Chưa kịp 'gật đầu', tiền trong tài khoản đã bị trừ sau cuộc gọi điện thoại

TTO - Nhiều người dùng chỉ sau một cuộc điện thoại mời làm thẻ hội viên của công ty du lịch đã bị trừ tiền trong tài khoản thẻ tín dụng từ 2,9 đến 3,6 triệu đồng. Những giao dịch này không hợp lệ và người dùng đủ cơ sở lấy lại tiền.

Hóa đơn thanh toán 3 liên từ máy POS được doanh nghiệp tự động ký tên và gửi đến nhà của khách hàng sau một cuộc điện thoại tư vấn, dù khách chưa có đồng ý tham gia - Ảnh: T.D.

Rất nhiều người mất tiền oan 

Sau bài viết "Lừa đảo kích cầu du lịch", có thêm nhiều phản ánh của bạn đọc gửi đến Tuổi Trẻ Online về việc họ lừa mua thẻ thành viên ưu đãi được giới thiệu giảm giá đến 50% khi đi ăn nhà hàng hay đặt phòng khách sạn nhưng thực tế không hề như quảng cáo, khiến họ bị thiệt hại.

Chị T., ngụ TP.HCM, cho biết cũng nhận được cuộc điện thoại từ nhân viên Công ty H.Travel (Q.4) giới thiệu chị là khách hàng may mắn được mời làm thẻ hội viên VIP S. của công ty, với nhiều ưu đãi hấp dẫn.

Dù không phải là người thích đi du lịch nhưng do thường hay đi ăn bên ngoài nhiều, khi bên nhân viên tư vấn có thể được giảm giá sâu ở nhiều hệ thống nhà hàng lớn nếu làm thẻ thành viên, chị đã "chịu" nghe tư vấn.

Theo chị T, các ưu đãi gồm gia hạn thời hạn sử dụng thẻ là 24 tháng thay vì 12 tháng vì công ty đang muốn kích cầu du lịch, ăn uống sau thời gian dịch COVID-19, mức phí 2,9 triệu đồng đối với thẻ VIP, tặng voucher buffet cho 2 người, giảm giá 50% khi đặt nhà hàng, khách sạn trong hệ thống liên kết…

"Sau khi quảng cáo dịch vụ, nhân viên nói tiếp chương trình ưu đãi nêu trên chỉ áp dụng cho những khách hàng sử dụng thẻ tín dụng "có chương trình liên kết với công ty" và yêu cầu tôi đọc các đầu số trên thẻ để kiểm tra", chị T kể. Sau cuộc gọi, thẻ tín dụng của chị bị trừ tiền và chị nhận được email chào đón hội viên mới từ công ty này trong ngỡ ngàng.

Một chiêu khác để "moi" thông tin của chủ thẻ là yêu cầu khách hàng cung cấp 16 số in nổi trên thẻ cùng hạn dùng thẻ với lý do "để kiểm tra xem thẻ của mình có đủ điều kiện đăng ký thẻ hội viên bên em không", hoặc để kiểm tra xem có nợ xấu không và trấn an khách là không cung cấp CVV hay OTP nên vẫn an toàn. 

Một số khách hàng cũng cho biết họ còn được tư vấn "phí thành viên này sẽ do ngân hàng đứng ra bảo lãnh và 1-2 ngày sau sẽ hoàn lại vào thẻ". Tuy nhiên, thực tế khách sẽ được "hoàn" bằng các voucher, mỗi cái trị giá 300.000 đồng và đều có điều kiện kèm theo mới sử dụng được voucher.

Trong khi đó, dù cung cấp cho khách một danh sách đối tác "dài vô hạn" những nơi chấp nhận thẻ để được giảm giá, nhưng khi khách liên hệ thì nhận được câu trả lời không hề liên kết với công ty này.

Dấu hiệu lừa đảo?

"Tuy số tiền không lớn, nhưng hành vi tư vấn mập mờ không rõ ràng để lấy thông tin thẻ tín dụng, tự ý thanh toán khi chưa có sự đồng ý của khách hàng của công ty này là hành vi có dấu hiệu lừa đảo, tiềm ẩn rất nhiều rủi ro cho khách hàng, nhất là những khách hàng mới bắt đầu sử dụng thẻ tín dụng như tôi", chị T nói. 

Theo luật sư Lê Việt Hùng - Đoàn luật sư TP.HCM, việc một số người bỗng nhận được cuộc gọi từ một công ty mời làm thẻ thành viên/hội viên để có ưu đãi khủng, dùng cách tư vấn lập lờ để dụ chủ thẻ cung cấp thông tin, sau đó tự động trừ tiền trong thẻ tín dụng là có dấu hiệu lừa đảo. 

