[Funland] Vụ 'bốc hơi' 5 tỷ trong tài khoản gửi tiết kiệm online

wildness · 19:52 20/04/2026

Cách an toàn em nghĩ là ra quầy gửi, và không mở tài khoản tại ngân hàng đó. ra đấy ck rồi lấy sổ giấy về. như vậy không thể hack được.

crYztaL · 21:35 20/04/2026

Hiện tại bỏ SMS OTP cũng có những cái bất tiện. Trc tài khoản nào to nhà em chơi kiểu cài app 1 máy, sms otp ở máy khác ko internet. Có hack đc máy chính thì cũng chịu.

pltuan · 21:47 20/04/2026

crYztaL nói:
Hiện tại bỏ SMS OTP cũng có những cái bất tiện. Trc tài khoản nào to nhà em chơi kiểu cài app 1 máy, sms otp ở máy khác ko internet. Có hack đc máy chính thì cũng chịu.

Cái SMS OTP nó đã lộ yếu điểm rồi cụ ạ. Có công cụ hớt được SMS OTP luôn vì thế nên các ngân hàng mới chuyển qua dùng Smart OTP.

jackycandy1412 · 21:49 20/04/2026

Cụ thể, dữ liệu xác nhận từ nhà mạng Viettel cho thấy, tại thời điểm xảy ra sự việc, chỉ có duy nhất một tin nhắn SMS được gửi đến số điện thoại của ông vào lúc 01h19 ngày 13/12/2025. Trong khi đó, theo nguyên tắc bảo mật thông thường, mỗi giao dịch chuyển tiền đều phải đi kèm một mã OTP riêng biệt. Với 11 giao dịch, lẽ ra phải có 11 mã OTP tương ứng.

“Không có OTP thì không thể thực hiện giao dịch. Nhưng ở đây, tiền vẫn bị rút gần như không cần OTP nào được gửi đến tôi”, ông C.S. cho biết.

______
Nếu bank này vẫn để OTP là sms gửi về điện thoại (và có 1 sms về điện thoại thật) để rút tiền thì 10 lần sau sao ko có nhỉ
Vậy là chắc chắn chỗ này của bank có hổng phải ko cccm (ko chỉ từ mỗi thiết bị của người dùng nếu có)

binhnq2 · 22:26 20/04/2026

jackycandy1412 nói:
Cụ thể, dữ liệu xác nhận từ nhà mạng Viettel cho thấy, tại thời điểm xảy ra sự việc, chỉ có duy nhất một tin nhắn SMS được gửi đến số điện thoại của ông vào lúc 01h19 ngày 13/12/2025. Trong khi đó, theo nguyên tắc bảo mật thông thường, mỗi giao dịch chuyển tiền đều phải đi kèm một mã OTP riêng biệt. Với 11 giao dịch, lẽ ra phải có 11 mã OTP tương ứng.

“Không có OTP thì không thể thực hiện giao dịch. Nhưng ở đây, tiền vẫn bị rút gần như không cần OTP nào được gửi đến tôi”, ông C.S. cho biết.

______
Nếu bank này vẫn để OTP là sms gửi về điện thoại (và có 1 sms về điện thoại thật) để rút tiền thì 10 lần sau sao ko có nhỉ
Vậy là chắc chắn chỗ này của bank có hổng phải ko cccm (ko chỉ từ mỗi thiết bị của người dùng nếu có)

bậy quá cụ, h cho smart OTP rồi mà cụ
chỉ cần nó cấp OTP qua dthoai là dùng được smart OTP (ko cần OTP gửi qua sms nữa) nhưng ở VCB thì nó bắt dùng 2 giao dịch sms OTP thì smart OTP mới có hiệu lực! còn KLB thì ko biết

