Thứ Ba, 16 tháng 8, 2016

Lộ chiêu thức lừa lấy mã OTP

ÁNH HỒNG

TTO - Sau vụ chị Hoàng Thị Na Hương bị lấy 500 triệu đồng trong tài khoản, Tuổi Trẻ nhận được phản ảnh của chủ thẻ tại TP.HCM vừa bị tội phạm “dụ” cung cấp mã OTP (mật khẩu dùng một lần), sau đó lừa lấy tiền trong thẻ ATM.

Chủ thẻ này cung cấp chi tiết phương thức lừa của bọn tội phạm với mong muốn những người khác biết cách phòng tránh.

Tường tận thông tin 
cá nhân của chủ thẻ

Ông P.T.H. - bác sĩ tại một bệnh viện ở quận 5 (TP.HCM) - kể khoảng 6g30 ngày 12-8, ông nhận được tin nhắn từ Facebook của chị C. là điều dưỡng trưởng khoa chấn thương chỉnh hình tại bệnh viện ông đang công tác (hiện đang học tại Philippines) với nội dung nhờ nhận 35 triệu đồng gửi về để giải quyết việc gia đình, đồng thời yêu cầu ông H. cung cấp số điện thoại và số tài khoản.

Sau khi ông H. gửi số tài khoản của một ngân hàng có trụ sở tại quận Phú Nhuận, người này yêu cầu số tài khoản có đăng ký dịch vụ Internet banking để thuận tiện thao tác nên ông H. đã cung cấp số điện thoại của Vietcombank.

Sau khi nhắn số tài khoản, khoảng hai phút sau ông H. nhận được tin nhắn từ đầu số nước ngoài (số điện thoại +48780236...) với nội dung ông H. được chuyển 35 triệu đồng với mã xác nhận và link vào trang web onlinemoneygram7.webnode.vn.

Đăng nhập vào đường link trang web đó thấy yêu cầu khai báo thông tin cá nhân khá nhiều. Do nghi ngờ mình bị lừa, ông H. đã hỏi “có phải chị C. không?”, bên kia trả lời đúng. Để chắc ăn, ông H. lại đặt câu hỏi “con của chị làm khoa nào trong bệnh viện?”, người này không trả lời được mà gửi cho ông H. hình chứng minh nhân dân của chị C..

“Tôi vẫn chưa tin nên tiếp tục kiểm tra bằng câu hỏi bí mật thứ 2 là “password WiFi của khoa là gì?”, nhưng chỉ nhận được câu trả lời “già rồi nên không nhớ” kèm theo hình thẻ tín dụng của chị C.” - ông H. kể.

Dù vẫn còn “lăn tăn” nhưng sau khi “chị C.” gợi lại câu chuyện xưa từng đưa cho ông H. một số tiền, ông H. đã tin người đang nói chuyện là “chị C.” thật nên làm theo hướng dẫn của người này, nhưng nhập thông tin nhiều lần mà không thành công. Sau đó “chị C.” nói đưa mã OTP của ngân hàng gửi để nhập thông tin.

Do gần đến 7g sáng, thời điểm phải đến bệnh viện nên ông H. lấy cớ thoái thác là “để sau”, nhưng đầu bên kia liên tục gọi điện thoại thông qua Facebook.

Tuy nhiên, điều kỳ lạ là khi ông H. bắt máy thì không nghe thấy gì, màn hình bên kia cũng đen thui chứ không hiện lên hình ảnh người gọi. Sau vài lần không trao đổi gì được, “chị C.” gửi tin nhắn cho biết “cứ alô hoài mà sao không nghe trả lời”. Do quá sát giờ đi làm trong khi bên kia cứ hối “có mã thì chuyển chị” nên ông H. đã chuyển mã OTP.

Ngay sau đó, ông H. nhận được rất nhiều tin nhắn từ Vietcombank về việc hủy dịch vụ SmartOTP rồi đăng ký lại dịch vụ SmartOTP, sau đó là thay đổi hạn mức chuyển tiền qua Internet banking từ 50 triệu đồng lên 100 triệu đồng.

Tiếp đến là tin nhắn trừ 56 triệu đồng trong tài khoản. Sau khi trừ, tài khoản của ông H. chỉ còn lại chưa đầy 1 triệu đồng. Chưa hết, tài khoản tiết kiệm của ông cũng bị rút hết 3 triệu đồng.

“Thấy tài khoản bị trừ tiền, tôi hoảng quá hỏi lại đầu dây bên kia thì “chị C.” trấn an tôi rằng do chuyển tiền nước ngoài nên như vậy, yên tâm một lúc sau tiền sẽ tự động chuyển trả vào tài khoản cho tôi kèm thêm 35 triệu đồng chị gửi. Chị cũng yêu cầu tôi trong thời gian khoảng 30 phút đừng vào tài khoản. Thấy kỳ lạ, tôi gọi lại chị qua Facebook thì đầu bên kia không nghe máy và sau đó hủy kết bạn với tôi” - ông H. kể lại.