Vì khách không đồng ý trả tiền mà người bán đã tự thu tiền qua thẻ, theo quy định, việc thanh toán không được sự chấp thuận của chủ thẻ thì giao dịch đó không hợp lệ.

Theo điều 290 Bộ luật hình sự 2015, tội sử dụng mạng máy tính, mạng viễn thông, phương tiện điện tử thực hiện hành vi chiếm đoạt tài sản sẽ bị phạt cải tạo không giam giữ đến 3 năm hoặc phạt tù từ 6 tháng đến 3 năm, trong đó áp dụng với hành vi sử dụng thông tin về tài khoản, thẻ ngân hàng của cơ quan, tổ chức, cá nhân để chiếm đoạt tài sản của chủ tài khoản, chủ thẻ hoặc thanh toán hàng hóa, dịch vụ.

Ngoài ra, doanh nghiệp này còn có hành vi vi phạm cung cấp thông tin sai sự thật để giao kết hợp đồng nhằm bán một dịch vụ không tồn tại, khách đã được nhận ưu đãi không đúng như quảng cáo. 

Cũng theo luật sư Hùng, Luật bảo vệ người tiêu dùng nghiêm cấm các hành vi tổ chức, cá nhân kinh doanh hàng hóa, dịch vụ lừa dối hoặc gây nhầm lẫn cho người tiêu dùng thông qua hoạt động quảng cáo hoặc che giấu, cung cấp thông tin không đầy đủ, sai lệch, không chính xác về sản phẩm, dịch vụ.

"Luật cũng không cho phép tổ chức, cá nhân kinh doanh hàng hóa, dịch vụ yêu cầu người tiêu dùng thanh toán hàng hóa, dịch vụ đã cung cấp mà không có thỏa thuận trước với người tiêu dùng", luật sư Hùng thông tin thêm.

5 RỦI RO HÀNG ĐẦU TRONG THANH TOÁN DI ĐỘNG

Chúng tôi đã nói về cách ví di động đang thay đổi bối cảnh thanh toán và theo nghiên cứu mới nhất của CMO.com, 56% người tiêu dùng sẵn sàng sử dụng thiết bị di động của họ để thanh toán cho các sản phẩm mà họ đang mua sắm. Trong mọi lĩnh vực, sự tiến bộ trong công nghệ chắc chắn sẽ nhường chỗ cho các lỗ hổng & rủi ro mới và ví di động cũng không ngoại lệ. Các tin tặc ngoài đó tích cực tìm kiếm sơ hở trong các ứng dụng và cố gắng ăn cắp tiền hoặc chơi xấu với dữ liệu người tiêu dùng, điều này có thể dẫn đến thiệt hại lớn về tiền bạc và danh tiếng cho các doanh nghiệp. Theo khảo sát về ví di động PWC năm 2013, 79% người tiêu dùng lo ngại rằng ai đó có thể lấy cắp thông tin của họ khi thông tin được gửi qua mạng không dây.

1.     Các lỗ hổng trong tiêu chuẩn GSM hoặc CDMA Bạn có biết rằng các nhà cung cấp GSM hoặc CDMA của bạn cũng có nguy cơ bị tấn công không? Tự hỏi làm thế nào? Các nhà cung cấp dịch vụ thanh toán sử dụng các kênh truyền GSM hoặc CDMA để xác thực tài khoản của bạn, thông qua các phương pháp khác nhau, chẳng hạn như tin nhắn. Tuy nhiên, các kênh này không cung cấp mức độ bảo mật mã hóa mong muốn khiến tin tặc có thể dễ dàng chặn các luồng và "đánh hơi" chúng ngay lập tức. Các biện pháp bảo vệ: Để bảo vệ thông tin người dùng, các công ty có thể sử dụng các dịch vụ công nghệ sử dụng mã hóa & điện tử 2048-bit kép đặc biệt cho toàn bộ luồng dữ liệu di chuyển đến và đi từ thiết bị di động của bạn, điều này giúp cho việc gian lận như vậy không thể xảy ra do cần có thời gian giải mã.