jackycandy1412 · 22:32 20/04/2026

binhnq2 nói:
bậy quá cụ, h cho smart OTP rồi mà cụ
chỉ cần nó cấp OTP qua dthoai là dùng được smart OTP (ko cần OTP gửi qua sms nữa) nhưng ở VCB thì nó bắt dùng 2 giao dịch sms OTP thì smart OTP mới có hiệu lực! còn KLB thì ko biết

em biết là tuỳ bank có smart otp hoặc sms otp, nhưng đang nói phạm vi KLB và vụ việc này mà
cụ tỉ là tại sao rút 11 lần lại chỉ có 1 lần có sms otp gửi về, những lần còn lại thì ko có ấy

binhnq2 · 22:35 20/04/2026

jackycandy1412 nói:
em biết là tuỳ bank có smart otp hoặc sms otp, nhưng đang nói phạm vi KLB và vụ việc này mà
cụ tỉ là tại sao rút 11 lần lại chỉ có 1 lần có sms otp gửi về, những lần còn lại thì ko có ấy

lần đầu có khi là đăng ký smart OTP cụ, nên phải gửi sms OTP, các lần rút tiền thì ko cần nữa.

cha biet chi · 22:39 20/04/2026

Thủ phạm rất quen.

trinhhunghb · 22:40 20/04/2026

volts nói:
Gửi online xong có nhu cầu ra chi nhánh họ vẫn đóng dấu giấy xác nhận bản cứng cho mà

Em gửi online nhưng ra quầy lấy sổ giấy …và yêu cầu tất toán tại quầy cho yên tâm Cụ ạ

Civic TN · 22:55 20/04/2026

trinhhunghb nói:
Em gửi online nhưng ra quầy lấy sổ giấy …và yêu cầu tất toán tại quầy cho yên tâm Cụ ạ

Cứ ra quầy gặp mấy cháu GDV cho vui cụ anh nhỉ =))

vingraux · 23:05 20/04/2026

crYztaL nói:
Hiện tại bỏ SMS OTP cũng có những cái bất tiện. Trc tài khoản nào to nhà em chơi kiểu cài app 1 máy, sms otp ở máy khác ko internet. Có hack đc máy chính thì cũng chịu.

Nó cướp số đt của bác lun.0

ung_sung_tu_tai · 23:05 20/04/2026

alongcamepolly nói:
Cháu oánh dấu hóng cụ thể, đọc thì thấy thông tin ko rõ ràng ngoài việc khổ chủ bị mất tiền ạ

Ông khách "bị mất tiền" chắc gì đã là điều rõ ràng ?
Điều rõ ràng nhất là tk ông ấy chuyển đi 11 lần với giá trị 5 tỷ trong đêm đó thì có lẽ là điều rõ ràng thôi chứ ạ.

vingraux · 23:08 20/04/2026

Lee Saker nói:
Ra phòng giao dịch làm cái sổ giấy là yên tâm nhất cụ ạ, không có sổ không tất toán được.

Báo mất sổ sau 40 ngày ra rút tìn được, đấy lat vcb. Còn ngân hàng nhỏ lẻ chả trách.

haitotbung · 23:14 20/04/2026

volts nói:
Ơ khác gì đâu nhỉ, cụ chọn in sổ giấy và tất toán tại quầy thì có khác gì nhau nhỉ

Vậy khi cụ đã chọn trên điện thoại tất toán tại quầy, thì cụ có thể dùng điện thoại để thay đổi lại thành tất toán online được không ạ? Nếu cụ không thể dùng điện thoại để thay đổi cái trên thì ok, an toàn. Còn nếu cụ vẫn làm được thì thằng hack máy cụ cũng làm được

crYztaL · 23:18 20/04/2026

vingraux nói:
Nó cướp số đt của bác lun.0

Vâng, nhưng trường hợp đó thì phức tạp hơn so với việc chiếm quyền 1 cái smartphone all in one như hiện nay.

muachieukyniem · 23:19 20/04/2026

wildness nói:
Cách an toàn em nghĩ là ra quầy gửi, và không mở tài khoản tại ngân hàng đó. ra đấy ck rồi lấy sổ giấy về. như vậy không thể hack được.

