóm tắt lại diễn biến chuyển tiền theo giải trình từ phía VCB:
1. Cài đặt VCB Digital và VCB SmartOTP trên thiết bị mới.
2. Nhập tên truy cập, mật khẩu và nhập đúng mã OTP lần 1.
3. Kích hoạt SmartOTP, nhập đúng mã OTP lần 2.
4. Chuyển tiền lần 1, xác thực OTP, nhập đúng mã OTP lần 3.
5. Chuyển tiền lần 2, xác thực OTP, nhập đúng mã OTP lần 4.
6. Chuyển tiền lần 3, xác thực SmartOTP
7. Chuyển tiền lần 4, xác thực SmartOTP

Tên truy cập là số điện thoại nên không khó để biết, vấn đề còn lại là mật khẩu và mã OTP. Nếu đúng là ông Luận bị chuyển tiền mà không biết, mình đoán bừa là ông Luận bị một người biết mật khẩu VCB Digital tráo sim điện thoại trong thời gian ngắn thực hiện các bước từ bước 2 đến bước 5.

Nói chung là khả năng ông này cấp mã OTP hay đưa đt cho ai cầm là rất cao.

mel2810 · 17:58 04/10/2020

maximax903 nói:
Mình đã từng hỏi 1 teller bạn ấy bảo nếu thích bọn em vẫn lấy được tiền của khách hàng. Nhưng lấy xong bị đi tù

Lấy thì lấy được, ví dụ rút tiền tại quầy mà ko có giấy tờ kí, hoặc mạo danh chữ kí. Hoặc lừa kí khống. Nhưng đây là app được cài lên điện thoại của khách hàng, mỗi lần chuyển là có mã otp báo về máy. Trừ khi nhân viên bank cố tình đăng ký sai số điện thoại của ông này. Còn nếu số đt của ông này đã khớp và trên máy của ông này đã đc cài app thì nhân viên có xừ mà lấy được.

gld · 18:02 04/10/2020

Cài App chuyển khoản nhanh tiện, nhưng quá nguy hiểm

tranhien1979 · 18:03 04/10/2020

Em đổi đt, chuyển phần mềm ok, trừ smart otp. Nên sd app digital vcb theo số đt. Mà theo số đt em nghĩ là dễ lộ hơn user name cũ, gồm cả số lẫn chữ

tvu732 · 18:04 04/10/2020

mel2810 nói:
App VCB nó ko cho cài trên máy đã jailbreak bác ạ. Năm trước con Note của e đã vọc vạch tí chút, tải app VCB về ko caid được, nó báo luôn thiết bị đã jailbreak. E ức chế cãi nhau luôn với nhân viên bank, sau về nghĩ lại thấy nó làm thế cũng đúng thành ra e phải cài app VCB lên con Vsmart

Nhân tiện không biết cụ nào đánh giá được mức độ bảo mật của SmartOTP/SMS trên điện thoại so với cục tạo token kiểu cũ không nhỉ? Các ngân hàng giờ hay quảng cáo tính năng tiết kiệm online để có lãi suất cao hơn. Nhưng em thấy tiết kiệm mà cũng thao tác trên app nữa cứ rủi ro làm sao.

thudo · 18:11 04/10/2020

Các cụ bàn vđ tại sao nhiều quá, giờ tiền đã chuyển được tới đích, ng nhận có thông tin đầy đủ thì đường đi của tiền vẫn còn. Vậy nếu lừa đảo thật thì có căn cứ luật nào để lấy lại đc tiền k mới quan trọng. Ví dụ đề nghị phong toả, đâm đơn kiện,????

Azeglio · 18:13 04/10/2020

Mandalord nói:
Có vài cách để hacker có thể lấy được OTP.
1. Nếu như điện thoại bị hacker chiếm quyền điều khiển thì nó muốn làm gì cũng được. Hacker có thể âm thầm jailbreak/root cái điện thoại chẳng hạn.
2. Nó duplicate được cái app tạo Smart OTP.
3. Nó cài malware/key-capture vàod diện thoại mình.

Ở VN, điện thoại dễ bị chiếm quyền điều khiển nhất bởi 2 tình huống:
1. Đem điện thoại cho thợ sửa.
2. Bị vợ/chồng/con cái/đồng nghiệp tấn công. Rất nhiều người không cài mật khẩu, hoặc chỉ cài những loại hời hợt như Pattern (vẽ màn hình), hoặc PIN 6 số, bị chiếm cái rụp.

