[Funland] Vụ 'bốc hơi' 5 tỷ trong tài khoản gửi tiết kiệm online

luyenok · 00:13 21/04/2026

Về cơ bản để mất đc tiền thì vẫn là lỗi của khách hàng thôi, khi mất tiền thì nạn nhân chỉ kể các thông tin bình thường, còn các thông tin khác liên quan đến việc bị lừa dẫn đến mất tiền thì ỉm đi.
Tuy nhiên nếu nói sâu hơn thì cùng 1 phương thức lừa đảo có thể thành công ở Bank này, nhưng thất bại ở bank khác vì mỗi bank có quy trình, công nghệ khác nhau (tất nhiên về lý thuyết đều tuân thủ đầy đủ các quy định, tiêu chuẩn theo yêu cầu).

rongauto · 00:16 21/04/2026

pltuan nói:
Mới có thông tin từ một phía, còn phía ngân hàng họ bảo họ làm đúng thì khi cần họ đưa bằng chứng ra. Còn hiện tại em thấy chuyển tiền bảo mật đó chứ, đầu tiên là mật khẩu hoặc vân tay vào app, sau đó là smart otp (hoặc otp), cuối cùng là nếu trên 10 củ thì phải sinh trắc học theo yêu cầu của ngân hàng ví dụ đưa hình xa gần, quay trái phải các kiểu.

TT từ báo là ko có tin nhắn sms, ko xác thực khuôn mặt, vậy bí ẩn chưa rõ ntn, chờ kq đtra xem sao

safenoodles · 00:23 21/04/2026

Grandtouring nói:
Đọc bài này thấy khá là giật mình, vì nhiều người đang tạo tài khoản và gửi tiết kiệm online theo cách này, trong đó có em.
Có lẽ phải ra NH yêu cầu cấp sổ cho chắc thôi.

Vụ 'bốc hơi' 5 tỷ trong tài khoản: Dấu hiệu bất thường mã OTP, sinh trắc học

Một vụ việc rút tiền lên đến 5 tỷ đồng bất thường tại tài khoản của Ngân hàng KienlongBank đang làm dấy lên lo ngại lớn về mức độ an toàn của hệ thống ngân hàng số, khi hàng loạt giao dịch giá trị lớn vẫn được thực hiện dù không có mã OTP hay xác thực sinh trắc học từ chính chủ tài khoản.

tienphong.vn

Cứ phải giấy trắng mực đen, cụ ạ.
Em không gửi online bao giờ.

luyenok · 00:38 21/04/2026

con dơi 141 nói:
2 điện thoại gán cùng một thời điểm là không thể. Chưa kể đúng ra chỉ 1 thiết bị đc phép gán tại một thời điểm. Gán máy mới thì máy cũ delink.
Em nhìn log như clone/chạy scrip trên DB

Nói chung là bank nhỏ quá nên chắc nhân sự cũng lôm côm, nhìn cái ảnh phụ lục 02 đó có cái bảng header cái thì để tên filed (chắc là theo db), cái thì tiếng Việt ko dấu, có dấu tự chế vào mà cũng ký rồi đóng dấu treo gửi đi báo cáo cho đc.

juneboy · 01:28 21/04/2026

jackycandy1412 nói:
Cụ thể, dữ liệu xác nhận từ nhà mạng Viettel cho thấy, tại thời điểm xảy ra sự việc, chỉ có duy nhất một tin nhắn SMS được gửi đến số điện thoại của ông vào lúc 01h19 ngày 13/12/2025. Trong khi đó, theo nguyên tắc bảo mật thông thường, mỗi giao dịch chuyển tiền đều phải đi kèm một mã OTP riêng biệt. Với 11 giao dịch, lẽ ra phải có 11 mã OTP tương ứng.

“Không có OTP thì không thể thực hiện giao dịch. Nhưng ở đây, tiền vẫn bị rút gần như không cần OTP nào được gửi đến tôi”, ông C.S. cho biết.

