Trong đơn trình báo gửi ngân hàng và các cơ quan chức năng, chị Hoàng Thị Na Hương (Hoàng Minh Giám, Cầu Giấy, Hà Nội) cho biết sau khi thức dậy ngày 5/8, chị mới tá hỏa khi thấy có tất cả 7 giao dịch chuyển tiền từ số thẻ của mình tại Vietcombank sang một số thẻ khác trong đêm, với tổng số tiền lên tới 500 triệu đồng.
Chị Na Hương khẳng định, khi những giao dịch chuyển tiền này được thực hiện, chị đang ngủ ở nhà và thẻ ATM vẫn ở trong túi xách, đồng thời chị cũng không nhận tin nhắn thông báo mã OTP (mật khẩu xác thực một lần) ngân hàng gửi tới như thường lệ.
Sau khi trình báo và thực hiện khóa thẻ, chị Na Hương được thông báo làm thủ tục tra soát để nhận lại 300 triệu đồng. Theo giải thích của Vietcombank, sau khi đánh cắp được thông tin tài khoản và mật khẩu của khách hàng, các đối tượng lừa đảo đã chuyển tiền từ tài khoản của chị Na Hương tới nhiều tài khoản trung gian tại 3 ngân hàng khác nhau ở Việt Nam.
"Vietcombank đã xử lý các biện pháp khẩn cấp, kịp thời khoanh giữ lại được 300 triệu đồng và đang làm thủ tục tra soát để chuyển lại tiền cho khách hàng. Đây là các giao dịch chuyển khoản sang ngân hàng khác, chưa kịp chuyển ra khỏi hệ thống Vietcombank", đại diện ngân hàng nói. Còn 200 triệu đồng, theo giải thích của Vietcombank, đối tượng lừa đảo đã rút qua ATM ở Malaysia nên vẫn đang phải tiếp tục điều tra.
Vietcombank cho biết bước đầu đã xác định chị Na Hương bị mất thông tin và mật khẩu do truy cập vào một trang web giả mạo. Khách hàng và ngân hàng đã có buổi làm việc trực tiếp vào chiều 11/8. Đại diện Vietcombank cho biết đã hướng dẫn cho khách tự kiểm tra lại điện thoại cá nhân và phát hiện địa chỉ trang web giả mạo vẫn lưu trên máy của khách hàng. "Việc mất tiền trong tài khoản xảy ra do khách hàng bị đánh cắp thông tin tài khoản vì trước đó đã truy cập và khai báo thông tin trên đường link giả mạo website ngân hàng", Vietcombank cho hay.
Tuy vậy, trao đổi trưa ngày 12/8, chị Na Hương khẳng định không hề truy cập vào bất cứ một đường link giả mạo nào của ngân hàng - một đầu mối có thể khiến chị bị đánh cắp tên truy cập, mật khẩu Internet Banking.
Lý giải với VnExpress về việc chị Na Hương không hề nhận được tin nhắn chứa mã OTP để xác thực giao dịch khi kẻ gian tiến hành, ông Đào Minh Tuấn - Phó tổng giám đốc Vietcombank cho biết lý do là khách hàng trước đó đã được chuyển đổi từ dạng nhận OTP qua tin nhắn SMS sang "Smart OTP".
Smart OTP là một phần mềm được cài đặt trên các thiết bị di động (điện thoại di động, máy tính bảng), cho phép người dùng chủ động lấy mã xác thực OTP cho các giao dịch trên Internet Banking của Vietcombank. Đây cũng là hình thức xác nhận được nhiều ngân hàng khác áp dụng.
Với hình thức này, thay vì nhận SMS về số điện thoại đã đăng ký trước đó, khách hàng sẽ thấy mã OTP hiển thị trên phần mềm này (cài trên thiết bị di động). Tuy nhiên, dịch vụ của ngân hàng lại không bắt buộc thiết bị di động cài Smart OTP nêu trên phải mang số điện thoại đã đăng ký với ngân hàng (số vẫn nhận OTP thông thường).
Điều này đồng nghĩa với việc người dùng có thể cài phần mềm Smart OTP cho tài khoản của mình ở một máy điện thoại khác. Đây có thể là lỗ hổng giúp kẻ gian có thể nhận mã Smart OTP khi giao dịch, sau khi đã chiếm được thông tin tài khoản, mật khẩu trong lần chị Na Hương truy cập nhầm vào website giả mạo.
Trong khi đó, một chuyên gia trong lĩnh vực thanh toán điện tử cho rằng, nếu sử dụng phương thức xác thực Smart OTP, ngân hàng nên yêu cầu khách hàng dùng phần mềm trên cùng một thiết bị di động và số điện thoại đó phải là số đã đăng ký với ngân hàng.
Về phần mình, chị Na Hương cho rằng việc các nhà băng luôn đổ lỗi cho khách hàng mỗi khi có sự cố xảy ra gây thiệt thòi cho người tiêu dùng. Trong khi đó, Vietcombank cho biết đang phối hợp với khách hàng để làm việc với cơ quan chức năng nhằm làm rõ các đối tượng chủ mưu đã thực hiện hành vi lừa đảo này. Khách hàng đã đồng ý sẽ cung cấp máy điện thoại có lưu đường link giả mạo để tiếp tục làm việc với cơ quan chức năng.
Mới đây, sau khi xảy ra sự việc nghiêm trọng này, Vietcombank đã gửi tin nhắn cảnh báo cho các khách hàng trên toàn hệ thống với nội dung yêu cầu tuyệt đối không cung cấp tên hay mật khẩu truy cập ngân hàng điện tử (Internet Banking), mã mật khẩu một lần (OTP), số thẻ ngân hàng bằng bất cứ hình thức nào qua điện thoại, email, mạng xã hội hay những trang web, đường link lạ. Tương tự, hàng loạt nhà băng khác gần đây cũng dồn dập gửi email, tin nhắn cảnh báo người dùng về các hành vi lừa đảo qua Internet Banking.