Theo thông tin trên VTV, Cục công nghệ phòng chống tội phạm công nghệ cao (C50) cho biết, tình tiết quan trọng nhất trong vụ việc khách hàng của Vietcombank “bỗng dưng” bị rút 500 triệu trong tài khoản đã dần sáng tỏ. Theo đó, Vietcombank đã gửi mã OTP vào thiết bị cầm tay của chị Na Hương (KH của Vietcombank trong vụ việc này) để có thể kích hoạt chuyển hình thức giao dịch từ nhận OTP bằng SMS sang Smart OTP.
C50 cho biết thêm, hiện trên điện thoại của chị Na Hương vẫn còn lưu tin nhắn của ngân hàng Vietcombank gửi thông báo về khách hàng đã kích hoạt sử dụng dịch vụ Smart OTP.
Theo thông tin VietTimes đã đưa tin trước đó, rạng sáng ngày 4/8/2016, tài khoản tại Vietcombank của chị Hoàng Thị Na Hương “bỗng dưng” bị mất 500 triệu đồng. Chị Hương đã có buổi làm việc với Vietcombank vào chiều ngày 11/8/2016, trên cơ sở khách hàng cung cấp, Vietcombank xác định khách hàng đã truy cập vào một website giả mạo (có địa chỉ http://creatingacreator.com/kob/1/index.htm) vào ngày 28/7/2016 qua máy điện thoại cá nhân. Từ việc truy cập này, thông tin và mật khẩu của khách hàng đã bị đánh cắp, sau đó tài khoản khách hàng đã bị lợi dụng vào đêm ngày 3 rạng sáng ngày 4/8/2016.
Các đối tượng lừa đảo đã chuyển tiền từ tài khoản khách hàng tới nhiều tài khoản trung gian tại 3 ngân hàng khác nhau tại Việt Nam. Sau đó, đối tượng lừa đảo đã rút 200 triệu đồng qua ATM ở Malaysia. Vietcombank đã xử lý các biện pháp khẩn cấp, kịp thời khoanh giữ lại được 300 triệu đồng. Đây là các giao dịch chuyển khoản sang ngân hàng khác, chưa kịp chuyển ra khỏi hệ thống Vietcombank.
OTP là viết tắt của One Time Password (mật khẩu dùng một lần). Khi khách hàng cần chuyển tiền qua Internet, ngoài mật khẩu cố định để đăng nhập vào tài khoản ngân hàng, khách hàng cần nhập thêm một lần mã hệ thống cho trước để xác nhận thực hiện giao dịch.
Sau đó hệ thống lại tiếp tục gửi một mã số ngẫu nhiên (OTP) đến khách hàng thông qua số điện thoại, email được đăng ký trước để xác nhận lần cuối trước khi việc chuyển tiền được thực hiện.
Khi sử dụng mã xác nhận được cấp dán vào Smart OTP, mặc định là thiết bị cài đặt ứng dụng sẽ nhận được mã OTP ngẫu nhiên theo thuật toán, bất kể điện thoại đó có cài SIM tài khoản đăng ký dịch vụ Internet Banking với Vietcombank hoặc có Internet hay không.
Liên quan đến việc này, sáng sớm ngày 16/8, Vietcombank đã công bố về các thay đổi đối với phương thức kích hoạt dịch vụ Smart OTP áp dụng từ ngày 12/8/2016 như sau:
1. Đối với khách hàng đã sử dụng dịch vụ Smart OTP và muốn tiếp tục dịch vụ Smart OTP trên thiết bị đang sử dụng:
Khách hàng thực hiện việc đăng ký lại dịch vụ Smart OTP trên chương trình Internet Banking của Vietcombank.
2. Đối với các khách hàng chưa từng đăng ký sử dụng phần mềm SmartOTP hoặc khách hàng đã đăng ký sử dụng dịch vụ Smart OTP nhưng có nhu cầu chuyển sang cài đặt và sử dụng trên thiết bị mới:
Đề nghị quý khách đến các điểm giao dịch của Vietcombank để thực hiện việc đăng ký dịch vụ. Quý khách nên tải phần mềm Smart OTP về thiết bị của mình trước khi đến đăng ký sử dụng dịch vụ.
“Phần mềm Smart OTP đã được bổ sung nội dung thông báo này để tạo thuận lợi về tiếp cận thông tin cho khách hàng. Đề nghị khách hàng tải lại phiên bản mới nhất của phần mềm Smart OTP trên Google Play Store hoặc Apple Store”, Vietcombank lý giải.