Những giao dịch ‘ma’ trên tài khoản khi chúng ta đang ngủ

Chưa từng nhấp vào đường link lạ, không cung cấp mã xác thực OTP cho bất kỳ ai… nhưng vẫn mất tiền. Đâu là lý do?

Kịch bản tinh vi, “đánh” lúc nửa đêm

“Mình mất hơn chục triệu chỉ trong một đêm. Cho đến bây giờ vẫn bàng hoàng, không thể tin nổi chuyện đó là sự thật”, anh H.T. (35 tuổi, ngụ TP.HCM) kể lại cú lừa ngoạn mục của kẻ gian. Là người thận trọng, anh T. khẳng định chưa từng nhấp vào đường link lạ, không cung cấp mã xác thực OTP cho bất kỳ ai, càng không tham gia các cuộc gọi video yêu cầu lộ mặt.

Vậy mà chỉ trong vài tiếng đồng hồ giữa đêm khuya, số tiền tích lũy thời gian dài của anh để trong tài khoản ngân hàng bỗng nhiên bị “bốc hơi”.

Theo đó, khoảng 11h đêm, khi anh T. đang ngủ, kẻ gian bắt đầu hành động. Chúng chuyển tiền từ tài khoản ngân hàng của anh sang ví điện tử, và liên kết ví với một tài khoản trên sàn thương mại điện tử.

Sau đó, hàng loạt giao dịch mua sắm được thực hiện ngay trong đêm, nhưng mục đích không phải để mua hàng thật mà là rút ruột tài khoản bằng cách “quay vòng tiền” qua các đơn hàng ảo, dẫn về tay kẻ lừa đảo.

Sau khi rà soát mọi nguyên nhân, anh T. cho biết kẻ xấu đã dò được mật khẩu ví điện tử của mình do anh đã thiết lập mật khẩu khá dễ nhớ, và đặc biệt là không bật tính năng xác thực 2 yếu tố.

“Số tiền này rất lớn với mình. Mình chia sẻ để mong nhiều người cẩn trọng hơn”, anh T. nói. Đồng thời rút ra kinh nghiệm, trong toàn bộ mắt xích gồm tài khoản ngân hàng – liên kết ví điện tử – liên kết tới tài khoản trên sàn thương mại điện tử đều phải thiết lập các lớp bảo mật nhiều nhất có thể để hạn chế rủi ro.

Trong một trường hợp khác, anh T.H.Vinh (25 tuổi) cho biết tài khoản bị cuỗm gần 9 triệu đồng, cũng trong đêm. Khi bình tĩnh hơn, anh nhớ lại vài ngày trước từng cài một ứng dụng có tên Clean…, được giới thiệu là phần mềm dọn rác, giúp điện thoại nhẹ dung lượng và chạy mượt hơn.

Thấy hấp dẫn và lại miễn phí, anh tải về từ một trang web lạ. Sau khi cài đặt, điện thoại có dấu hiệu chậm lại, mau nóng máy và nhanh hết pin, nhưng do đang đi du lịch nên nghĩ lỗi khách quan. Hệ quả là điện thoại của anh Vinh đã bị nhiễm mã độc, từ đó kẻ xấu đã chiếm quyền điều khiển từ xa mà cướp tiền trong tài khoản của nạn nhân.

“Tốt nhất đừng bao giờ cài những ứng dụng không rõ ràng, đặc biệt là từ các quảng cáo online”, anh Vinh cảnh báo.

Từng thường xuyên mua hàng trên các website quốc tế, chị Nguyễn Dương Thùy Linh (35 tuổi, TP.HCM) sử dụng thẻ tín dụng để thanh toán trực tuyến. Gần đây, chị phát hiện tài khoản bị trừ hơn 15 triệu đồng.

“Mình tá hỏa, lập tức báo động ngân hàng”, chị kể. Sau khi tra soát, chị phát hiện trong lúc điền thông tin trên một website lạ, đã vô tình lưu lại thông tin thẻ như số thẻ, mã bảo mật CVV và ngày hết hạn.

“Đây là bài học lớn. Khi thanh toán online, tuyệt đối không nên để trình duyệt hoặc ứng dụng ghi nhớ thông tin thẻ. Lần sau mất công điền lại còn hơn là mất tiền”, chị Thùy Linh nói.

