Quay trở lại câu chuyện VCB. Sau 1 ngày thu thập thông tin và xem cả cái clip của VTC có sự trả lời của Vietcombank và C50, mình có tổng hợp lại và nhận xét cá nhân như sau:
Vietcombank nói rằng do chị N.H cung cấp username + password + OTP cho "hacker" thông qua 1 website phishing, từ đó "hacker" đã thay đổi phương thức OTP từ SMS OTP sang SmartOTP, rồi sau đó sử dụng SmartOTP để chuyển khoản trên VCB iBanking.
Bây giờ cứ cho đó là sự thật. Chúng ta hãy thử bước theo con đường này xem sao nhé.
Kịch bản 01:
1/ Chị H click vào 1 website giả mạo giao diện VCB iBanking, chị nhập username, password.
Website này sẽ có 1 con BOT tự động đăng nhập username + password của chị H vào website VCB iBanking thật.
Sau đó, con BOT này cũng tự động vào phần "Cài đặt phương thức nhận OTP", kích hoạt SmartOTP lên (xem hình).
2/ Khi kích hoạt SmartOTP, chị H sẽ nhận được 1 tin nhắn như tin số 1 trong hình (ô màu xanh dương). Nội dung "Quy khach dang thuc hien gd Dang ky SmartOTP tren VCB-iBanking. Ma giao dich cua Quy khach la xxxxxxxx".
Cứ cho rằng chị H rất là ngây thơ hoặc đọc không hiểu tin nhắn trên và bằng 1 cách nào đó, website giả mạo dụ dỗ đựoc chị H nhập mã này vào và con BOT đó cũng sẽ tiếp tục nhập mã này vào website VCB iBanking (realtime) để kích hoạt OTP.
Sau đó, website này lại phải dụ dỗ chị ấy cho luôn cả số điện thoại chị đang link với VCB, vì không có số ĐT thì không activate SmartOTP App được.
3/ "Hacker" lúc này sẽ trực tiếp ra tay (mình không tin có BOT làm luôn cả phần này): Activate SmartOTP với số Điện thoại của Chị H trên app cài trên ĐT của mình. Điều này được cho phép bởi app này nhưng nó sẽ phải kích hoạt bằng tin nhắn thứ 2 mà bạn nhìn thấy trong hình. Tin nhắn này sẽ gửi về điện thoại của chị H.
Lại bằng 1 cách thần kỳ nào đó, chị H ngoan ngoãn không thèm đọc nội dung tin nhắn và gửi luôn 4 số activate code cho "hacker" để "hacker" activate SmartOTP.
4/ Xong 3 bước trên là coi như chị H chính thức giao tài khoản cho "hacker", muốn chuyển gì như thế nào cũng được hết.
Kịch bản 02:
Sau khi chị H click vào website lạ thì máy cũng bị cài trojan, từ đó "hacker" có thể kiểm soát điện thoại, laptop của chị và lấy được các thông tin mà tôi nói ở trên, từ đó thực hiện các bước từ 1-4 trong kịch bản 1 mà không cần sự can thiệp của chị H.
Kịch bản này có vẻ khả thi hơn đúng không nhỉ? Nhưng ít nhất thì chị H cũng sẽ phải nhận được tin nhắn kích hoạt SmartOTP trước đó, có thể là 1 vài ngày trước khi bị chuyển tiền.
Cũng có thể "hacker" đã xóa tin nhắn đó đi, nhưng nếu có thể xóa tin nhắn SMS activate SmartOTP thì sao không xóa luôn tin nhắn chuyển tiền, như vậy rất lâu sau nạn nhân mới có thể phát hiện ra được? Câu hỏi này cũng chưa có câu trả lời.
Cứ cho là theo kịch bản 01 hay 02 thì chị H cũng bị kiểm soát toàn bộ tài khoản VCB iBanking bằng cái SmartOTP "stupid" kia
===========
Nhưng... vẫn có 1 chữ nhưng ở đây. Bạn có để ý đến cái thông báo đóng khung đỏ trong hình không?
Đó là thông báo của VBC iBanking khi bạn chuyển tiền liên ngân hàng (khác hệ thống VCB) NGOÀI GIỜ HÀNH CHÍNH.
Như các bạn nhìn thấy trong hình, lúc 9:32PM tôi không thể chuyển tiền sang tài khoản ở ngân hàng khác được. Trước kia luôn như thế và bây giờ cũng như thế. Bạn nào dùng VCB đều có thể xác nhận được điều này.
Vậy thì làm sao mà tài khoản VCB của chị H có thể chuyển đi số tiền 300 triệu sang 1 tài khoản ở ngân hàng khác vào khoảng giữa 0h đến 5h sáng ngày 05/08/2016?
Có 1 số bạn nói rằng chuyển trực tiếp vào số thẻ là được. Vâng, cứ cho là thế nhưng lúc đó chỉ chuyển được tối đa 1 lần 50 triệu và "hacker" đã chuyển trót lọt 4 lần như vậy (200 triệu) từ 23hxx 04/08 đến 00hxx 05/08.
