WhiteHat News #ID:2018
WhiteHat Support
-
20/03/2017
-
129
-
443 bài viết
Đến lượt ATM BIDV bị skimming tấn công: một chủ thẻ mất gần 40 triệu đồng, nhiều thẻ khác bị khoá
Gần đến Tết nguyên đán, tội phạm lấy cắp tiền từ thẻ ATM hoạt động mạnh hơn khi liên tục có chủ thẻ ATM báo cáo bị rút trộm tiền, buộc ngân hàng phải tạm khoá hàng loạt thẻ ATM khác.
Chị M.N.Q, (Cầu Giấy, Hà Nội), cho biết sáng ngày 16/1/2019, khi thức dậy kiểm tra điện thoại chị thấy có một loạt tin nhắn từ ngân hàng BIDV thông báo chị rút tiền. Tổng số 9 lần rút tiền (7 lần 5 triệu đồng/ lần, 2 lần 2 triệu đồng/ lần) với số tiền lên đến 39 triệu đồng. Số dư tài khoản còn lại hơn 500 ngàn đồng kẻ gian đã để lại. Thời điểm rút tiền từ 5h38 cho đến 5h46 phút sáng ngày 16/1/2019.
Chụp màn hình cho thấy kẻ gian đã 9 lần rút tiền trong khoảng 8 phút lúc sáng sớm 16/1/2019
Theo lời kể của chị Q., chị gọi điện cho BIDV chi nhánh Mỹ Đình, thì được nữ giao dịch viên tên Nhung sau khi kiểm tra cho biết các giao dịch rút tiền từ thẻ ATM của chị được thực hiện ở một cây ATM ở huyện Từ Sơn, Bắc Ninh. Đến trực tiếp chi nhánh BIDV trên đường Dương Đình Nghệ (Yên Hoà, Cầu Giấy) - nơi chị thường rút tiền tại cây ATM ở đây, nhân viên giao dịch cho biết vừa nhận được hai khiếu nại tương tự, cũng bị rút tiền ở cây ATM Từ Sơn, Bắc Ninh. Nhân viên ngân hàng cho biết ngân hàng sẽ điều tra và trả lời khách hàng sau, nhưng chỉ hứa hẹn trong vòng 30 ngày.
BIDV vội vã khoá ngay thẻ ATM của nhiều khách hàng đã giao dịch ở hai cây ATM đường Dương Đình Nghệ, Cầu Giấy, Hà Nội
Theo quy trình, trong những trường hợp này ngân hàng sẽ điều tra. Nếu lỗi thuộc về ngân hàng (như không đảm bảo bảo mật thông tin khi khách hàng rút tiền tại ATM) thì ngân hàng phải hoàn tiền cho khách hàng. Còn không, chủ thẻ phải chịu thiệt hại. Trường hợp chủ thẻ không chấp nhận kết quả có thể kiện ra toà.
Trường hợp chị Q. là nạn nhân của tấn công skimming rõ ràng hơn khi một loạt đồng nghiệp của chị (đều nhận lương qua tài khoản BIDV) bị ngân hàng khoá thẻ. Có người cho biết nhận được cuộc gọi của nhân viên BIDV thông báo để bảo đảm an toàn cho thẻ, đề nghị chủ thẻ đổi mật khẩu hoặc làm lại thẻ. Có người đến hôm sau nhận được tin nhắn báo thẻ đã bị khoá để bảo đảm an toàn. Qua tìm hiểu, thì những chủ thẻ ATM bị ảnh hưởng là những người rút tiền từ ngày 1/1/2019 đến ngày 10/1/2019 tại hai cây ATM của ngân hàng BIDV đặt tại tòa nhà HH2 (Yên Hoà, Cầu Giấy) và Tổng cục Hải quan (đường Dương Đình Nghệ).
Cây ATM ở phòng giao dịch BIDV địa chỉ HH1, Yên Hoà, Cầu Giấy đã tạm thời ngừng hoạt động vì lý do an ninh.