Lựa chọn dịch vụ uy tín

Để đảm bảo an toàn cũng như giảm thiểu rủi ro khi kết nối tài khoản ngân hàng với ví điện tử hoặc dịch vụ thanh toán trực tiếp, các chuyên gia trong lĩnh vực đều khuyến cáo người dùng chỉ nên kết nối tài khoản ngân hàng với các ví điện tử uy tín, đã được Ngân hàng Nhà nước cấp phép, đạt nhiều chứng chỉ quốc tế về quản lý an toàn thông tin.

Để tăng cường bảo mật, đại diện HDBank khuyến cáo người dùng luôn bật xác thực hai lớp cho cả tài khoản ngân hàng và ví điện tử.

Chuyên gia của HDBank lưu ý thêm một số biện pháp: đảm bảo điện thoại và ứng dụng luôn được cập nhật phiên bản mới nhất; không bật tính năng ghi nhớ mật khẩu trên thiết bị lạ; tránh dùng WiFi công cộng hay thiết bị lạ để đăng nhập ví điện tử.

Ngoài ra, cần đọc kỹ chính sách bảo mật, điều khoản sử dụng trước khi cấp quyền truy cập hoặc liên kết ví điện tử với tài khoản ngân hàng.

Chuyên gia khuyến nghị khách hàng có thể sử dụng thẻ phụ hoặc tài khoản phụ (như thẻ ghi nợ hoặc tài khoản riêng chỉ để liên kết ví điện tử), với số dư vừa đủ chi tiêu để giảm rủi ro nếu có sự cố. Bên cạnh đó, người dùng nên kiểm tra định kỳ các liên kết ví điện tử hoặc dịch vụ đang kết nối với tài khoản ngân hàng. Nếu không còn nhu cầu sử dụng, hãy chủ động ngắt.

Để đối phó với lừa đảo ngày càng tinh vi, các ngân hàng đang đẩy mạnh nâng cấp bảo mật. Điển hình, Sacombank sử dụng công nghệ xác thực 3D-Secure 2.0 kết hợp phân tích rủi ro (RBA) và sinh trắc học qua ứng dụng mSign, cho phép xác thực giao dịch không cần mã OTP SMS, giảm rủi ro bị đánh cắp mã.

Trong khi đó, Vietcombank đầu tư mạnh để nâng cấp hệ thống ngân hàng số Digibank, với nhiều thay đổi tăng cường bảo mật. Tính năng xác thực khuôn mặt (Facepay) sẽ tự động khóa sau nhiều lần nhập sai liên tiếp, ngăn truy cập trái phép. Ngoài ra, ngân hàng cũng loại bỏ hoàn toàn các đường link trong email gửi khách hàng nhằm phòng tránh lừa đảo giả mạo.

Về phía ví điện tử, trao đổi với Tuổi Trẻ, đại diện MoMo cho biết người dùng cần đăng nhập bằng mật khẩu hoặc sinh trắc học (vân tay, nhận diện khuôn mặt) để truy cập vào tài khoản ví. Trường hợp thiết bị bị mất hoặc rơi vào tay người khác, các giao dịch trên ví MoMo không thể thực hiện nếu chưa vượt qua lớp xác thực bắt buộc bằng mật khẩu hoặc sinh trắc học.

Cũng theo phía MoMo, người dùng nên lựa chọn những ví điện tử hoặc dịch vụ trung gian thanh toán được trang bị công nghệ tiên tiến, đáp ứng những tiêu chuẩn bảo mật thế giới. Chẳng hạn, ứng dụng tuân thủ quy định về định danh điện tử (eKYC) giúp ngăn chặn việc tạo lập tài khoản giả mạo và tăng cường an toàn hệ thống từ gốc.

Hiện nay, một số ví điện tử tại Việt Nam có thể đáp ứng hơn 300 tiêu chí nghiêm ngặt về mã hóa, kiểm soát truy cập, bảo mật hệ thống mạng và giám sát giao dịch theo thời gian thực để đạt chứng chỉ bảo mật PCI DSS phiên bản 4.0 – tiêu chuẩn cao nhất toàn cầu dành cho tổ chức xử lý dữ liệu thanh toán.