Ngân hàng cung ứng dịch vụ online, bao giờ cũng đòi hỏi một loạt yêu cầu cao về bảo mật. Khách hàng phải chứng minh mình (hoặc ít nhất là hợp tác với ngân hàng) đã tuân thủ các yêu cầu bảo mật, thì mới có thể được bồi thường tiền, còn không thì là lỗi của khách hàng.

Cụ là dân có nghề đấy.

Smart phone do các vị lẩm cẩm nhiều tiền sử dụng thì havker chiếm quyền điều khiển dễ không.

Tuy nhiên, trong vụ này mà nói thì em không nghĩ bị hack vì với trình độ hack được như vậy thì chỉ có cơ quan chức năng hoặc hacker trình độ cao. Mà hai đối tượng này thì không làm mấy vụ lẻ tẻ đó. Khả năng cao là con cháu trong nhà.

luyenok · 18:15 04/10/2020

Quảng cáo nhạy phết

Thắng_Sơn Tây · 18:18 04/10/2020

thudo nói:
Các cụ bàn vđ tại sao nhiều quá, giờ tiền đã chuyển được tới đích, ng nhận có thông tin đầy đủ thì đường đi của tiền vẫn còn. Vậy nếu lừa đảo thật thì có căn cứ luật nào để lấy lại đc tiền k mới quan trọng. Ví dụ đề nghị phong toả, đâm đơn kiện,????

Tài khoản mở bằng giấy tờ giả thì khó kiện cụ ạ.

mr.l0nely.184 · 18:24 04/10/2020

Chắc vẫn còn có gì khuất tất chứ chẳng lẽ mấy sms gửi otp mà cũng bị hack? Nghi vấn cần xem lại người thân

escape2012 · 18:28 04/10/2020

tvu732 nói:
Vụ ấn vào link lạ cũng có nhưng trong trường hợp này, mã xác thực gửi qua SMS đến 4 lần thì chẳng lẽ bác này ấn link lạ 4 lần mà không thắc mắc gì? Em nghĩ vụ này thông tin chưa chính xác ở khâu nào đó, nhiều khả năng chính chủ không khai báo hết.

Có thể phone bị cài phần mềm trojan, có chức năng đọc trộm tin nhắn, đọc được OTP sms thì forward đi và xoá tin nhắn luôn.

levision · 18:35 04/10/2020

E thấy vcb có vẻ kém công nghệ, app ngân hàng tech e dùng thì chỉ chuyển tiền đc ở đúng 1 điện thoại, đăng nhập sang đt khác có cài app thì ko chuyển đc.

congthuong · 18:36 04/10/2020

Nói chung DigiBank của thằng VCB chuyển sang sử dụng số điện thoại làm tài khoản đăng nhập là 1 thiết kế ngu dốt vô cùng.

Như vậy rất dễ lộ tài khoản / số điện thoại của khách hàng.

vietdang89 · 18:38 04/10/2020

OTP đi qua một agency thứ 3 cung cấp dịch vụ gửi tin sms, hoặc thậm chí đi trực tiếp qua nhà mạng (telcos), chỉ cần chặn hệ thống API bằng biện pháp cơ bản thì tin nó cũng không về được đến máy
Nói về cái này thì từ phía bank -> agency -> telcos -> endusers nó còn nhiều cái để bóc tách lắm các cụ ạ. Em ngồi không cũng phải đếm dc 3-4 lí do có thể phát sinh ở khâu trên rồi

Thắng_Sơn Tây · 18:38 04/10/2020

escape2012 nói:
Có thể phone bị cài phần mềm trojan, có chức năng đọc trộm tin nhắn, đọc được OTP sms thì forward đi và xoá tin nhắn luôn.

Có phần mềm antivirus nào quét được sạch không cụ?

[Funland] Tài khoản VCB ‘bốc hơi’ 406 triệu trong vài phút

Xe buýt

Xe buýt

Xe máy

Xe ba gác

Xe điện

Xe tăng

Xe máy

Xe điện

Xe tăng

Xe buýt

Xe buýt

Xe điện

Xe điện

Xe cút kít

Xe điện

Xe buýt

Xe hơi

Xe điện

Xe tải

Xe cút kít

Thông tin thớt