Skimming là thủ đoạn kẻ gian lấy cắp thông tin thẻ ATM bằng cách lắp đặt thiết bị trên máy ATM, POS. Thông thường, chúng dùng bảng nhựa chứa thiết bị lấy cắp thông tin thẻ gắn phía ngoài khe quẹt thẻ. Khi người dùng đưa thẻ vào khe cắm, thẻ sẽ đi qua thiết bị skimming trước rồi mới vào bên trong nên tội phạm sẽ lấy toàn bộ thông tin lưu trữ trên dải băng từ.
Bên cạnh đó, chúng gài camera nhỏ, thường được ngụy trang tinh vi và ốp ngay phía trên bàn phím của máy ATM để ghi lại toàn bộ hoạt động nhập mã PIN của khách hàng khi rút tiền. Sau khi lấy thông tin thẻ và mã PIN, chúng sẽ sử dụng thiết bị làm giả thẻ thông qua phần mềm chuyên dụng và thiết bị đọc, in dữ liệu thẻ từ, rồi rút tiền tại các máy ATM.
Ngân hàng phải hoàn tiền cho chủ thẻ
Theo quy định của Thông tư 36 của Ngân hàng Nhà nước Việt Nam quy định về trang bị, quản lý, vận hành và đảm bảo an toàn hoạt động của máy giao dịch tự động, trách nhiệm của tổ chức cung ứng dịch vụ ATM phải có biện pháp để bảo mật, tránh để lộ hoặc sao chép mã PIN khi khách hàng nhập mã PIN tại ATM. Các cây ATM phải được trang bị camera giám sát và thiết bị chống sao chép, trộm cắp thông tin thẻ.
Trong trường hợp tổ chức cung ứng dịch vụ thanh toán để xảy ra lỗi, sai sót hoặc sự cố gây thiệt hại cho khách hàng phải có trách nhiệm đền bù thiệt hại kịp thời cho khách hàng. Thời hạn xử lý khiếu nại của khách hàng tối đa là 05 ngày (với giao dịch ATM nội mạng) và 07 ngày (với giao dịch ATM ngoại mạng) kể từ khi nhận được khiếu nại.
Sau trường hợp của chị Q., phóng viên VnReview.vn còn nhận được phản ánh của một chủ thẻ ATM ngân hàng Vietcombank bị mất 8 triệu đồng. Anh đã lên khiếu nại ngân hàng và cũng như chị Q., chỉ gửi khiếu nại và nhận được lời hứa sẽ tiếp nhận và xử lý mà không rõ thời hạn cụ thể như thế nào. Trước đó, nhiều trường hợp chủ thẻ ATM của các ngân hàng như Agribank, VietinBank... bị mất tiền, khách hàng đều được hoàn tiền trong vòng hai, ba ngày.
Chị M.N.Q, (Cầu Giấy, Hà Nội), cho biết sáng ngày 16/1/2019, khi thức dậy kiểm tra điện thoại chị thấy có một loạt tin nhắn từ ngân hàng BIDV thông báo chị rút tiền. Tổng số 9 lần rút tiền (7 lần 5 triệu đồng/ lần, 2 lần 2 triệu đồng/ lần) với số tiền lên đến 39 triệu đồng. Số dư tài khoản còn lại hơn 500 ngàn đồng kẻ gian đã để lại. Thời điểm rút tiền từ 5h38 cho đến 5h46 phút sáng ngày 16/1/2019.
Chụp màn hình cho thấy kẻ gian đã 9 lần rút tiền trong khoảng 8 phút lúc sáng sớm 16/1/2019
BIDV vội vã khoá ngay thẻ ATM của nhiều khách hàng đã giao dịch ở hai cây ATM đường Dương Đình Nghệ, Cầu Giấy, Hà Nội
Theo quy trình, trong những trường hợp này ngân hàng sẽ điều tra. Nếu lỗi thuộc về ngân hàng (như không đảm bảo bảo mật thông tin khi khách hàng rút tiền tại ATM) thì ngân hàng phải hoàn tiền cho khách hàng. Còn không, chủ thẻ phải chịu thiệt hại. Trường hợp chủ thẻ không chấp nhận kết quả có thể kiện ra toà.
