"Vừa đọc xong 3 mã OTP gửi về điện thoại cho một người xưng là bộ phận ngân hàng, tiền trong tài khoản anh T bị chuyển sạch"; "Chưa tới 5 phút sau một cuộc điện thoại, gần 20 triệu đồng trong tài khoản khách hàng biến mất"; "Chỉ trong vài ngày, nhiều nữ giáo viên ở Quảng Trị bị đối tượng lạ gọi điện thoại uy hiếp, lấy số tài khoản, mật khẩu, mã xác thực OTP lừa từ vài triệu đến vài chục triệu đồng". Những thông tin trên không khó bắt gặp trên các phương tiện thông tin đại chúng, đặc biệt là trong thời gian gần đây.
Từ đầu tháng 8 đến nay, chỉ tính riêng những vụ lừa đảo trong lĩnh vực ngân hàng liên quan đến mã bảo mật OTP trên các phương tiện thông tin đã lên tới hai con số. Thủ đoạn không có gì đặc biệt và thường dùng chung một công thức: liên lạc từ xa, qua email hoặc điện thoại; giả danh nhân viên ngân hàng, người bán hàng; yêu cầu cung cấp thông tin tài khoản ngân hàng, đặc biệt mã OTP; và cuối cùng, tiền trong tài khoản khách hàng "bốc hơi".
OTP, viết tắt của One Time Password, là loại mật khẩu một lần bị giới hạn thời gian sử dụng. Đoạn mã bằng số, thường gồm 4 đến 6 ký tự, xuất hiện khi khách hàng thực hiện các giao dịch thanh toán ngân hàng, như mua hàng online hay chuyển khoản, và được xem là lớp bảo mật thứ hai bên cạnh mật khẩu, giúp sử dụng dịch vụ ngân hàng điện tử an toàn hơn.
Vậy tại sao liên tục những vụ lừa đảo trong lĩnh vực ngân hàng liên quan đến OTP, khi mà xác suất đoán đúng một chuỗi 6 số gần tương đương với xác suất để một người bị sét đánh? Từ những lập luận trên, câu trả lời thực tế là liên quan đến hành vi của khách hàng.
Từ đầu năm, liên tục các nhà băng đã ra cảnh báo về tình trạng lừa đảo, giả danh nhân viên ngân hàng để lấy mã OTP của khách hàng.
Ngân hàng Việt Nam Thịnh Vượng (VPBank) trong thông báo mới nhất đề nghị khách hàng tuyệt đối không cung cấp mật khẩu, mã OTP cho người khác trong bất cứ trường hợp nào, kể cả yêu cầu của những người gọi đến tự xưng là nhân viên ngân hàng.
"Ngân hàng đã nhiều lần khuyến cáo khách hàng không cung cấp thông tin thẻ, mã OTP theo yêu cầu từ các cuộc gọi lạ xưng danh là nhân viên ngân hàng hoặc đối tác ngân hàng. Thực tế, ngân hàng không bao giờ yêu cầu khách hàng cung cấp thông tin bảo mật, đặc biệt là mật khẩu, mã OTP. Vì vậy, nếu có người tự xưng là nhân viên ngân hàng yêu cầu cung cấp những thông tin này, chắc chắn đó là đối tượng lừa đảo”, ông Nguyễn Thành Long, Phó Tổng giám đốc VPBank chia sẻ.
Như VPBank, ngay trong tin nhắn cung cấp mã OTP đã có khuyến cáo: “Không cung cấp mã OTP cho bất kỳ ai, kể cả nhân viên ngân hàng", tuy nhiên vẫn có những khách hàng lơ là, mất cảnh giác.
Techcombank, TPBank, HDBank hay nhiều nhà băng khác gần đây cũng liên tục cảnh báo về tình trạng này và khuyến khị khách hàng tuân thủ theo các quy định về giao dịch, đặc biệt là bảo mật về thông tin.
Tuy nhiên, những trường hợp mất tiền do để lộ mã OTP, thông tin tài khoản, thực tế, vẫn đang diễn ra. Những vụ việc này, cả số lượng và quy mô, còn đang có dấu hiệu tăng nhanh, bất chấp những cảnh báo được đưa ra liên tục.
Cuộc cách mạng công nghệ 4.0, chuyển đổi số đang thay đổi từng ngày bộ mặt của ngành tài chính, đặc biệt là ngân hàng. Nhiều xu hướng mới xuất hiện, như Fintech, trung gian thanh toán, P2P Lending, được các chuyên gia nhận định sẽ là thách thức cho các nhà băng trong kỷ nguyên số. Tuy nhiên, gần đây đã có thêm nhận định khác cho rằng, không chỉ cạnh tranh về lĩnh vực hoạt động, thách thức của các ngân hàng còn đến từ việc thích nghi của khách hàng với những xu hướng mới.
Những biện pháp xác thực, đảm bảo an toàn giao dịch điện tử cũng song hành với những xu hướng mới, đó là định danh điện tử (e-KYC) sắp có hành lang pháp lý, bảo mật bằng sinh trắc học, công nghệ blockchain... dự báo sẽ là tương lai của ngành ngân hàng. Nhưng khi công nghệ càng mới, càng hiện đại, hành vi của khách hàng đang đặt ra một bài toán mới, như trường hợp những vụ chiếm đoạt thông qua ăn cắp mã OTP gần đây.