Chuyên gia tài chính Nguyễn Trí Hiếu bị hack 457 triệu đồng trong tài khoản

Tin nhắn mà ngân hàng gửi mật khẩu OTP không vào máy của chính chủ, mà vào điện thoại Xiaomi của nhóm lừa đảo. Lần này, nạn nhân là TS Nguyễn Trí Hiếu – một chuyên gia tài chính – ngân hàng.

• Lừa đảo qua mạng: Người Việt bị lừa gần 16 tỷ USD trong tổng 53 tỷ USD toàn cầu
• Vụ nữ chủ tịch huyện bị lừa hơn 100 tỷ: Bộ Công an nói ‘tích cực điều tra’

Trên trang Facebook cá nhân ngày 29/3, TS Nguyễn Trí Hiếu xác nhận thông tin tài khoản mở tại ngân hàng N. của ông bị hack mất 457 triệu đồng. Thông tin trên cũng được ông Hiếu chia sẻ trên một talkshow trên VTC1 với tư cách khách mời, phát hình ngày 28/3.

“Tôi là người thường xuyên cảnh giác mọi người về lừa đảo qua mạng trên các phương tiện truyền thông, nhưng lại chính là nạn nhân của tệ nạn này.”, ông Hiếu viết trên trang cá nhân.

Theo thông tin sự việc, khoảng 3 tháng trước, ông Hiếu đến ngân hàng N. giao dịch thì mới biết 457 triệu đồng trong tài khoản chỉ còn 50.000 đồng.

Qua rà soát hệ thống, ngân hàng N. cho ông biết đối tượng lừa đảo sử dụng Internet banking, cung cấp đầy đủ thông tin cá nhân mạo danh ông, hai lần yêu cầu ngân hàng cấp mật khẩu mới.

Tin nhắn gửi mã OTP được gửi vào số điện thoại ông Hiếu nhưng thực tế gửi vào số điện thoại trùng khớp với số điện thoại của ông Hiếu.

“Ngân hàng gửi mật khẩu OTP vào số điện thoại của tôi nhưng thực tế thiết bị nhận được tin nhắn lại là điện thoại Xiaomi. Còn điện thoại của tôi là hãng IPhone và không nhận được mã OTP”, ông Hiếu cho hay. Nhóm lừa đảo sau khi nhận mã OTP đã đổi lại mật khẩu tài khoản ngân hàng và nhanh chóng thực hiện rút tiền.

“Tôi nghĩ đang có lỗ hổng bảo mật trong hệ thống ngân hàng, và chính vì thế NHNN đã ra quyết định 2345, có hiệu lực từ ngày 1/7/2024 sắp tới, chuyển tiền trên 10 triệu đồng phải xác thực bằng khuôn mặt hay vân tay. Đối với tôi, biện pháp này đã quá muộn.”, ông Hiếu chia sẻ quan điểm.

Ông Hiếu cho biết hiện ông đã làm đơn khiếu nại lên ngân hàng và phía công an. Phía công an cũng đang điều tra vụ việc, hiện chưa có kết quả.

“Tôi mong N. bồi thường cho tôi số tiền tôi đã mất và mong cơ quan điều tra làm rõ vụ việc để mọi người cảnh giác và tránh thiệt hại”, ông Hiếu viết.

Trong một cảnh báo đưa ra từ tháng 8/2023, chuyên gia Vũ Ngọc Sơn, Giám đốc Kỹ thuật Công ty NCS cho hay hacker không cần mã OTP mà vẫn có thể chiếm quyền điều khiển điện thoại, bật app ngân hàng và thực hiện chuyển tiền bằng cách lợi dụng dịch vụ trợ năng (Accessibility Service) – một thiết kế của Google trong Android nhằm giúp cho những người khiếm thị, hoặc mất khả năng vận động có thể dùng được smartphone. Hacker sử dụng Accessibility Service để lập trình mã độc đọc được nội dung và tương tác được trên các ứng dụng khác.

Tháng 2 vừa qua, chuyên gia Ngô Minh Hiếu (thường gọi Hiếu PC) khuyến cáo về các app giả mạo do nhóm lừa đảo lừa người dùng cài đặt để lấy tiền từ tài khoản ngân hàng, bất kể là điện thoại iPhone hay Android.

“Theo một số điều tra từ năm ngoái của mình, và một số dẫn chứng của các hãng bảo mật nổi tiếng thế giới, thì khả năng cao nhóm hacker này đang ở một nước lớn hàng xóm kế bên Việt Nam.”, ông Hiếu viết.

Ông Hiếu khuyến cáo người dùng không click vào bất kỳ link nào được gửi qua tin nhắn, chỉ nên cài app từ các chợ ứng dụng chính thức như Play Store (CH Play), AppStore, AppGallery. Tuyệt đối không cấp quyền nhạy cảm cho app mới, nhất là quyền trợ năng (Accessibility) và Notification Listener.

“Khi máy Android cài vào thường hacker sẽ lấy cắp mã OTP, thông tin tài khoản và thu thập hết toàn bộ thông tin có trên máy như SMS, hình ảnh… toàn bộ quá trình được điều khiển từ xa bởi hacker.

[…] Nếu máy bị tụt pin nhanh, sử dụng lượng dữ liệu mạng lớn bất thường hoặc chậm đi, nóng ran, nên kiểm tra hoặc tắt nguồn đt, hoặc tắt wifi, 4G đi lập tức.” – ông Hiếu khuyến cáo.