Tò mò đăng nhập trang web và hơn 460 triệu đồng bị “ngân hàng" giả mạo VPBank lừa đảo

(Dân trí) - Chỉ trong vòng có 2 phút, với 18 giao dịch, chị N.T.M.K đã bị kẻ gian giả mạo nhân viên ngân hàng VPBank lừa hơn 460 triệu đồng.

2 phút, 18 giao dịch và hơn 460 triệu đồng

Theo phản ánh của chị N.T.M.K (Hà Nội): Cuối chiều ngày 4/12, chị nhận được tin nhắn từ tổng đài có tên Routee thông báo trúng 1 sổ tiết kiệm từ “SAN SO LOC VANG” tri ân và yêu cầu truy cập vào website http://trian.bank-vp.com để nhận giải, kèm theo số điện thoại liên hệ số 02439959368.

Khi chị K. đăng nhập vào website nói trên thì hiện ngay ra tên miền (https://online.vpbank.com.vn/cb/pages/jsp-ns/login-cons.jsrp), giao diện màu sắc logo, phông chữ, nền… giống hệt website của Ngân hàng Việt Nam Thịnh Vượng (VPBank) mà chị vẫn thường truy cập để thực hiện giao dịch.

"Tôi càng yên tâm hơn khi khẳng định nó chính là website của VPBank nên gõ tên đăng nhập và mật khẩu vào hệ thống”, chị K. nói. Chị K. cho rằng ở khâu này chưa thể xảy ra rủi ro được bởi nếu muốn trục lợi tiền từ tài khoản của chị thì vẫn còn một khâu bảo mật rất quan trọng là mã OTP.

Nhưng ngay sau đó, chị nhận được một cuộc gọi hỏi đích danh tên chị (cả tên cũ và tên mới chuyển đổi), cũng như đọc luôn 4 số đầu và 4 số cuối thẻ tín dụng mà chị K. đang sử dụng ở ngân hàng. Rồi "nhân viên" này thông báo chị K. đã trúng sổ tiết kiệm trị giá 30 triệu đồng và yêu cầu chị đọc đầy đủ số tài khoản để hoàn tất việc trao giải.

"Nhân viên" này còn giải thích cho chị K đó là quy định của ngân hàng, nếu không tin chị K. có thể gọi đến tổng đài để xác minh. “Tôi linh cảm có điều gì đó không ổn nên cúp máy, đồng thời gọi ngay cho nhân viên ngân hàng VPBank - Chi nhánh Giảng Võ nơi tôi vẫn hay giao dịch để hỏi tình hình. Bạn ấy bảo, ngân hàng thỉnh thoảng vẫn có chương trình khuyến mãi này kia, có tặng tiền cho khách gửi tiết kiệm… nhưng chị cứ tìm hiểu và đọc kỹ nhé”, chị K. kể.

Ngay khi đang nói chuyện với nhân viên ngân hàng thì chị K. nhận được tin nhắn báo vào điện thoại với nội dung chị đã vay ngân hàng 360 triệu đồng.

Tò mò đăng nhập trang web và hơn 460 triệu đồng bị “ngân hàng giả mạo VPBank lừa đảo - 1
Các thông báo mà chị K. nhận được.

Đúng 5 giây sau, chị K. tiếp tục nhận được tin nhắn vay thêm 90 triệu đồng. Tiếp 2 giây, chị nhận được tin nhắn báo tài khoản bị trừ 3.507.700 đồng, rồi 500.000 đồng, 500.000 đồng… liên tiếp cứ 2-5 giây lại có 1 giao dịch 500.000 đồng.

Tổng cộng chị K. nhận được 18 tin nhắn với 2 giao dịch vay tổng cộng 450 triệu đồng và 16 tin nhắn bị trừ 11,5 triệu đồng trong tài khoản.

Chị K. cuống quýt gọi lại cho nhân viên ngân hàng VPBank - Chi nhánh Giảng Võ kể về vụ việc, yêu cầu khóa thẻ, phong tỏa tài khoản và các giao dịch.

VPBank nói gì?

