Liên tiếp nhiều khách hàng bị chiếm đoạt tiền từ vài trăm triệu đến gần 3 tỷ đồng khi nhấp vào đường link ở tin nhắn nằm trong thư mục tin nhắn ngân hàng. Thủ đoạn lừa đảo này đã diễn ra nhiều năm nhưng đến nay, các ngân hàng vẫn chưa có biện pháp ngăn chặn thực sự hiệu quả.

Một cây ATM của Vietcombank tại TP.HCM, tháng 5/2019. (Ảnh minh họa: Ho Su A Bi/Shutterstock)

Chỉ trong vài phút, khách hàng mất trăm triệu đồng đến vài tỷ đồng

Chiều ngày 26/11, chị C.L. (TP.HCM) nhận được tin nhắn từ Vietcombank (VCB) với nội dung “Tai khoan cua ban đang đang nhap tren thiet bi khac, neu khong phai ban dang nhap vui long vao htts://vietcombank.vn-gss.club de sua doi mat khau hoac thoat khoi thiet bi kia”. (lưu ý, người đọc không cắt dán link trên để tự mở trên trình duyệt).

Nhận tin nhắn nằm trong thư mục tin nhắn mà ngân hàng thường xuyên gửi thông báo giao dịch, chị L. không nghi ngờ, đăng nhập vào đường link đính kèm để xác thực. Ngay sau đó, tài khoản tiết kiệm gửi online của chị L. tất toán chuyển vào tài khoản thanh toán, từ đó các lệnh chuyển tiền từ vài chục đến hàng trăm triệu được chuyển đi.

Hoảng loạn vì số tiền trong tài khoản bị chuyển đi trước mắt, chị L. gọi điện đến ngân hàng thông báo để khóa tài khoản thì chỉ giữ lại được gần 700 triệu đồng. Các lệnh được chuyển đi chỉ vài giây nhưng số tiền gần 3 tỷ đồng trên tài khoản của chị L. biến mất.

Chiều ngày 28/11, chị L. đến Vietcombank làm việc, được nhân viên ngân hàng giải thích rằng kẻ lừa đảo dùng công nghệ chèn tin nhắn vào thư mục tin nhắn, trong đó chứa đường link lừa đảo, từ đó đánh cắp thông tin rồi chuyển tiền từ tài khoản của chị L..

Không đồng ý với cách giải thích này, chị L. cho biết từ trước đến giờ chị cảnh giác với những tin nhắn gửi giả mạo ngân hàng, không bao giờ nhấp vào những đường link gửi không rõ ràng. Nhưng tin nhắn này nằm trong thư mục tin nhắn của ngân hàng gửi trước đó nên chị không cảnh giác được.

Chị L. cho rằng nếu như kẻ lừa đảo lợi dụng công nghệ để chèn tin như vậy, tại sao ngân hàng không bỏ luôn tin nhắn báo qua SMS để khách hàng không bị lừa. Ngân hàng đã biết thủ đoạn lừa đảo này thì cần có giải pháp bảo vệ khách hàng.

Trong quá trình làm việc với ngân hàng, chị L. còn được đề nghị ký vào yêu cầu hỗ trợ khẩn cấp với nội dung: “Tôi xin cam kết tự chịu trách nhiệm trong trường hợp VCB xác định tôi không tuân thủ đúng các quy định về an toàn bảo mật thông tin cũng như không thực hiện theo các hướng dẫn giao dịch an toàn trên các kênh ngân hàng điện tử của VCB và chấp nhận mọi rủi ro, tổn thất về tài sản (số tiền trên bất kỳ tài khoản nào của tôi tại VCB) có thể xảy ra cho tôi do việc không tuân thủ này”.

Chị L. cho biết ngân hàng yêu cầu ký vào giấy này mới tra soát khẩn cấp chứ không có biên bản làm việc. Thế nhưng, với điều khoản bất lợi như vậy đối với khách hàng, chị không thể ký được. Chị L. cho rằng khách hàng bị lừa khi nhận tin nhắn được chèn vào thư mục tin nhắn của ngân hàng thì ngân hàng phải thể hiện trách nhiệm của mình đối với khách, chứ không thể đưa ràng buộc vào giấy yêu cầu tra soát như vậy.

Trường hợp của chị L. bị mất tiền qua tin nhắn chèn vào thư mục ngân hàng không phải hy hữu. Gần đây, một số khách hàng bị mất từ vài chục đến cả tỷ đồng khi nhận được tin nhắn như vậy.

Anh Đ.N.T.H. mất hơn 400 triệu đồng khi khách vào link trong tin nhắn thuộc thư mục tin nhắn ngân hàng Vietcombank. (Ảnh: Đ.N.T.H/Facebook).

Ngày 25/11, anh Đ.N.T.H. (Kiến trúc sư) đã đăng một bài viết trên Facebook cá nhân với nội dung đề nghị VCB xử lý vụ việc anh bị kẻ xấu chiếm đoạt hơn 400 triệu đồng.

Theo bài viết của anh H., anh nhận được một tin nhắn bị chèn vào thư mục tin nhắn ngân hàng. Nội dung nhắn như sau: “Tai khoan cua ban dang duoc dang nhap tren thiết bi khac, neu khong phai ban vui long vao https://vietcombank.vn-kss.top de sua doi mat khau hoac thoat khoi thiết bi kia”. (lưu ý, người đọc không cắt dán link trên để tự mở trên trình duyệt).

Sau khi đăng nhập vào đường link này, anh H. bị mất hơn 400 triệu đồng. Phát hiện bị mất tiền trong tài khoản, anh H. báo ngân hàng và chỉ được hỗ trợ khóa tài khoản.

