Dư luận xã hội trong những ngày qua đang “sốt sình sịch” với thông tin một chủ thẻ VietcomBank (VCB) bỗng dưng bị mất 500 triệu đồng trong tài khoản. Người mất số tiền lớn hoang mang lo lắng thì đã đành, song nhiều người dân cũng thấp thỏm đứng ngồi không yên vì lo một ngày đẹp trời nào đó mình sẽ bị mất tiền oan.
Việc bỗng dưng có một số khách hàng mất tiền oan khiến nhiều người dân không chỉ nghi ngờ tính bảo mật của các ngân hàng, mà họ còn lo lắng bởi thái độ ứng xử và tinh thần trách nhiệm của các ngân hàng đối với những người bị mất tiền oan.
LS Vũ Thành (Đoàn Luật sư Hà Nội) cho rằng, không thể đổ lỗi cho khách hàng như vậy được. Bởi lẽ, không phải tất cả các chủ tài khoản, hay người dùng dịch vụ ngân hàng đều thông thuộc về công nghệ thông tin (CNTT) để có thể phòng tránh các website giả mạo.
Lẽ ra các ngân hàng phải có những khuyến cáo cần thiết cho khách hàng về nguy cơ lộ lọt thông tin tài khoản trên mạng để khách hàng lưu tâm đề phòng, nếu họ thực sự không hiểu về Internet thì có thể nhờ người thân trợ giúp, tránh bị lừa đảo.
Việc thiếu khuyến cáo cho khách hàng nguy cơ lộ lọt thông tin trên Internet để đối tượng xấu lợi dụng chỉ là một nguyên nhân trong số nhiều nguyên nhân dẫn đến sự mất tiền của chủ tài khoản. Theo LS Nguyễn Ngọc, trong vụ việc kể trên thì các giao dịch gian lận để rút tiền của chủ tài khoản đã vượt hạn mức quy định, nhưng không hiểu vì sao vẫn thành công.
Cụ thể, các giao dịch chuyển khoản được khống chế mỗi lần giao dịch chỉ được phép tối đa dưới 100 triệu đồng và tối đa trong một ngày mới được tới 100 triệu đồng. Song, các đối tượng đã thực hiện 1 giao dịch chuyển tiền vào lúc 23h18 ngày 4/8 tròn 100 triệu đồng mà vẫn thành công.
Chưa hết, với hạn mức sử dụng chuyển khoản trên InternetBanking theo quy định chỉ tối đa là 100 triệu đồng trong 1 ngày. Song, tài khoản đã bị các đối tượng sử dụng chuyển khoản với 3 giao dịch với mỗi giao dịch đã là 100 triệu đồng (cả 3 giao dịch thực hiện lúc 5h17 ngày 5/8).
Đây không chỉ là dấu hiệu bất thường để kiểm soát ngăn chặn, mà còn vi phạm hạn mức do chính ngân hàng này đề ra nên lẽ ra nó sẽ không thực hiện được thành công. Vậy nhưng, nếu chủ thẻ không kịp thời gọi điện để phong tỏa tài khoản thì có lẽ số tiền 300 triệu đồng này cũng đã “bốc hơi” mất rồi.
Theo một chuyên gia CNTT, ngay cả dịch vụ Smart OTP mà hầu hết các ngân hàng đang cung cấp cho khách hàng hiện nay mặc dù rất thuận tiện cho người dùng, song lại thiếu sự kiểm soát, bảo mật từ phía các ngân hàng.
Smart OTP là một phần mềm được cài đặt trên các thiết bị di động (smart phone, máy tính bảng...), cho phép người dùng chủ động lấy mã xác thực OTP cho các giao dịch trên Internet của các ngân hàng hiện đang áp dụng.
Với hình thức này, thay vì nhận SMS về số điện thoại đã đăng ký trước đó, khách hàng sẽ thấy mã OTP hiển thị trên phần mềm này (cài trên thiết bị di động). Tuy nhiên, sơ hở ở đây là dịch vụ này của ngân hàng lại không bắt buộc người dùng cài Smart OTP trên thiết bị di động mang số điện thoại đã đăng ký với ngân hàng.
Điều này đồng nghĩa với việc người dùng có thể cài phần mềm Smart OTP cho tài khoản của mình ở bất cứ thiết bị di động nào khác. Đây là lỗ hổng lớn giúp kẻ gian có thể nhận mã Smart OTP khi giao dịch, sau khi đã chiếm được thông tin tài khoản, mật khẩu tài khoản của các nạn nhân.