Còn 300 triệu còn lại, mỗi lần chuyển 100 triệu thì chắc chắn là tài khoản sang tài khoản. Và -11.000 /giao dịch (theo tin nhắn chị H cung cấp) thì là chuyển sang tài khoản KHÁC NGÂN HÀNG.
***** Có 1 số điểm không chính xác trong phần này, tôi đã giải thích ở bên dưới. *****
Nói chung, tôi vẫn thấy có 1 số lỗ hổng trong lời giải thích của VCB cho case này.
Chính xác như thế nào thì người trong cuộc mới biết được, nhưng với những thông tin hiện nay thì người dùng VCB thật sự lo lắng về sự an toàn của tài khoản iBanking.
Tôi đã dùng VCB hơn 17 năm nay, dùng iBanking từ những ngày đầu tiên đến giờ và bạn bè tôi dùng cũng rất nhiều. Hy vọng sự thật của việc này sẽ được sáng tỏ 1 cách rạch ròi nhất để những khách hàng như chúng tôi được yên tâm mà sử dụng tiếp dịch vụ của VCB.
===================
Giải thích thêm cho 1 số bạn không dùng Vietcombank:
OTP: One-Time Password: Mã xác nhận chỉ sử dụng 1 lần mỗi khi bạn thực hiện lệnh chuyển tiền hoặc các thao tác thay đổi thông tin của tài khoản.
SMS OTP: OTP nhận qua SMS đến số điện thoại do chủ tài khoản đăng ký trước với Ngân hàng. Số ĐT này không thể thay đổi trừ khi đem CMND ra ngân hàng để đổi.
SmartOTP: Một phần mềm (app) của Vietcombank chạy trên iOS hoặc Android, cho phép người dùng lấy OTP để chuyển khoản, giao dịch mà không cần nhận SMS. Sử dụng tương đối hiệu quả khi đi nước ngoài mà ĐT không có roaming.
SmartOTP có thể cài trên bất kỳ smartphone nào, không nhất thiết đúng là smartphone đang sử dụng số điện thoại đăng ký với tài khoản. Chỉ cần có 1 mã xác nhận qua SMS OTP là có thể kích hoạt SmartOTP trên thiết bị đó.
VCB iBanking Web là truy cập sử dụng Internet banking qua web của Vietcombank. Khi sử dụng chuyển khoản bằng VCB iBanking, bạn có thể chuyển khoản tối đa 300 triệu/ngày và 100 triệu/giao dịch.
Đa số người sử dụng Vietcombank và cả chính nhân viên HOTLINE của Vietcombank đều xác nhận là không thể chuyển khoản liên ngân hàng (sang ngân hàng khác) trong khoảng thời gian từ 7PM - 7AM mỗi ngày. Điều này chưa đúng chắc 100%, cần được xác nhận chính xác lại sau.
===================
P/S: Thông tin ngoài lề: Rất nhiều bạn đang dùng VCB hiện nay báo rằng SmartOTP của VCB đang bị chặn không cho sử dụng, phải trở lại dùng SMS OTP.
Nếu hệ thống không có vấn đề, nếu chị H mất tiền là do lỗi của chị thì tại sao SmartOTP của VCB đang chạy bao lâu nay lại được "dừng" đúng thời điểm như thế?
===================
Vừa gọi cho VCB HOTLINE và được xác nhận bởi nhân viên tổng đài của VCB:
Tầm sau 19h00 cho đến 07h00 sáng hôm sau thì VCB đóng không cho chuyển khoản Liên ngân hàng do hệ thống chạy kết sổ gì đó.
Mình hỏi đi hỏi lại 2-3 lần vẫn được khẳng định như thế.
Không rõ nghiệp vụ chính xác của VCB như thế nào.
Bạn nào muốn có thể gọi 04 38243524 để kiểm tra lại.
Tuy nhiên, vì mình cũng không tin nhân viên này cho lắm nên sẽ thử lại vào 3:00AM và 5:10AM sáng ngày mai.
Bạn nào điện thoại có ghi âm, có thể gọi lên số trên để hỏi thử lại xem sao, rồi upload lên cho mọi người cùng nghe.
===================
Bổ sung:
1:00AM-3:00AM - Đã test và vẫn chưa chuyển liên ngân hàng được.
5:01AM - Đã test và xác nhận là VCB cho phép chuyển tiền liên ngân hàng được vào thời điểm này.
Như vậy, luận điểm của tôi ở trên rằng VCB không cho phép chuyển ngoài giờ hành chính là không chính xác. Tôi xin phép không sửa lại phần trên vì đã có nhiều người đọc.
Như vậy chỉ cần chị N.H bị "hacker" activate SmartOTP thì sẽ bị mất toàn bộ tiền trong tài khoản như những gì đã diễn ra.
Kịch bản không thay đổi và hoàn toàn có thể xảy ra. Số tiền chuyển đi cũng phù hợp, thời điểm chuyển đi cũng phù hợp (sau 5:00AM)