Hướng dẫn sử dụng kích hoạt phần mềm smartOTP của Vietcombank - Ảnh cắt từ hướng dẫn sử dụng

Theo lý giải của ngân hàng, từ thông tin khách hàng cung cấp, có cơ sở để xác định khách hàng này đã truy cập vào một trang web giả mạo có địa chỉ http://creatingacreator.com/kob/1/index.htm và thông tin, mật khẩu của khách hàng đã bị đánh cắp từ đây.

Nếu đúng theo quy trình chuyển khoản thì chủ tài khoản phải nhập mật khẩu dùng một lần OTP thì giao dịch mới được thực hiện. Tuy nhiên, chủ tài khoản bị mất tiền cho biết chị không hề nhận được mã xác thực nào từ các giao dịch đó.

Phía ngân hàng cho biết có hai dạng mã OTP là nhận qua tin nhắn điện thoại và smartOTP. Để đăng ký mã smartOTP, khách hàng phải đăng nhập được vào hệ thống. Tuy nhiên, trước đó khách hàng đã vào trang web giả mạo để khai tên đăng nhập và mật khẩu, xem như bọn tội phạm đã “lấy được chìa khóa nhà” nên có thể vào và tạo smartOTP để sử dụng.

Theo hướng dẫn cài đặt và sử dụng smartOTP của Vietcomank thì sau khi tải thành công ứng dụng smartOTP, khách hàng phải nhập số điện thoại đã đăng ký dịch vụ VCB-SMS Banking. Sau đó, mã kích hoạt ứng dụng sẽ được gửi tới số điện thoại vừa nhập.

Như vậy, để đăng ký thành công dịch vụ smartOTP, hacker vẫn cần thông qua số điện thoại khách hàng đã trực tiếp đăng ký khi sử dụng VCB-SMS Banking.

Vậy, lẽ nào khách hàng nhận, tự gửi mã OTP cho hacker sử dụng và chịu mất tiền?

Mặt khác, nếu hacker có thể nhập bất kỳ số điện thoại nào khi đăng ký SmartOTP (mà không phải là số điện thoại khách hàng đã đăng ký trước đó khi sử dụng dịch vụ VCB-SMS Banking) thì liệu hệ thống bảo mật này có đủ độ an toàn?

Một trường hợp khác có thể xảy ra đó là hacker chiếm được quyền kiểm soát thiết bị của khách hàng do thiết bị ấy bị nhiễm mã độc.

Kết luận của ngân hàng chỉ là đơn phương

Theo luật sư Trần Ngọc Quý (Đoàn luật sư TP.HCM), để xác minh trách nhiệm của hai bên, trước tiên phải xem xét khách hàng có thực hiện đúng quy trình giao dịch hay không. Tuy nhiên, nếu ngân hàng kết luận lỗi thuộc về khách hàng thì đó cũng chỉ là quan điểm từ một phía.

Khách hàng không đồng ý với kết luận này thì hoàn toàn có thể khởi kiện ra tòa để bảo đảm quyền lợi của mình.

“Chỉ khi nào có bản án kết luận có hiệu lực pháp luật của tòa án thì mới rõ được ai đúng ai sai trong trường hợp này. Đây mới là bản án có giá trị thi hành sau cùng, còn kết luận của ngân hàng chỉ là ý kiến của một bên chứ không phải phán quyết để buộc khách hàng phải tuân theo” - LS Trần Ngọc Quý nói.

Đồng tình với ý kiến trên, LS Trương Thanh Đức - Trung tâm Trọng tài quốc tế VN - cho rằng kết luận của ngân hàng cũng chỉ là kết luận đơn phương và nếu không đồng ý, khách hàng có thể kiện ra tòa hoặc kiến nghị trọng tài vào cuộc giải quyết.

Việc khởi kiện ra tòa hay kiến nghị trọng tài phụ thuộc vào điều khoản khi xảy ra tranh chấp thì sẽ giải quyết ở đâu trong hợp đồng ký kết ban đầu giữa khách hàng và ngân hàng.

Nếu cảm thấy có dấu hiệu tội phạm, lừa đảo thì khách hàng có thể gửi đơn tố giác tội phạm, yêu cầu cơ quan công an giải quyết.

