Anh Minh Thông, nhân viên môi giới bất động sản tại TP HCM cho biết, tối 22/9 có trao đổi giao dịch đặt cọc thuê nhà với một khách hàng có tài khoản Facebook Tu Pham. Sau khi chốt căn hộ sẽ thuê, vị khách tự xưng là Việt kiều này xin số tài khoản của anh để chuyển tiền đặt cọc 5 triệu đồng. Thông báo đã chuyển tiền, người này chụp cho anh xem một biên lai từ Western Union.
Lúc này, điện thoại của anh Thông nhận được tin nhắn từ đầu số "Micosoft" thông báo đã nhận được 225 USD với nội dung mô phỏng theo cú pháp thông báo của ngân hàng. Tiếp sau đó, đầu số này gửi thêm hai tin nhắn với cùng nội dung "thông báo khách hàng hoàn thành thủ tục nhận tiền vào tài khoản" kèm đường link "techcombank-tmcp-vn-us.weebly.com". Ngay lúc đó, tài khoản Tu Pham nhắn tin hướng dẫn anh Thông truy cập đường link theo thông báo để hoàn thành thủ tục, tiền mới về tài khoản.
Nghe theo, anh Thông truy cập vào đường link. Giao diện hiện ra theo anh mô tả giống hoàn toàn với giao diện trang web ngân hàng trực tuyến của Techcombank. Tại đây, trang web yêu cầu anh nhập thông tin tài khoản, mật khẩu Internet Banking.
"Cũng thấy nghi ngờ nhưng trong hoàn cảnh đó, cách nói chuyện của người này tạo cho tôi cảm giác mình là người nhận tiền, không thiệt thòi trong giao dịch đang diễn ra", anh giải thích.
Do đó, anh Thông đã nhập thông tin tài khoản internet banking vào trang web. Lập tức, đầu số "Microsoft" tiếp tục gửi thêm tin nhắn về điện thoại của anh với nội dung: "Techcombank thông báo khách hàng soạn tin nhắn theo cú pháp TCB HUY SMARTOTP gửi 8049 để nhận mã otp hoàn thành giao dịch".
Sau khi thực hiện yêu cầu, anh Thông không còn truy cập được trang web trên. Lúc bấy giờ, ứng dụng ngân hàng trên điện thoại thông báo tài khoản được cộng 100 triệu đồng thanh toán gốc và lãi tiết kiệm online. Vài giây sau, ứng dụng tiếp tục thông báo chuyển tiền đến tài khoản khác 100 triệu đồng. Cứ như thế, chỉ trong khoảng vài phút, anh Thông bị lấy cắp mất 250 triệu đồng từ các tài khoản tiết kiệm online.
"Trước giờ tôi luôn nghĩ rằng, gửi tiết kiệm qua ứng dụng ngân hàng rất an toàn, nhưng không ngờ lại bị mất hàng trăm triệu đồng một cách quá dễ dàng chỉ sau vài phút", anh nói và cho biết cũng may đã kịp thời gọi lên tổng đài ngân hàng để yêu cầu khóa tài khoản chứ không số tiền bị đánh cắp có lẽ còn nhiều hơn.
Đại diện Techcombank xác nhận với VnExpress trường hợp của anh Thông bị rút 250 triệu đồng tiết kiệm do điền tên đăng nhập và mật khẩu Internet Banking vào đường link giả mạo của ngân hàng. Nhà băng đang làm việc và hỗ trợ thông tin cho khách hàng để đưa vụ việc lên cơ quan điều tra.
Bên cạnh trường hợp của anh Thông, thời gian qua một số khách hàng khác như người bán hàng online thường xuyên có giao dịch ngân hàng, cũng từng bị mất tiền trong tài khoản do nhập thông tin vào đường link lạ giả mạo ngân hàng. Kẻ lừa đảo đánh cắp thông tin đăng nhập vào Internet Banking của chủ tài khoản bằng cách gửi đường link giả mạo với giao diện tương tự website ngân hàng. Để yêu cầu nạn nhân nhập thông tin, kẻ lừa đảo sử dụng nhiều hình thức lừa đảo khác nhau, phổ biến nhất là lừa nhận tiền từ nước ngoài.
Hiện nay, kẻ lừa đảo có khả năng giả mạo tin nhắn các thương hiệu uy tín như Apple, Microsoft... hoặc chính các ngân hàng qua SMS Brand Name. Dịch vụ này do nhà mạng cung cấp cho doanh nghiệp và có quy trình xét duyệt hồ sơ nghiêm ngặt. Tuy nhiên, SMS Brand Name được đăng ký sẽ độc quyền trên đầu số và thương hiệu đăng ký đi kèm, không độc quyền trên tất cả đầu số. Điều này tạo ra sơ hở cho kẻ gian giả mạo.
Ngoài ra, chính điện thoại cũng là "kẻ tiếp tay" với tính năng nhóm tin nhắn thành từng đầu mục không phân biệt đầu số. Chỉ cần tin nhắn gửi tới có cùng Brand Name với tin nhắn cũ đã có trong máy, điện thoại vẫn gom vào cùng một luồng để hiển thị. Chưa kể, các đối tượng tinh vi hơn còn sử dụng trạm phát sóng viễn thông giả. Trạm giả có thể phát ra sóng để đánh lừa các điện thoại xung quanh trong khu vực rằng, nó mới chính là trạm phát sóng của nhà mạng.
Các nhà băng lâu nay cũng thường xuyên thông tin cảnh báo tới người dùng bằng email hoặc đăng tải trên website về các thủ đoạn lừa đảo. Khi nhận được các yêu cầu đăng nhập thông tin, khách hàng cần cẩn trọng kiểm tra lại đường link, so sánh với địa chỉ website chính thức của ngân hàng.
Ngoài ra, khách phải giữ bảo mật và thường xuyên thay đổi mật khẩu tài khoản cá nhân. Các nhà băng cũng khuyến cáo không cung cấp bất kỳ thông tin các nhân nào như tên đăng nhập, số tài khoản, mật khẩu, mã OTP, chứng minh nhân dân... cho bất kỳ ai, kể cả người tự xưng là nhân viên ngân hàng, công an...
Tất Đạt - Quỳnh Trang