Vừa qua xảy ra sự việc gây chấn động về số tiền nửa tỷ đồng trong tài khoản của khách hàng đột nhiên bị đánh cắp.Phía ngân hàng Vietcombank đã đưa ra những lý luận và dẫn chứng về sự cố này.Thực chất lý do tiền bị đánh cắp có giống như những gì Giám đốc ngân hàng Vietcombank đã nói?Một người từng bị đánh cắp tiền trong tài khoản khi sử dụng ngân hàng Vietcombank lên tiếng vạch trần sự thật.
Tôi xin nhấn mạnh nội dung dưới đây không phải là giả thiết, cũng không phải là kịch bản như một số chuyên gia bảo mật đăng lên nhé. Đây là câu chuyện có thật, đã diễn ra với đầy đủ bằng chứng cụ thể.
Tôi không hàm ý 500 triệu của chị Na Hương bị mất theo kịch bản này, mà đây là cách tôi thực hiện. Và thực hiện thành công. Tôi cũng chứng minh cho mọi người thấy cơ sở để tôi cho rằng Vietcombank gian dối!
Về trường hợp 500 triệu trong tài khoản chị Hương bị chuyển đi, ngân hàng khẳng định chị bị mất tên truy cập và mật khẩu. Cứ cho khẳng định này của VCB là đúng, thì điều duy nhất cần được quan tâm, là tại sao mã OTP lại không bay về số phone của chị?
OK, tất nhiên mã này sẽ không bay về điện thoại của chị nếu một trong ba tình huống giả định sau được thực thi:
1- Trước thời điểm chuyển tiền, hacker đã thay đổi số điện thoại nhận mã SMS của chị từ A thành B. Sau khi chuyển tiền thành công thì đổi từ B về A như cũ (nên chị mới nhận được thông báo đã bị trừ tiền ở số điện thoại A). Và cứ mỗi lần ra lệnh chuyển tiền, hacker lại làm một chu trình như vậy!
2- Ngân hàng vẫn gửi mã xác nhận chuyển tiền về số điện thoại A của chị Hương, nhưng trên đường đi, tin nhắn này bị “bắt cóc” về số điện thoại B của hacker!
3- Hacker đã kết nối thành công ứng dụng Smart OTP trên điện thoại của hacker với tài khoản VCB của chị, và thực hiện chuyển tiền thông qua hình thức xác nhận mã trên App OTP của hacker thay vì gửi SMS đến số điện thoại chị Hương.
Trên thực tế, các giả thiết này đều có thể xảy ra, dù rất khó và hơi phi thực tế (vì chỉ cần tra soát từ nhà mạng sẽ biết ngay có đúng là SMS chứa OTP bị chuyển hướng hay không; tra soát từ nội bộ VCB sẽ biết có đúng số điện thoại của chị bị thay đổi liên tục hay không). Vậy nên, tôi gạch đi hai giả thiết đầu tiên.
Với giả thiết thứ 3, thì theo logic hiện nay, để cài đặt và kích hoạt phần mềm Smart OTP trên điện thoại, hacker phải thực hiện các bước sau:
1- Tải App OTP về điện thoại. OK dễ dàng, ai cũng làm được, chẳng cứ phải hacker.
2- Liên kết App OTP vừa tải với tài khoản VCB của chị Hương bằng cách đăng nhập vào website VCB (giả sử hacker đã có user và pass của chị Hương).
3- Chọn số điện thoại nhận mã kích hoạt App OTP và ra lệnh gửi mã này.
4- Bằng cách nào đó, hacker đọc được mã kích hoạt mà VCB vừa gửi.
5- Hacker nhập mã kích hoạt này vào App OTP để hoàn tất liên kết với tài khoản VCB của chị Hương. Từ lúc đó, hacker có thể chuyển tiền dựa vào App OTP đã cài, đã kích hoạt và đã liên kết thành công.
Tất cả nghi vấn đang dồn vào bước 4. Làm sao hacker có thể đọc được mã kích hoạt App OTP ở máy điện thoại chị Hương?