2.     Chương trình gián điệp và phần mềm độc hại Trong các thiết bị không được bảo vệ, đôi khi các chương trình gián điệp và phần mềm độc hại được cài đặt trong khi tải xuống các chương trình khác từ web. Các chương trình này có khả năng chặn thông tin do người dùng nhập vào thiết bị như Mã PIN, mật khẩu hoặc bất kỳ dữ liệu nhạy cảm nào khác. Các biện pháp bảo vệ: Để bảo vệ thiết bị của bạn khỏi các chương trình phần mềm độc hại như vậy, hãy thực hiện quy tắc chung là cài đặt phần mềm chống vi-rút bằng cách tải xuống ứng dụng từ các nguồn đáng tin cậy. Phần mềm chống vi-rút tốt như chống phần mềm độc hại của BKAV, Avast, AVG, Kaspersky, v.v. cho phép bạn lên lịch quét để tự động chạy cho bạn và loại bỏ bất kỳ mã độc hại nào mà nó phát hiện được, giữ cho thiết bị luôn khỏe mạnh.

3.     Tấn công man-in-the-middle Như tên cho thấy, tấn công man-in-the-middle xảy ra khi kẻ tấn công bí mật chuyển tiếp và có thể làm thay đổi liên lạc giữa hai bên tin rằng họ đang trực tiếp giao tiếp với nhau. Nó có thể dẫn đến các vụ trộm nghiêm trọng cả về tiền bạc và dữ liệu quan trọng. Các biện pháp bảo vệ: Các doanh nghiệp có thể sử dụng các công cụ bảo mật di động như Appknox để phát hiện những sơ hở như vậy trong thanh toán di động và có được giải pháp tuân thủ để khắc phục sự cố. Tại Appknox, chúng tôi đang tiến hành quét bảo mật miễn phí các ứng dụng dành cho thiết bị di động, không chỉ quét các cuộc tấn công trung gian mà còn kiểm tra tất cả các mối đe dọa hàng đầu mà các doanh nghiệp di động phải đối mặt hiện nay.

4.     Thiếu xác thực mạnh mẽ cho đăng nhập của người dùng Một người bạn gần đây đã gặp trường hợp như vậy khi tài khoản của anh ấy trên một trong các trang web tạp hóa bị người khác sử dụng và chi tiêu được thực hiện dựa trên tài khoản của anh ấy. Trường hợp này đã trở thành cảnh ngộ chung trong lĩnh vực thanh toán di động khi những kẻ lừa đảo truy cập vào tài khoản người dùng để lấy cắp thông tin hoặc đơn giản là mua các mặt hàng, gây ra tổn thất lớn về tiền bạc cho khách hàng và thiệt hại nghiêm trọng về danh tiếng cho doanh nghiệp. Các biện pháp bảo vệ: Các doanh nghiệp nên hết sức cẩn thận trong việc xử lý thông tin đăng nhập của người dùng và nên thực hiện các biện pháp nghiêm ngặt trong khi xác thực tài khoản mỗi khi người dùng mua hàng. Có thể sử dụng các biện pháp bảo mật như xác thực tài khoản bằng OTP qua email hoặc số điện thoại.

5.     Trộm thực tế thiết bị "Tôi không thực hiện chuyển khoản đó - điện thoại của tôi đã bị đánh cắp." Cảnh tượng bình thường, phải không? 1/10 chủ sở hữu điện thoại thông minh là nạn nhân của mối đe dọa từ điện thoại và 12% bị tính phí gian lận trong tài khoản của họ. Nếu bạn không khóa tài khoản m-Payment của mình ngay sau khi mất thiết bị, những kẻ gian lận có thể tìm cách đánh cắp thông tin thẻ của bạn hoặc sử dụng thông tin này để mua hàng hóa / dịch vụ. Các biện pháp bảo vệ: Các doanh nghiệp thỏa hiệp trong việc sử dụng các biện pháp an ninh thay vì sự thuận tiện. Họ thường giữ tùy chọn tự động điền thông tin người dùng trong khi đăng nhập và ngay cả đối với thẻ tín dụng. Điều này làm lộ thông tin người dùng cho tin tặc khai thác trong trường hợp thiết bị bị đánh cắp. Các doanh nghiệp cần vạch ra ranh giới rõ ràng giữa sự tiện lợi và bảo mật và thực hiện các biện pháp để giữ an toàn cho dữ liệu người dùng ngay cả trong trường hợp thiết bị bị đánh cắp thực tế. Một giải pháp tuyệt vời có thể là xác nhận các khoản thanh toán bằng cách gửi mật khẩu dùng một lần trên email hoặc tin nhắn. Ngoài ra, các doanh nghiệp có thể hướng dẫn người dùng giữ an toàn cho các chi tiết thanh toán.

Số vụ mạo danh tin nhắn ngân hàng để lừa đảo gia tăng dịp cận Tết

 

Nhiều ngân hàng thương mại tiếp tục cảnh báo thủ đoạn kẻ gian mạo danh tin nhắn, thương hiệu ngân hàng đính kèm đường link có mã độc nhằm lấy cắp thông tin, chiếm đoạt tiền của khách hàng.