Trường hợp chị Q. là nạn nhân của tấn công skimming rõ ràng hơn khi một loạt đồng nghiệp của chị (đều nhận lương qua tài khoản BIDV) bị ngân hàng khoá thẻ. Có người cho biết nhận được cuộc gọi của nhân viên BIDV thông báo để bảo đảm an toàn cho thẻ, đề nghị chủ thẻ đổi mật khẩu hoặc làm lại thẻ. Có người đến hôm sau nhận được tin nhắn báo thẻ đã bị khoá để bảo đảm an toàn. Qua tìm hiểu, thì những chủ thẻ ATM bị ảnh hưởng là những người rút tiền từ ngày 1/1/2019 đến ngày 10/1/2019 tại hai cây ATM của ngân hàng BIDV đặt tại tòa nhà HH2 (Yên Hoà, Cầu Giấy) và Tổng cục Hải quan (đường Dương Đình Nghệ).
Cây ATM ở phòng giao dịch BIDV địa chỉ HH1, Yên Hoà, Cầu Giấy đã tạm thời ngừng hoạt động vì lý do an ninh.
Skimming là thủ đoạn kẻ gian lấy cắp thông tin thẻ ATM bằng cách lắp đặt thiết bị trên máy ATM, POS. Thông thường, chúng dùng bảng nhựa chứa thiết bị lấy cắp thông tin thẻ gắn phía ngoài khe quẹt thẻ. Khi người dùng đưa thẻ vào khe cắm, thẻ sẽ đi qua thiết bị skimming trước rồi mới vào bên trong nên tội phạm sẽ lấy toàn bộ thông tin lưu trữ trên dải băng từ.
Bên cạnh đó, chúng gài camera nhỏ, thường được ngụy trang tinh vi và ốp ngay phía trên bàn phím của máy ATM để ghi lại toàn bộ hoạt động nhập mã PIN của khách hàng khi rút tiền. Sau khi lấy thông tin thẻ và mã PIN, chúng sẽ sử dụng thiết bị làm giả thẻ thông qua phần mềm chuyên dụng và thiết bị đọc, in dữ liệu thẻ từ, rồi rút tiền tại các máy ATM.
Ngân hàng phải hoàn tiền cho chủ thẻ
Theo quy định của Thông tư 36 của Ngân hàng Nhà nước Việt Nam quy định về trang bị, quản lý, vận hành và đảm bảo an toàn hoạt động của máy giao dịch tự động, trách nhiệm của tổ chức cung ứng dịch vụ ATM phải có biện pháp để bảo mật, tránh để lộ hoặc sao chép mã PIN khi khách hàng nhập mã PIN tại ATM. Các cây ATM phải được trang bị camera giám sát và thiết bị chống sao chép, trộm cắp thông tin thẻ.
Trong trường hợp tổ chức cung ứng dịch vụ thanh toán để xảy ra lỗi, sai sót hoặc sự cố gây thiệt hại cho khách hàng phải có trách nhiệm đền bù thiệt hại kịp thời cho khách hàng. Thời hạn xử lý khiếu nại của khách hàng tối đa là 05 ngày (với giao dịch ATM nội mạng) và 07 ngày (với giao dịch ATM ngoại mạng) kể từ khi nhận được khiếu nại.
Sau trường hợp của chị Q., phóng viên VnReview.vn còn nhận được phản ánh của một chủ thẻ ATM ngân hàng Vietcombank bị mất 8 triệu đồng. Anh đã lên khiếu nại ngân hàng và cũng như chị Q., chỉ gửi khiếu nại và nhận được lời hứa sẽ tiếp nhận và xử lý mà không rõ thời hạn cụ thể như thế nào. Trước đó, nhiều trường hợp chủ thẻ ATM của các ngân hàng như Agribank, VietinBank... bị mất tiền, khách hàng đều được hoàn tiền trong vòng hai, ba ngày.
Theo VnReview