NHƯNG TRÊN THỰC TẾ, VIỆC NÀY CÒN DỄ HƠN ĂN KẸO VÌ THỜI ĐIỂM TRƯỚC (TRƯỚC KHI SỰ VIỆC NÀY VỠ LỞ), HACKER CÓ THỂ TỰ THÊM SỐ ĐIỆN THOẠI CỦA MÌNH VÀO DANH SÁCH NÀY MỘT CÁCH DỄ DÀNG, VÀ KHÔNG BAO GIỜ CẦN TÌM CÁCH CHUYỂN HƯỚNG SMS HAY “ĐỌC TRỘM” TRÊN ĐIỆN THOẠI CỦA CHỊ HƯƠNG!!!
Đúng sai thế nào cứ để cơ quan công an điều tra và đưa ra kết luận, tôi không thể nào kết luận thay cho họ. Nhưng với bản thân tôi, mọi thứ đã diễn ra chính xác như sau.
Tôi có 2 số điện thoại đăng ký trực tiếp với VCB tại quầy giao dịch là xx111 và xx222 (số này chỉ là số minh hoạ). Nhưng thời điểm VCB tung ra App OTP trên điện thoại, vì thấy nó thật tiện lợi, tôi đã cài vào iPhone để xài cho tiện.
Đến thời điểm đó, tôi vẫn sử dụng hình thức nhận mã OTP qua điện thoại ở số xx222. Và vì lý do bảo mật, tôi không sử dụng số xx222 này cho các giao dịch công khai với mọi người. Số xx222 chỉ được dùng duy nhất vào việc nhận mã OTP của VCB.
Còn iPhone tôi đang sử dụng có số 0988.888.008 thì chưa bao giờ được đăng ký với VCB trước đó.
Tất nhiên, để cài App OTP vào máy iPhone và kích hoạt. Tôi có thể đọc mã OTP được gửi về số xx222, sau đó nhập vô iPhone là xong chuyện. Và nếu tôi làm vậy, tôi đã không bao giờ biết được VCB đã sơ hở thế nào!
Đen đủi làm sao đúng hôm cần cài đặt App OTP đấy thì số xx222 của tôi trục trặc. Trong khi số xx111 thì trong thực tế tôi đã vứt đi từ vạn năm trước không dùng tới. Tóm lại, tôi không có cách nào để kích hoạt App OTP trên iPhone được.
Vì vậy, tôi đã gọi lên VCB để hỏi thì được nhân viên tổng đài tư vấn cho hai cách. Hoặc ra ngân hàng đăng ký số 0988.888.008 vào tài khoản VCB và nhận mã kích hoạt; hoặc tự đăng nhập vào tài khoản VCB online và thêm số điện thoại này vào. Lại đen đủi làm sao là tôi bị mất Chứng minh thư nên không thể ra bank được, thế nên tôi chọn cách đăng ký online!
Tức là hai cái “đen đủi” của tôi diễn ra cùng lúc khiến tôi biết thực sự điều gì đã diễn ra!
Và đúng là sau khi đăng nhập vào VCB trực tuyến, tôi đã thêm được số 0988.888.008 vào tài khoản của mình và sau đó ra lệnh chuyển mã kích hoạt vào đúng số điện thoại mới này. Kết quả, tôi đã kích hoạt App OTP thành công. VẬY NÊN TÔI NGHĨ, HACKER HOÀN TOÀN CÓ THỂ THAO TÁC ĐÚNG NHƯ VẬY, DỄ HƠN ĂN KẸO!
Đến thời điểm hiện nay, tôi đã sử dụng App OTP này để sinh mã xác thực cho rất rất nhiều giao dịch chuyển tiền. Và về logic, tôi hoàn toàn có thể truy vấn VCB việc này.
Có thể sau đó VCB đã phát hiện ra “lỗ hổng” trong quy trình nên âm thầm khắc phục. Tôi đoán chỉ từ khoảng thời gian 10 ngày đổ lại đây thôi! Hiện tại, thông tin tài khoản của tôi vẫn có đủ 3 số điện thoại là xx111, xx222 và 0988.888.008. Nhưng tôi không thể thêm xoá sửa bất cứ thông tin nào với 3 số điện thoại này (dù trước đó tôi thêm xoá dễ hơn ăn kẹo).