Thời gian gần đây nhiều người phản ánh họ nhận được tin nhắn giả mạo ngân hàng nhằm mục đích lấy cắp thông tin và chiếm đoạt tiền trong tài khoản. Theo đó, các đối tượng xấu gửi tin nhắn giả mạo các ngân hàng phổ biến tại Việt Nam như ACB, Sacombank… với nội dung như sau: "Chúng tôi phát hiện tài khoản của bạn đang tiêu dùng ở nước ngoài. Nếu không phải bạn đang tiêu dùng vui lòng nhấp vào link (liên kết) để hủy thanh toán" hoặc "Tài khoản ngân hàng của bạn có dấu hiệu bất thường, vui lòng đổi mật khẩu tại đây…".

Khi nhấp vào đường link được gửi kèm trong tin nhắn, người dùng sẽ bị chuyển hướng đến một trang web giả mạo có giao diện tương tự như website chính thức của ngân hàng. Nếu điền thông tin đăng nhập, tiền trong tài khoản sẽ nhanh chóng bị “bốc hơi”.

Trước tình trạng này, các ngân hàng đã đồng loạt gửi thư, thông báo để cảnh báo đến các khách hàng của mình. Như ngân hàng TMCP Ngoại thương Việt Nam (Vietcombank) vừa email cảnh báo tới từng khách hàng cảnh báo về việc, gần đây xuất hiện hình thức mạo danh tin nhắn của ngân hàng để lừa khách hàng bấm vào đường link trong tin nhắn. Từ đó đánh cắp thông tin dịch vụ ngân hàng điện tử và chiếm đoạt tiền trong tài khoản của khách hàng.

Cũng với thủ đoạn này, Ngân hàng TMCP Kỹ thương Việt Nam (Techcombank) ghi nhận hiện tượng kẻ gian giả mạo email ngân hàng nhằm mục đích đánh cắp thông tin của người nhận.

Đối tượng lừa đảo sử dụng email có tên là "TECHCOMBANK" để gửi đến người nhận, thông báo về việc một khách hàng khác gửi nhầm tiền đến tài khoản, đồng thời đính kèm một biểu mẫu chứa mã độc.

Người dùng cần tuyệt đối bảo mật thông tin cá nhân, tài khoản, thẻ... để tránh bị mất tiền oan.

​Khi khách hàng click vào file đính kèm, mã độc sẽ tự động được cài vào thiết bị, máy tính, từ đó có khả năng đánh cắp thông tin cá nhân của người dùng.

"Đây không phải là hiện tượng lừa đảo mới. Hiện tại, với các bước xác nhận thông tin nhiều lớp của Techcombank, việc lừa đảo này không dễ dàng có thể đánh cắp được tài khoản của khách hàng. Tuy nhiên, vào thời điểm cuối năm, khi nhu cầu thanh toán, mua sắm tăng cao, việc kẻ gian sử dụng tên TECHCOMBANK làm tên email có thể khiến khách hàng hiểu lầm, dẫn tới cung cấp thông tin cá nhân, có thể bị khai thác cho mục đích xấu" – đại diện Techcombank nói.

Ngân hàng TMCP Á Châu (ACB) cũng cảnh báo tin nhắn SMS mạo danh ngân hàng này để lừa đảo với thủ đoạn tương tự. ACB khẳng định các yêu cầu cung cấp thông tin hoặc số OTP hoặc mời mở link đường dẫn để là giả mạo.

Trước đó, nhiều ngân hàng, ví điện tử khác cũng cảnh báo thủ đoạn này và khuyến cáo khách hàng cần tuyệt đối bảo mật thông tin, nhất là không cung cấp mã OTP cho bất cứ ai trong bất kỳ trường hợp nào để tránh mất tiền oan.

Để bảo vệ an toàn tài khoản, các ngân hàng khuyến cáo người dùng cần cẩn trọng trước các yêu cầu "download" (tải về) hoặc khai báo thông tin, đặc biệt là các thông tin bảo mật của tài khoản bao gồm: số CMND, số điện thoại, địa chỉ email, mật khẩu đăng nhập, mã SmartOTP, số thẻ...