______
Nếu bank này vẫn để OTP là sms gửi về điện thoại (và có 1 sms về điện thoại thật) để rút tiền thì 10 lần sau sao ko có nhỉ
Vậy là chắc chắn chỗ này của bank có hổng phải ko cccm (ko chỉ từ mỗi thiết bị của người dùng nếu có)

Xem trên mạng thì KLB nói cụ khách hàng đăng kí với 2 thiết bị. Ko biết thiết bị thứ hai có phải là do bị lừa xác thực hay không, nhưng có toàn quyền như thiết bị số 1. Khả năng KLB có bug gì đó mà một tài khoản cho phép đăng kí trên nhiều thiết bị và hacker đã lợi dụng lỗ hổng này. Dựa trên log do KLB cung cấp thì cả 2 thiết bị cùng KYC một lúc. Có khi các tin nhắn OTP chỉ đến máy của hacker.

detector · 01:42 21/04/2026

Theo thông tin này thì khả năng bọn lừa đảo nó giở thủ đoạn ngay từ bước mở tài khoản rồi:

Thông tin 'nóng' vụ tài khoản bỗng dưng 'bốc hơi' 5 tỷ đồng trong đêm

Ngân hàng TMCP Kiên Long (KienlongBank) báo cáo Ngân hàng Nhà nước Việt Nam về vụ việc khách hàng phản ánh bị rút 5 tỷ đồng trong tài khoản trực tuyến. Theo kết quả rà soát bước đầu, các giao dịch đều được xác thực hợp lệ, sử dụng đúng mã OTP gửi đến số điện thoại đã đăng ký của khách.

tienphong.vn

Theo các thông tin được cung cấp, khách hàng mở tài khoản khi được một đối tượng trên mạng xã hội Facebook mời chào với thông tin về mức lãi suất cao. Trong quá trình đến để tìm hiểu, giao dịch viên của Ngân hàng đã chủ động cảnh báo đây là thông tin không đúng quy định, có dấu hiệu lừa đảo. Ngân hàng thực hiện khuyến cáo nhiều lần qua email, SMS tới khách hàng không để lộ OTP.

mat mo chan cham · 01:51 21/04/2026

Em cũng hóng , dạo này lười lại có mấy đồng thôi nên cũng ít ra ngân hàng, toàn online.

haitotbung · 06:13 21/04/2026

Theo thông tin trên báo thì ông này ham lãi suất cao của một người lạ trên facebook. Nạn nhân cũng "cẩn thận" đến phòng giao dịch của Kiên Long hỏi và được nhân viên Kiên Long cảnh báo lừa đảo. Nhưng chắc do mê muội lãi cao nên cố chấp làm theo.

xong giờ nạn nhân đi đổ vạ cho ngân hàng mong được đền tiền. Việc lu loa om xòm cũng sau quá trình đàm phán bất thành. Tất nhiên, nếu thực sự là lỗ hổng bảo mật của ngân hàng thì em tin ngân hàng sẽ chi luôn 5 tỷ để bịt miệng. Còn đây ngân hàng họ chỉ đề nghị 500tr gọi là hỗ trợ tinh thần thì khả năng lớn là lỗi của khách.

Giơd kiện cáo om xòm thì 1 triệu cũng không có

Hanh Ha · 07:17 21/04/2026

7ieulongn nói:
Nó đã chiếm quyền thì nó kiểm soát toàn bộ đt của nạn nhân rồi, từ mọi thể loại mật khẩu các ứng dụng, tin nhắn, cuộc gọi, định vị, di chuyển, tk ngân hàng, otp trong tay nó hết. Sinh trắc học nó giả lập khuôn mặt từ ảnh của nạn nhân hoặc lừa nạn nhân tự quay luôn ý.

Lúc thấy bọn hacker thao tác trên dt thì nếu nhanh tay đập vỡ luôn cái dt thì có lẽ nó sẽ ko làm gì dc.
Em cũng có khoản gửi online, em làm thêm thao tác nữa là phong toả tài khoản. Muốn mở phong toả phải ra quầy

Tienle1980 · 07:44 21/04/2026

Nhân tiện các cụ cho em hỏi, em thấy khi đăng nhập zalo trên máy tính thông zalo trên điện thoại thì thấy bắt phải quét vân tay bằng phần mềm zalo trên điện thoại, vậy zalo có dữ liệu vân tay của mình không?

itnd · 08:06 21/04/2026

con dơi 141 nói:
2 điện thoại gán cùng một thời điểm là không thể. Chưa kể đúng ra chỉ 1 thiết bị đc phép gán tại một thời điểm. Gán máy mới thì máy cũ delink.
Em nhìn log như clone/chạy scrip trên DB