Tài khoản dễ bị xâm phạm nghĩa là hệ thống bảo mật có vấn đề

Ông Võ Đỗ Thắng (giám đốc Trung tâm an ninh mạng ATHENA) đánh giá mobile banking hay Internet banking là những dịch vụ rất tiện lợi mà ngân hàng cung ứng cho người dùng, để họ có thể thực hiện giao dịch một cách nhanh chóng, tiết kiệm thời gian nhất.

Tuy nhiên, sự việc bị mất tiền được cho là vì truy cập vào một đường link giả mạo của ngân hàng cũng có thể làm nhiều người lo lắng về vấn đề an toàn, bảo mật tài sản của mình trong thẻ ATM.

LS Trương Thanh Đức cho rằng tuy không có hệ thống bảo mật nào là hoàn hảo, nhưng trách nhiệm của ngân hàng là phải cố gắng hết sức để đảm bảo an toàn cao nhất cho tài sản của khách hàng.

“Ngân hàng có thể dùng cách này hay cách khác, một tầng hay nhiều tầng bảo mật, mức độ bảo mật khó… nhưng mục đích cao nhất hướng đến vẫn là bảo đảm an toàn tuyệt đối cho tài sản, giao dịch của khách hàng.

Trừ những trường hợp ngoại lệ, hi hữu thì việc tài khoản dễ dàng bị xâm phạm, bị mất tiền nghĩa là hệ thống bảo mật có vấn đề”, ông Trương Thanh Đức nói.

Người dùng phải vô cùng cẩn trọng

Theo ông Võ Đỗ Thắng, để tự bảo vệ mình, khách hàng phải vô cùng cẩn trọng khi truy cập vào những đường link hay tải những ứng dụng ngân hàng từ các chợ ứng dụng.

“Khách hàng lưu ý phải đọc kỹ đường link xem có chính xác 100% do ngân hàng cung cấp hay không trước khi thực hiện nhập mật khẩu vào giao dịch. Thêm nữa, không nên tải những ứng dụng ngân hàng từ những nguồn không chính thống.

Chỉ nên tải ứng dụng ngân hàng theo đường link chính xác mà ngân hàng cung cấp khi giới thiệu dịch vụ cho khách hàng”, ông Thắng nói.

Về phía ngân hàng, theo ông Võ Đỗ Thắng, để đảm bảo an toàn, an ninh, ngoài việc phải xây dựng hệ thống bảo mật chặt chẽ, còn phải tính đến yếu tố con người, tức những người vận hành hệ thống.

Ông Ngô Tuấn Anh, phó chủ tịch phụ trách an ninh mạng của Bkav, cũng đưa ra lời khuyên: đối với người sử dụng khi thực hiện các giao dịch trên máy tính cần đặc biệt lưu ý không bấm vào các đường link được gửi qua email hoặc tin nhắn. Khi cần truy cập thì nên gõ lại địa chỉ đó vào trang web, bởi vì hacker có thể dễ dàng giả mạo trang web với giao diện giống y hệt trang web thật.

Ngoài ra cũng nên cài phần mềm bảo mật trên máy tính hoặc điện thoại để tránh bị người khác lén cài phần mềm theo dõi, giám sát những thông tin nhạy cảm của chúng ta.

“Chúng ta chỉ nên cài đặt những ứng dụng từ kho chính thống, ví dụ như Google Play Store hay Apple App Store, không nên cài đặt phần mềm từ những kho trôi nổi trên mạng, vì hầu hết những phần mềm này là có chứa mã độc có thể theo dõi và giám sát thông tin trên điện thoại của chúng ta” - ông Ngô Tuấn Anh nói. 

* Mời bạn đọc nghe phát biểu của các chuyên gia trong bài: 

>> Ông Ngô Tuấn Anh:

>> Ông Võ Đỗ Thắng:

* Tuổi Trẻ có bài phỏng vấn ông Nguyễn Ái Dân, chuyên gia về công nghệ ngân hàng. Mời bạn đọc nghe phần phát biểu của ông Nguyễn Ái Dân: 

>> Ông Nguyễn Ái Dân: 

[AUDIO id=1471247439616 alt=""]//static.tuoitre.vn/tto/r/2016/08/15/nguyen-ai-dan-15-8-cut-mp3-1471247365.mp3[/AUDIO]