Đặc biệt, tuyệt đối không truy cập các đường link, liên kết trong tin nhắn/email lạ hoặc không rõ nguồn gốc. Các ngân hàng không bao giờ yêu cầu khách hàng cung cấp thông tin bảo mật của khách hàng dưới bất cứ hình thức nào…

Theo Thái Phương, Ảnh: Lam Giang

Người lao động

THỦ ĐOẠN ĐÁNH CẮP THÔNG TIN NGÂN HÀNG

Techcombank cảnh báo chiêu lừa đảo mới

ẢNH: TX

Theo Techcombank, đối tượng lừa đảo sử dụng thủ đoạn gửi email có tên là "TECHCOMBANK" để gửi đến người nhận, thông báo về việc một khách hàng khác gửi nhầm tiền đến tài khoản, đồng thời đính kèm một biểu mẫu chứa mã độc. Khi khách hàng click vào file đính kèm, mã độc sẽ tự động được cài vào thiết bị/máy tính, từ đó có khả năng đánh cắp thông tin cá nhân của người dùng.

Techcombank đánh giá, đây không phải là hiện tượng lừa đảo mới. Hiện tại, với các bước xác nhận thông tin nhiều lớp của Techcombank, việc lừa đảo này không dễ dàng đánh cắp được tài khoản của khách hàng.

Tuy nhiên, vào thời điểm cuối năm, khi nhu cầu thanh toán, mua sắm tăng cao, việc kẻ gian sử dụng tên TECHCOMBANK làm tên email có thể khiến khách hàng hiểu lầm, dẫn tới cung cấp thông tin cá nhân, có thể bị khai thác cho mục đích xấu. Do đó, Techcombank khuyến nghị khách hàng kiểm tra địa chỉ email Techombank bằng cách trỏ và bấm chuột phải địa chỉ email gửi đến để kiểm tra chính xác (đối tượng lừa đảo có thể dùng cách hiển thị giả email có đuôi "techcombank.com.vn" để đánh lừa khách hàng, nhưng thực tế là một địa chỉ email khác). Tất cả các đường link (URL) trong email được gửi từ Techcombank đều sẽ là (.techcombank.com.vn.). Đồng thời Techcombank không yêu cầu khách hàng xác nhận thanh toán hoặc giao dịch qua email. Nếu nghi ngờ, khách hàng không nhấp vào liên kết (link) trong email và không mở file đính kèm.

Hai cách đánh cắp tài khoản ngân hàng phổ biến

 

TTO - Các chuyên gia an ninh mạng vừa chỉ ra hai cách thức mà hacker thường sử dụng để chiếm đoạt tài khoản ngân hàng của người dùng tại Việt Nam.

Tài khoản ngân hàng người dùng đang là đích nhắm của tội phạm mạng. - Ảnh: internet

Theo Công ty an ninh mạng Bkav, hàng loạt vụ việc đánh cắp tài khoản người dùng dịch vụ ngân hàng trực tuyến đã xảy ra trong ba tháng đầu năm 2017.

Qua phân tích các vụ việc, các chuyên gia an ninh mạng Bkav chỉ ra hai cách thức mà hacker sử dụng để chiếm đoạt tài khoản ngân hàng của người dùng tại Việt Nam. Đó là sử dụng mã độc đánh cắp thông tin và giả mạo website ngân hàng, tổ chức tài chính.

Với cách sử dụng mã độc, hacker tạo một ứng dụng độc hại, thường là núp bóng ứng dụng phổ biến hoặc phần mềm bẻ khóa (crack) rồi đưa lên Internet. Khi người dùng tải về và sử dụng, mã độc sẽ được kích hoạt để đánh cắp thông tin cá nhân, tài khoản, mật khẩu. Sau khi chiếm được tài khoản của người dùng, tội phạm mạng sẽ tiến hành các giao dịch lấy cắp tiền.

Với cách giả mạo website ngân hàng, tổ chức tài chính, hacker tạo ra các website có giao diện giống hệt trang của ngân hàng, dịch vụ chuyển tiền… Bước tiếp theo, chúng mạo danh ngân hàng, người thân, bạn bè gửi đường dẫn trang web đó tới nạn nhân.

Trên trang giả mạo, người dùng sẽ được yêu cầu nhập thông tin cá nhân, tài khoản. Một khi thực hiện theo các hướng dẫn này là người dùng đã tự cung cấp tài khoản của mình cho hacker.

Ông Ngô Tuấn Anh, phó chủ tịch phụ trách an ninh mạng của Bkav, cho biết: “Để không trở thành nạn nhân các chiêu trò lừa đảo, người dùng lưu ý không kích chuột vào các đường dẫn lạ. Đối với các yêu cầu đáng ngờ, nên xác minh với bạn bè, người thân trước khi cung cấp thông tin. Tuyệt đối không cài phần mềm không rõ nguồn gốc hay tải các ứng dụng không phải từ kho chính thống”.

ĐỨC THIỆN