Theo quan điểm của em. Đó là bug trong thiết kế của họ, họ đã không lường trước kịch bản này (thực ra nó rất cơ bản trong các hệ thống cần tính atomic - tức là chỉ 1 hành động được hoàn thành duy nhất). Với các thao tác đăng ký, đổi thiết bị thông thường: hệ thống check xem đã có trong db chưa, nếu chưa thì cho phép thêm thiết bị hợp lệ mới > hoàn thành > thiết bị sau sẽ bị từ chối. Trong trường hợp này: 2 luồng gửi lệnh trong thời gian cực ngắn, db trả kết quả kiểm tra 2 luồng đều là chưa có thiết bị > ghi cả 2. Đây gọi là bug race condition, thiếu cả cơ chế bảo vệ ở db ( cho phép tồn tại cả 2 devices actived). Tóm lại hệ thống của bank này có bug rất cơ bản nguy hiểm + việc đăng ký 2 thiết bị (khả năng là thiết bị ảo, 2 lệnh gọi API) đồng thời với thời gian cực ngắn là hành động có chủ đích

itnd · 08:15 21/04/2026

con dơi 141 nói:
2 điện thoại gán cùng một thời điểm là không thể. Chưa kể đúng ra chỉ 1 thiết bị đc phép gán tại một thời điểm. Gán máy mới thì máy cũ delink.
Em nhìn log như clone/chạy scrip trên DB

À e trả lời thêm vụ cùng 1 thời điểm gán 2 điện thoại là không thể. Cái này là "mục tiêu" đúng với mọi hệ thống tương tự, với điều kiện là hệ thống phải được lập trình tốt. Còn trường hợp này hệ thống lập trình không tốt nên khi bị 2 luồng gần như gọi đồng thời nó đã không chặn được. Giống chương trình khuyến mãi giá 1000đ cho 10 chiếc iphone 17 tại 1 giờ nhất định, vài trăm ngàn ông canh "giật slot", nếu hệ thống tốt thì chỉ đúng 10 ông giật được slot này, nếu hệ thống tệ thì có khi cả ngàn ông lọt qua

wiv · 08:43 21/04/2026

5 tỏi thì chờ Công An điều tra và ra kết luận thôi

1762249 · 09:18 21/04/2026

wildness nói:
Trước em hay gửi tiền ở Bắc Á, và chưa bao giờ phải mở tài khoản cụ nhé. hoặc cũng có thể mở em quên, nhưng chắc chắn không thể ck được online.

Chắc chắn là có mở cụ ơi. Họ ko nói cho cụ biết thôi (lý do gì thì e ko biết), nhưng mà phải mở ra sổ trên hệ thống mới ghi nhận đc chứ ko phải chỉ là mỗi tờ giấy đâu cụ. Bên nào cũng thế ạ.

con dơi 141 · 21/4/26

itnd nói:
Theo quan điểm của em. Đó là bug trong thiết kế của họ, họ đã không lường trước kịch bản này (thực ra nó rất cơ bản trong các hệ thống cần tính atomic - tức là chỉ 1 hành động được hoàn thành duy nhất). Với các thao tác đăng ký, đổi thiết bị thông thường: hệ thống check xem đã có trong db chưa, nếu chưa thì cho phép thêm thiết bị hợp lệ mới > hoàn thành > thiết bị sau sẽ bị từ chối. Trong trường hợp này: 2 luồng gửi lệnh trong thời gian cực ngắn, db trả kết quả kiểm tra 2 luồng đều là chưa có thiết bị > ghi cả 2. Đây gọi là bug race condition, thiếu cả cơ chế bảo vệ ở db ( cho phép tồn tại cả 2 devices actived). Tóm lại hệ thống của bank này có bug rất cơ bản nguy hiểm + việc đăng ký 2 thiết bị (khả năng là thiết bị ảo, 2 lệnh gọi API) đồng thời với thời gian cực ngắn là hành động có chủ đích

Lỗi đó em hiểu nhưng ko thể reg 2 thiết bị đồng thời đc. Ngày giờ phút đăng jys thiết bị + ngày giờ gán tài khoản hoàn toàn khớp đến phần triệu của giây. Các thể loại share ...đều đi vòng nên không thể đồng thời, nhất là quá trình eKYC sẽ gây ra độ trễ lớn. Chỉ có thể là chèn vào DB.

