Ông Trần Việt Luận, ngụ quận Thủ Đức (TP HCM) cho biết tài khoản tại Ngân hàng Ngoại thương Việt Nam (Vietcombank) phát sinh 4 giao dịch chuyển khoản vào trưa 4/9.
Vì không nhận được tin nhắn thông báo mã xác thực, biến động số dư qua điện thoại nên ông không phát hiện cho đến khi ra ngân hàng giao dịch vào chiều cùng ngày.
Khách hàng này khẳng định 4 giao dịch không phải mình thực hiện và cũng không biết đối tượng thụ hưởng là ai. Ông cho biết trước đó không cung cấp, chia sẻ tên truy cập dịch vụ hay mật khẩu VCB Digibank cho bất cứ ai.
"Lúc đến chi nhánh Nam Bình Dương làm lệnh chuyển tiền, tôi mới tá hoả khi được thông báo tài khoản chỉ còn 5 triệu đồng", ông Luận nói với VnExpress. Ngay sau đó, ông đưa điện thoại cho nhân viên ngân hàng kiểm chứng không nhận được tin nhắn và đề nghị lập biên bản, dừng ngay các giao dịch.
Vietcombank cho biết, việc đăng nhập tài khoản trên thiết bị mới (không phải điện thoại ông Luận dùng ban đầu) và thực hiện 4 giao dịch chuyển tiền, là hoàn toàn hợp lệ.
Để chuyển sang thực hiện giao dịch trên một thiết bị mới, theo quy trình của Vietcombank, khách hàng cần kích hoạt cả ứng dụng Digibank và tính năng SmartOTP (ứng dụng cho phép lấy mã xác thực OTP mà không cần nhận qua tin nhắn SMS).
Ở cả hai khâu này, việc kích hoạt chỉ thành công nếu khách hàng nhập đúng mã OTP (đã gửi qua số điện thoại đầu tiên đăng ký với ngân hàng).
Theo kết quả tra soát của Vietcombank, ở cả hai lần kích hoạt Digibank và SmartOTP (lúc 11h và 11h2'), hệ thống đều gửi OTP đến số điện thoại của khách hàng và đối tượng thực hiện giao dịch đều nhập chính xác.
Nhưng tính năng xác thực bằng SmartOTP trên thiết bị mới của Vietcombank chỉ có thể được sử dụng sau khi khách hàng thực hiện thành công hai giao dịch chuyển tiền bằng phương thức xác thực OTP qua tin nhắn điện thoại.
Ngay cả ở khâu này, đối tượng vẫn nhập đúng mã xác thực và chuyển khoản hai lần, tổng cộng 89 triệu đồng tới người thụ hưởng Pham Lan Anh tại Ngân hàng Đông Nam Á (SEA Bank).
Sau khi nắm hoàn toàn SmartOTP trên thiết bị mới, lúc 11h07, đối tượng chuyển 317 triệu đồng tới tài khoản Vo Khoa Tuan tại Ngân hàng Hàng hải Việt Nam (MSB) thông qua hai giao dịch.
Như vậy, để thực hiện được tới bước này, người thực hiện giao dịch nếu không phải ông Luận, phải chiếm được quyền kiểm soát tin nhắn điện thoại của khách hàng bởi đã nhập đúng OTP tới 4 lần.
Ông Luận vẫn khẳng định từ lúc phát sinh các giao dịch đến khi phát hiện, ông là người duy nhất tiếp xúc với điện thoại đăng ký nhận tin nhắn của ngân hàng.
Khách hàng này phủ nhận khả năng điện thoại bị chiếm quyền, chuyển tiếp tin nhắn đến một thiết bị khác rất khó vì được khóa bằng nhận diện khuôn mặt và luôn kề bên mình.
Tuy nhiên, trong công văn trả lời ông Luận sau đó chục ngày, Vietcombank dẫn xác nhận của nhà mạng Vinaphone cho thấy, ngân hàng đã gửi tổng cộng 8 tin nhắn (4 tin xác thực và 4 tin biến động số dư) đến điện thoại ông Luận.
"Đây là trường hợp nghi ngờ bị giả mạo giao dịch qua ứng dụng VCB Digibank dẫn đến bị rút tiền trong tài khoản", đại diện Vietcombank trả lời VnExpress.
Sau khi nhận đơn khiếu nại, chi nhánh ngân hàng đã kiểm tra trên hệ thống và làm việc với các bên liên quan để xử lý yêu cầu tra soát giao dịch, cấp mật khẩu VCB Digibank và hướng dẫn khách hàng kích hoạt lại dịch vụ.
Vietcombank cũng hai lần gặp trực tiếp khách hàng để trả lời, cung cấp thông tin liên quan và sẽ tiếp tục cập nhật trong thời gian chờ kết quả tra soát giao dịch tại ngân hàng hưởng. Ngân hàng đã tư vấn và hướng dẫn ông Luận trình báo vụ việc với công an để xác minh và truy bắt tội phạm.
Đại diện Vietcombank khẳng định hệ thống của ngân hàng an toàn và đáp ứng quy định pháp luật liên quan đến cung ứng dịch vụ trực tuyến, đồng thời lưu ý khách hàng giữ bí mật các yếu tố định danh, thực hiện theo hướng dẫn của ngân hàng về giao dịch an toàn.
Link bài gốc