Trao đổi về trường hợp của chị K., đại diện VPBank cho biết: "Ngân hàng đã tiếp nhận vụ việc của khách hàng N.T.M.K và đã triển khai ngay lập tức các biện pháp bảo vệ cho tài sản của khách hàng tại ngân hàng. Chúng tôi rất lấy làm tiếc với những thiệt hại mà khách hàng gặp phải và đang nỗ lực hết sức để bảo vệ cho quyền lợi chính đáng của khách hàng".

Hiện tại, VPBank đã báo cáo vụ việc tới các cơ quan chức năng để được điều tra làm rõ, và sẽ phối hợp cung cấp thông tin kịp thời để vụ việc sớm có kết luận, đảm bảo quyền lợi của khách hàng.

"Kiểm tra kỹ thông tin, chúng tôi nhận thấy, tin nhắn và đường link mà khách hàng nhận được đều là giả mạo VPBank", đại diện ngân hàng khẳng định. VPBank cũng đã thử truy cập và thực hiện các nội dung/hướng dẫn tại đường link thì thấy: Bước 1 website sẽ yêu cầu đăng nhập bằng tên tài khoản (user) và mật khẩu (pass) ngân hàng điện tử, bước thứ hai là yêu cầu cung cấp email và mật khẩu email đã đăng ký với ngân hàng, bước thứ ba là nhập mã OTP để xác nhận.

Trong trường hợp người dùng đã thực hiện đủ cả 3 bước trên thì kẻ gian đã lấy được: (1) user và pass tài khoản ngân hàng điện tử, (2) user và pass email cá nhân, (3) mã OTP, trong trường hợp này là mã để xác nhận việc đổi từ phương thức nhận OTP bằng SMS sang nhận bằng email.

Tò mò đăng nhập trang web và hơn 460 triệu đồng bị “ngân hàng giả mạo VPBank lừa đảo - 2
Cảnh báo trên trang web chính thức của VPBank.

Qua tra soát, hệ thống VPBank ghi nhận các giao dịch trong ngày 4/12/2019 sau:

16h23: Tài khoản đăng nhập trên hệ thống VPBank Online và khởi tạo yêu cầu đổi phương thức nhận OTP từ SMS qua email.

16h24: hệ thống gửi mã OTP vào số điện thoại 0988xxxxxx xác nhận việc đổi phương thức nhận OTP từ SMS sang email.

16h24p23s: tài khoản đã thực hiện đổi thành công sang phương thức nhận OTP bằng email. Địa chỉ email đăng ký nhận OTP là địa chỉ đã được khách hàng N.T.M.K đăng ký trên hệ thống VPBank từ năm 2016.

Từ 16h26-16h49: phát sinh 1 giao dịch chuyển tiền đi trong TKTT 17*****759 và 15 GD mua mã thẻ trên thẻ TD 114-P-******80 / 524394****4760, đồng thời khởi tạo 2 khoản vay cầm cố sổ tiết kiệm với giá trị lần lượt là 360 triệu và 90 triệu đồng.

"Đây là hai khoản vay cầm cố sổ tiết kiệm, khoản vay sẽ được phê duyệt ngay sau khi người dùng tạo yêu cầu, với hạn mức tối đa bằng 90% giá trị sổ tiết kiệm hiện có. Tuy nhiên, việc giải ngân khoản vay chỉ được thực hiện khi người khởi tạo khoản vay mang sổ tiết kiệm là tài sản cầm cố tới nhập kho của ngân hàng trong vòng 12h, sau 12h khoản vay sẽ bị hủy trên hệ thống nếu tài sản cầm cố chưa nhập kho hoặc người khởi tạo yêu cầu hủy. Ngay sau khi tiếp nhận yêu cầu tra soát của khách hàng N.T.M.K, VPBank đã hủy hai khoản vay nói trên và gửi thông báo SMS tới khách hàng", thông tin cho hay.

"Hiện nay, chúng tôi vẫn đang tích cực phối hợp với các cơ quan chức năng và với khách hàng để thực hiện các bước xử lý tiếp theo nhằm làm rõ vụ việc", đại diện VPBank thông tin thêm.

An Hạ