luyenok · 21/4/26

detector nói:
Theo thông tin này thì khả năng bọn lừa đảo nó giở thủ đoạn ngay từ bước mở tài khoản rồi:

Thông tin 'nóng' vụ tài khoản bỗng dưng 'bốc hơi' 5 tỷ đồng trong đêm

Ngân hàng TMCP Kiên Long (KienlongBank) báo cáo Ngân hàng Nhà nước Việt Nam về vụ việc khách hàng phản ánh bị rút 5 tỷ đồng trong tài khoản trực tuyến. Theo kết quả rà soát bước đầu, các giao dịch đều được xác thực hợp lệ, sử dụng đúng mã OTP gửi đến số điện thoại đã đăng ký của khách.

tienphong.vn

haitotbung nói:
Theo thông tin trên báo thì ông này ham lãi suất cao của một người lạ trên facebook. Nạn nhân cũng "cẩn thận" đến phòng giao dịch của Kiên Long hỏi và được nhân viên Kiên Long cảnh báo lừa đảo. Nhưng chắc do mê muội lãi cao nên cố chấp làm theo.

xong giờ nạn nhân đi đổ vạ cho ngân hàng mong được đền tiền. Việc lu loa om xòm cũng sau quá trình đàm phán bất thành. Tất nhiên, nếu thực sự là lỗ hổng bảo mật của ngân hàng thì em tin ngân hàng sẽ chi luôn 5 tỷ để bịt miệng. Còn đây ngân hàng họ chỉ đề nghị 500tr gọi là hỗ trợ tinh thần thì khả năng lớn là lỗi của khách.

Giơd kiện cáo om xòm thì 1 triệu cũng không có

Thông tin này thì cũng có thể đúng hoặc không cụ ạ, thực tế cụ vào các nhóm gửi lãi suất tiết kiệm cao sẽ có rất nhiều nick (là nhân viên bank thật) chào các gói lãi cao (cao hơn ls niêm yết), bình thường thì ko sao nhưng khi có vụ việc (ví dụ như này) thì bank có thể sẽ nói các thông tin chào mời đó là không chính thống, và có thể không phải là người của bank,....
Tuy nhiên E cũng thiên về hướng khách hàng này đã thực hiện sinh trắc học, cụ thể là quét mặt trên app "lạ" nào đó khác (liên quan đến người chào lãi suất cao kia hay ko thì ko rõ) và bị thu thập, sau đó chúng dùng để thực hiện sinh trắc học khi chuyển tiền. Vấn đề là không rõ nếu khách hàng chứng minh được không trực tiếp (kể cả vô tình) thực hiện sinh trắc học, các lệnh chuyển tiền đó được sinh trắc bằng dữ liệu lưu trữ từ trước (nói chung không thực sự là Liveness Check) thì Bank có phải chịu trách nhiệm không. Cái này thì hoàn toàn có cơ sở vì hệ thống có thể đạt khi kiểm tra (kiểu như chặn được việc dùng ảnh, video để sinh trắc), nhưng có thể không chống (phát hiện) được khi kẻ gian dùng các công cụ tinh vi hơn. Nếu đã bị sinh trắc bằng ảnh/video cũ thì về lý thì có lẽ Bank sẽ phải đền (?), chỉ không phải đền nếu khách hàng đã thực sự thực hiện sinh trắc dù là vô tình, kiểu như làm theo hướng dẫn của kẻ lừa đảo mà không biết.

luyenok · 11:43 21/04/2026

con dơi 141 nói:
Lỗi đó em hiểu nhưng ko thể reg 2 thiết bị đồng thời đc. Ngày giờ phút đăng jys thiết bị + ngày giờ gán tài khoản hoàn toàn khớp đến phần triệu của giây. Các thể loại share ...đều đi vòng nên không thể đồng thời, nhất là quá trình eKYC sẽ gây ra độ trễ lớn. Chỉ có thể là chèn vào DB.

cái này thì đúng là hơi ảo, không rõ có phải là dữ liệu thật không hay chế cháo vào, vì cụ để ý các cột khác thì có vẻ như là tên filed thật tương ứng trong db, riêng cột này lại là do người lập bảng tự define bằng cái tên "ngay gan tk khoan", đọc cũng chả hiểu là cái quái gì đã 'tk' (tài khoản chăng?) lại còn 'khoan' phía sau.