Anh H. cho rằng nếu có người mạo danh ngân hàng lừa đảo, chiếm đoạt tài sản thì ngân hàng phải có trách nhiệm tìm bắt kẻ mạo danh, bắt bồi hoàn ngay lập tức.

Anh H. đặt câu hỏi rằng mỗi tháng anh vẫn trả phí SMS Banking nhưng ngân hàng vẫn để tin nhắn lừa đảo chèn vào tin nhắn tổng đài, vậy trách nhiệm của ngân hàng ở đâu.

Được biết, hiện anh H. đã trình báo lên cơ quan công an và đang chờ giải quyết.

Đường link trong tin nhắn lừa đảo mà anh H. nhận được dẫn đến một website có giao diện rất giống với website của Ngân hàng Vietcombank. (Ảnh: Đ.N.T.H/Facebook).

Trách nhiệm thuộc về ai?

Thủ đoạn lừa đảo này đã có từ trước đó nhưng ngoài đưa ra khuyến cáo, các ngân hàng vẫn không có giải pháp khắc phục một cách hiệu quả.

Từ năm 2019, Bộ công an đã có cảnh báo người dân về tình trạng mạo danh các ngân hàng để gửi tin nhắn lừa đảo cho khách hàng.

Tháng 5/2021, anh T.N (trú tại TP.HCM) đã phản ánh với truyền thông việc tài khoản của anh tại  VCB bị “bốc hơi” 49 triệu đồng sau khi anh nhấp vào đường link trong tin nhắn từ số điện thoại mạo danh ngân hàng này.

Cũng trong tháng 5/2021, chị H.T.T.T. (trú tại quận Tân Phú, TP.HCM) cho biết chị bất ngờ nhận được tin nhắn từ hệ thống của ngân hàng với nội dung “Vietcombank tran trong thong bao tai khoan của quy khach hien tai da bi khoa”, kèm theo một đường link để đăng nhập, xác thực. Sau khi nhấp vào đường link và điền các thông tin cá nhân, chị Trinh đã bị trừ hơn 3,2 triệu đồng trong tài khoản.

Trên báo Phụ nữ, ngày 25/11, đại diện VCB xác nhận đúng là có tình trạng khách hàng của mình bị lừa với các thủ đoạn như trên. VCB khẳng định không gửi tin nhắn SMS kèm đường link và khuyến cáo khách hàng tuyệt đối không bấm vào các đường link này.

Đại diện một ngân hàng cho biết những tin nhắn này không xuất phát từ hệ thống của ngân hàng mà được gửi thông qua các thiết bị phát sóng di động có nguồn gốc từ nước ngoài. Thiết bị này sẽ chèn tin nhắn giả mạo xen lẫn các tin nhắn SMS về giao dịch, biến động số dư nên dễ khiến khách hàng hiểu nhầm là tin nhắn của ngân hàng.

Theo ông Nguyễn Quốc Hùng – Tổng thư ký Hiệp hội Ngân hàng Việt Nam, để gửi tin nhắn SMS cho khách hàng, ngân hàng phải mua dịch vụ SMS và trả phí cho nhà mạng. Do đó, nhà mạng phải có trách nhiệm bảo mật các số thuê bao của khách.

Theo ông Hùng, các ngân hàng đang phải trả mức phí cao cho các nhà mạng cung cấp dịch vụ SMS gắn với thương hiệu ngân hàng. Chẳng hạn, MobiFone và VinaPhone thu 820 đồng/tin nhắn, Viettel thu 785 đồng/tin nhắn. Một ngân hàng quy mô nhỏ thường gửi 15-20 triệu tin nhắn SMS/tháng, còn ngân hàng quy mô lớn gửi 50-80 triệu SMS/tháng. Nếu tính bình quân 800 đồng/SMS thì một ngân hàng nhỏ phải trả cước phí tin nhắn cho nhà mạng 16 tỷ đồng/tháng, tương đương 192 tỷ đồng/năm, một ngân hàng lớn phải trả cho nhà mạng khoảng 64 tỷ đồng/tháng, tương đương 786 tỷ đồng/năm. Tổng cước phí mà 49 ngân hàng ở Việt Nam phải trả cho nhà mạng có thể lên đến hàng ngàn tỷ đồng mỗi tháng.

Phí lớn như vậy thì nhà mạng phải gia tăng bảo mật và ngăn chặn tin nhắn giả mạo một cách triệt để. Đó là trách nhiệm của nhà mạng” – ông Hùng nói.

Ngày 29/11, trên báo Thanh Niên, luật sư Trương Thanh Đức – Giám đốc Công ty luật ANVI cho rằng nếu tin nhắn từ số lạ gửi cho khách hàng mà khách hàng đăng nhập thì đó là lỗi của khách. Trong trường hợp, tin nhắn nằm trong thư mục của chính ngân hàng thì ngân hàng phải có phần chịu trách nhiệm. Việc sử dụng công nghệ cao trong dịch vụ ngân hàng là cần thiết nhưng chỉ cần một tình huống giả mạo để lừa đảo xảy ra, gây thiệt hại cho khách hàng thì ngân hàng cần phải xem xét bồi thường cho khách.

Theo ông Đức, nếu thấy việc bồi thường quá sức chịu đựng thì nên ngừng những dịch vụ có nguy cơ cao về lừa đảo. Dịch vụ dù có thuận tiện đến đâu đi nữa nhưng vấn đề cao nhất vẫn là an toàn.

Khánh Vy