Gửi tại quầy, hôm sau ra tất toán mất phí cụ ạ.
Thế mới hài

Civic TN · 23:24 20/04/2026

crYztaL nói:
Hiện tại bỏ SMS OTP cũng có những cái bất tiện. Trc tài khoản nào to nhà em chơi kiểu cài app 1 máy, sms otp ở máy khác ko internet. Có hack đc máy chính thì cũng chịu.

E cũng dùng như cụ, nhưng giờ VCB bỏ SMS OTP rồi.

1762249 · 23:31 20/04/2026

wildness nói:
Cách an toàn em nghĩ là ra quầy gửi, và không mở tài khoản tại ngân hàng đó. ra đấy ck rồi lấy sổ giấy về. như vậy không thể hack được.

Vẫn phải mở tài khoản ngân hàng đó cụ ơi. Nhưng mà ở trong app giờ cũng thông minh lắm, trong app sẽ hiện ra mục Tiết kiệm riêng. Ở trong mục này liệt kê những khoản nào cụ gửi, ko thể rút ra đc online, chỉ có thể ra quầy tất toán thì mới có thể làm thủ tục rút đc nên cũng khá là an toàn cụ ạ.

wildness · 23:38 20/04/2026

1762249 nói:
Vẫn phải mở tài khoản ngân hàng đó cụ ơi. Nhưng mà ở trong app giờ cũng thông minh lắm, trong app sẽ hiện ra mục Tiết kiệm riêng. Ở trong mục này liệt kê những khoản nào cụ gửi, ko thể rút ra đc online, chỉ có thể ra quầy tất toán thì mới có thể làm thủ tục rút đc nên cũng khá là an toàn cụ ạ.

Trước em hay gửi tiền ở Bắc Á, và chưa bao giờ phải mở tài khoản cụ nhé. hoặc cũng có thể mở em quên, nhưng chắc chắn không thể ck được online.

con dơi 141 · 00:09 21/04/2026

muachieukyniem nói:
Ông này bị chiếm quyền điện thoại lâu rồi.
Cái sinh trắc học cũng chỉ hoạt động theo app thôi, có thể nó đã lưu những lần sinh trắc trước đó của ông ở ngân hàng khác.

itnd nói:
Trường hợp này thì không phải hack, nếu hack thì sẽ rất nhiều tài khoản khác cùng ngân hàng này sẽ bị mất tiền. Nhưng về bảo mật thì rõ ràng ngân hàng này yếu kém, và có bug. Trường hợp 2 thiết bị cùng đăng ký và đặc biệt đăng ký rất gần nhau thì phải phát hiện được đây là hành vi bất thường, cần block ngay tài khoản, và đưa vào diện audit ngay. Khả năng sign của clientapp đã bị giả mạo, khả năng việc đăng ký này được thực hiện từ app giả mạo (nên các cụ đừng soi tên thiết bị là iphone làm gì, khi đã sign được client thì muốn gửi lên tên thiết bị là gì cũng được). Em đoán là ông chủ "mất tiền" không thể vô can. Nhưng bảo mật của ngân hàng này có vấn đề nghiêm trọng

2 điện thoại gán cùng một thời điểm là không thể. Chưa kể đúng ra chỉ 1 thiết bị đc phép gán tại một thời điểm. Gán máy mới thì máy cũ delink.
Em nhìn log như clone/chạy scrip trên DB

[Funland] Vụ 'bốc hơi' 5 tỷ trong tài khoản gửi tiết kiệm online

Xe container

Xe tăng

Xe buýt

Xe tăng

Xe điện

Xe tăng

Xe điện

Xe điện

Xe cút kít

Xe lăn

Xe điện

Xe container

Xe điện

Xe buýt

Xe tăng

Xe điện

Xe lăn

Xe tải

Xe container

Xe điện

Thông tin thớt