Nực cười là, mặc dù cả 3 số điện thoại này đã bị “bôi đen”, bảo vệ không cho thêm xoá sửa, nhưng từ mấy hôm nay, tôi không thể nào đề nghị ngân hàng gửi OTP vào số 0988.888.008 thêm một lần nào nữa; trong khi hai số xx111 và xx222 thì có thể! Đồng thời, App OTP trên iPhone mà trước đó tôi kích hoạt bằng số 0988.888.008 cũng tự nhiên bị đá ra ngoài không thể nào hoạt động.
Tất cả những điều này khiến tôi suy luận rằng VCB đã phát hiện ra lỗi bảo mật trong quy trình xác thực của mình và âm thầm khắc phục. Đến bây giờ, không ai có thể tự thêm số điện thoại vào như tôi đã làm trước đó. Hàng loạt App OTP được kích hoạt từ trước cũng bị yêu cầu kích hoạt lại từ đầu. Đây có thể là nỗ lực của VCB, nhưng chỉ âm thầm sửa sai như vậy thì tôi cho là gian dối!
Việc báo chí đưa tin rằng VCB khẳng định lỗi ở khách hàng và hệ thống OTP của họ an toàn là không trung thực. Chị Hương, nếu chị đọc được bài này và cần tôi hỗ trợ, tôi sẵn sàng mang toàn bộ thông tin tài khoản của mình ra làm chứng giúp chị.
Về cuộc gọi và câu trả lời hướng dẫn từ tổng đài VCB, tôi tin là họ có lưu (hoặc đã tẩu tán không chừng). Nhưng mã kích hoạt App OTP gửi tới số 0988.888.008 thì tôi đang giữ đây, may quá tôi chưa xoá! Cái App OTP này trên iPhone của tôi mặc dù không có tác dụng sinh mã hợp lệ nữa, nhưng nó vẫn đang trong trạng thái đã kích hoạt thành công! Thông tin tài khoản của tôi trên trang VCB trực tuyến cũng có số 0988.888.008 mà trên thực tế, VCB CHƯA BAO GIỜ VÀ SẼ KHÔNG BAO GIỜ CÓ BẤT CỨ MỘT GIẤY TỜ (HỢP ĐỒNG) NÀO CHỨNG MINH ĐƯỢC RẰNG TÔI ĐỀ NGHỊ HỌ THÊM SỐ 0988.888.008 VÀO TÀI KHOẢN ONLINE CỦA TÔI NHƯ TÌNH TRẠNG HIỆN NAY (chẳng biết khi nào họ xoá và tẩu tán, he he).
Tóm lại, hệ thống OTP của VCB có lỗi, lỗi nghiêm trọng về mặt quy trình (chứ không phải là bảo mật). Cách trả lời của VCB là lấp liếm và không trung thực. Vì khách hàng mua Dr Yến Vụn vẫn dùng VCB nhiều nên tôi không thể đóng tài khoản ở VCB lại được, nhưng cứ có tiền là tôi sẽ chuyển đi chỗ khác. Cụ thể ngân hàng nào thì tôi đang nghĩ một vài lựa chọn như ANZ hoặc Techcombank. Vì ANZ của nước ngoài chắc bảo mật tốt hơn, còn Techcombank được HSBC đầu tư về kỹ thuật nên cũng an tâm được phần nào.
Ở tút tiếp theo, tôi sẽ chỉ tiếp ra một lỗ hổng trong quy trình giao dịch của VCB khiến người khác có thể tự nhiên rút tiền ra khỏi tài khoản của tôi. Cũng vẫn là chuyện có thật chứ không phải là giả thiết hay kịch bản gì. Vụ đó, hết sếp nhỏ đến sếp lớn của VCB đã năn nỉ xin lỗi tôi đủ kiểu, nhưng bây giờ vì ghét cái thái độ nên tôi kể hết.
Đồng tiền gắn liền khúc ruột. Ngân hàng mà lấp liếm kiểu này thì nguy, nguy thật!