Tạo dựng một kịch bản hoàn hảo

Do quá hoảng, ông H. gọi điện lên số điện thoại đường dây nóng của Vietcombank nhưng rất khó liên hệ nên ngay lập tức chạy lên chi nhánh của Vietcombank trình báo sự việc. Trong lúc ngồi chờ theo yêu cầu của nhân viên ngân hàng, ông H. nhận được điện thoại từ tổng đài của Vietcombank hỏi có phải ông bị lừa và vừa chuyển một số tiền lớn vào một tài khoản không.

“Ngân hàng cho tôi biết một trang web chuyên bán thẻ cào điện thoại nhận được một lượng tiền lớn để mua thẻ cào. Nghi ngờ nên bên phía trang web đã gọi điện thoại hỏi ngân hàng. Từ đó ngân hàng đã chặn kịp 28,8 triệu đồng và trả vào tài khoản cho tôi. Số tiền còn lại ngân hàng cho biết vẫn đang trong quá trình xử lý và đến chiều 15-8 vẫn chưa có 
thông tin chính thức” - ông H. cho biết thêm.

Ông H. tìm cách liên lạc với chị C. mới biết bọn tội phạm đã tấn công Facebook của bạn chị rồi lừa chị chụp hình chứng minh nhân dân, hình thẻ tín dụng và chuyển tiền nhưng chị không chuyển. Sau đó chúng đã cướp luôn tài khoản Facebook và email của chị.

Sau khi bị lừa, ngay buổi trưa 12-8 ông H. đăng tải thông tin trên Facebook của mình là tài khoản chị C. đã bị hack và đừng ai chuyển tiền nếu được yêu cầu, nhưng ngay sau đó ông phát hiện status đó đã bị xóa.

Nghi Facebook bị kiểm soát, ông H. đổi mật khẩu và đăng một status khác là Facebook của ông đã bị hack, chưa đầy một phút sau dòng status đó lại bị xóa.

“Tôi muốn nêu lên câu chuyện của mình để những chủ thẻ khác biết mà phòng tránh. Những ngày qua, thông tin lừa đảo qua Facebook nở rộ, đặc biệt thông tin bốc hơi 500 triệu đồng trong tài khoản nhưng mọi người chỉ biết chung chung, nay chính mình trải qua nên tôi nhận thấy chiêu thức của bọn tội phạm là tạo một kịch bản hoàn hảo” - 
ông H. nói.

Theo ông H., bọn lừa đảo thường lựa chọn thời điểm “con mồi” chuẩn bị đi làm, đồng thời là người được nhận tiền khiến nạn nhân mất cảnh giác, làm cho nạn nhân tin người đang nói chuyện với mình chính là người quen thật qua các hình ảnh và những kỷ niệm.

“Chúng nghiên cứu rất kỹ chị C. - người mà chúng đóng vai, đồng thời tạo ra một giao dịch phức tạp, nhiều tin nhắn phản hồi khiến tôi không thực hiện được và đã trao mã OTP cho chúng lúc nào không hay. Đến khi tài khoản bị trừ tiền, tôi mới biết bị lừa” - ông H. phân tích.
***

Vẫn tiếp tục 
lừa đảo

Không chỉ làm việc với ngân hàng, ông H. cho biết đã tìm đến cơ quan công an để trình báo nhưng gặp nhiều khó khăn, được “chỉ từ nơi này qua nơi khác” nên mất một ngày ông mới trình báo được với công an phường nơi đang sinh sống.

Tuy nhiên đến nay, sau 4 ngày tài khoản Facebook này vẫn hoạt động và đi lừa thêm nhiều người khác. Theo thông tin ông H. nắm được, trong vai “chị C.”, bọn tội phạm này đã lừa một điều dưỡng khác số tiền hơn 50 triệu đồng với thủ đoạn tương tự.

Cũng theo ông H., khách hàng rất khó liên hệ được số điện thoại đường dây nóng ngân hàng nên không thể yêu cầu khóa thẻ khẩn cấp khi xảy ra sự cố.
***

Không cung cấp OTP cho bất kỳ ai

Đó là khuyến cáo của Ngân hàng (NH) Nhà nước đối với người dùng thẻ và các dịch vụ NH điện tử, ví điện tử sau sự kiện một khách hàng bỗng dưng bị mất 500 triệu đồng trong tài khoản mở tại Vietcombank và một loạt NH cảnh báo về các phương thức lừa đảo qua thẻ.

Khi sử dụng các dịch vụ NH điện tử cần bảo mật thông tin về tên/mật khẩu đăng nhập các dịch vụ NH điện tử, mã xác thực giao dịch OTP. Đặc biệt, không cung cấp các thông tin này cho bất kỳ đối tượng nào, kể cả nhân viên NH qua điện thoại, email, mạng xã hội...

Cũng theo NH Nhà nước, người sử dụng thẻ và các dịch vụ NH điện tử cần cài đặt phần mềm phòng chống mã độc hại, thiết lập tính năng xác thực khi truy cập như mật mã hoặc vân tay... cho điện thoại hoặc thiết bị di động khi sử dụng các thiết bị này cho các dịch vụ NH trực tuyến.

Chỉ thực hiện đăng nhập trên website chính thức của các NH và mua sắm, thanh toán trực tuyến tại các trang mạng uy tín, tin cậy.

L.THANH