itnd · 11:47 21/04/2026

con dơi 141 nói:
Lỗi đó em hiểu nhưng ko thể reg 2 thiết bị đồng thời đc. Ngày giờ phút đăng jys thiết bị + ngày giờ gán tài khoản hoàn toàn khớp đến phần triệu của giây. Các thể loại share ...đều đi vòng nên không thể đồng thời, nhất là quá trình eKYC sẽ gây ra độ trễ lớn. Chỉ có thể là chèn vào DB.

Nó chỉ không thể đồng thời nếu được thiết kế đúng, làm đúng (vd db chỉ cần set Unique Constraint (account, actived) cho chốt chặn cuối ở db. Thực tế sẽ cần validate > ngăn chặn ở nhiều tầng trước đó . Còn đã có bug thì chả có gì là không thể. Khi clientApp đã bị giả mạo thì bắn 2 lệnh API cuối cùng là xong, mấy cái eKYC, đọc chip cccd hay các kiểu mà cụ thấy là với con người thôi.

con dơi 141 · 12:00 21/04/2026

itnd nói:
Nó chỉ không thể đồng thời nếu được thiết kế đúng, làm đúng (vd db chỉ cần set Unique Constraint (account, actived) cho chốt chặn cuối ở db. Thực tế sẽ cần validate > ngăn chặn ở nhiều tầng trước đó . Còn đã có bug thì chả có gì là không thể. Khi clientApp đã bị giả mạo thì bắn 2 lệnh API cuối cùng là xong, mấy cái eKYC, đọc chip cccd hay các kiểu mà cụ thấy là với con người thôi.

Với em thì sao mà bắn đc 2 cái API cuối cùng đồng thời là rất khó. Ngang với robotic đồng bộ điều khiển theo thời gian thực, không độ trễ. Thậm chí cái gán khớp đến phần triệu giây cũng quá khó, quá trùng hợp.

Trong khi đó việc copy một bản ghi và chèn vào thì hợp lý hơn nhiều.
Và hiện tại bank ko có dữ liệu sinh trắc học khi chuyển khoản số tiền lớn, cụ giải thích sao về việc bypass đc yêu cầu theo luật?

itnd · 12:08 21/04/2026

con dơi 141 nói:
Lỗi đó em hiểu nhưng ko thể reg 2 thiết bị đồng thời đc. Ngày giờ phút đăng jys thiết bị + ngày giờ gán tài khoản hoàn toàn khớp đến phần triệu của giây. Các thể loại share ...đều đi vòng nên không thể đồng thời, nhất là quá trình eKYC sẽ gây ra độ trễ lớn. Chỉ có thể là chèn vào DB.

À. E thêm 1 ý nữa vì có thể cụ ko làm việc liên quan tới bảo mật thì cụ sẽ không hiểu. Việc chèn vào DB (nếu có) thì cũng vô nghĩa. Vì bản chất là: clientApp (real/fake) xác thực > được chấp nhận (được thêm vào db) > server trả 1 key cho clientApp. Với key này (được bind với các thông số phần cứng của thiết bị) mới gen được SmartOtp. Nên việc chỉ chèn vào DB thì clientApp (fake) sẽ không có được key => vô nghĩa. Nên khả năng cao nhất của trường hợp này: phía backend có bug (không đánh chặn được trường hợp bất thường), phía khách hàng đã dùng 1 clientApp (đã bị can thiệp) để xác thực. Quá trình xác thực đã clientApp đó đã clone thêm 1 thiết bị giả mạo. Bước cuối cùng khi đã được chấp nhận thì private key kèm các thông số phần cứng giả mạo (mẹ bồng con) bị forward sang bên thứ 3.

[Funland] Vụ 'bốc hơi' 5 tỷ trong tài khoản gửi tiết kiệm online

Xe điện

Xe điện

Xe cút kít

Xe điện

Xe tăng

Xe tăng

Xe tải

Xe buýt

Xe điện

Xe hơi

Xe hơi

Xe hơi

Xe tăng

Xe tải

Xe điện

Xe điện

Xe điện

Xe hơi

Xe điện

Xe hơi

Thông tin thớt