CẢNH GIÁC THỦ ĐOẠN ĐÁNH CẮP TIỀN QUA ỨNG DỤNG MSIGN CỦA SACOMBANK

Như tất cả chúng ta đều biết giao dịch internet banking sẽ cần phải có thông tin đăng nhập vào trang i-banking của ngân hàng với tên đăng nhập và mật khẩu.

Nhưng để thực hiện các giao dịch cần phải có mã OTP gửi đến trực tiếp tới số điện thoại đã đăng ký. Các thủ đoạn đánh cắp tiền hiện tại đều rất khó khăn khi gặp bước này vì tất cả giao dịch sẽ được thông báo tới số điện thoại kèm OTP, và người nhận dễ dàng nhận ra tài khoản mình đang làm gì ví dụ: đang chuyển số tiền , đang đổi số điện thoại... Sẽ có rất nhiều cách để làm được việc này, ở đây mình chỉ chia sẻ về một thủ đoạn mà kẻ gian đã vừa thực hiện lấy cắp số tiền rât lớn từ một bạn bán hàng online.

Trên đây là một vụ việc mới xảy ra, nạn nhân (NN) là người bán hàng online, kẻ lừa đảo (KLĐ) giới thiệu mình là người đang sống tại nước ngoài, muốn đặt mua hàng và sẽ chuyển trả tiền qua kênh MoneyGram. Đồng thời nhắn 1 tin nhắn giả đến số ĐT của NN để thông báo về việc nhận tiền gửi đến và yêu cầu nạn nhân đăng nhập các thông tin trên một website để nhận tiền.

Khi nạn nhân đăng nhập website, KLĐ sẽ có đủ thông tin bao gồm tên , mật khẩu internet banking, số CMND.

Thời điểm này KLĐ đã có thể đăng nhập trực tiếp vào tài khoản ngân hàng điện tử của NN, và hoàn toàn có thể thực hiện các giao dịch, nhưng vẫn bị vướng mã OTP gửi về SĐT. Do đó kẻ gian đã lợi dụng 1 ứng dụng của Sacombank đó là MSIGN.

Nói nôm na dùng MSIGN số OTP sẽ được thông báo ngay tại APP trên chính chiếc điện thoại được cài đặt app, không cần qua số ĐT như trước đây.

KLĐ sẽ gạt nạn nhân đăng ký dịch vụ (với lý do làm thủ tục nhận tiền..) bằng cú pháp dưới.

MSIGN DANGKY

Song song đó KLĐ sẽ đăng nhập tài khoản online bằng thông tin đã có từ trước và chọn kích hoạt.

Một mã OTP kích hoạt sẽ được gửi về SĐT nạn nhân.

KLĐ tiếp tục lừa NN nhập mã OTP qua một đường link xác thực giao dịch. Ngay tức thì KLĐ sẽ có được mã KÍCH HOẠT này.

Đây là mã OTP xác nhận kích hoạt dịch vụ MSIGN, nhưng NN chỉ nghĩ là mã xác thực nhận tiền trên website giả của KLĐ tạo ra.

Đồng thời trong quá trình đó KLĐ sẽ tải ứng dụng MSIGN về trên ĐT của hắn và kích hoạt ứng dụng bằng mật mã OTP vừa lấy được.

Đến thời điểm này KLĐ có thể thực hiện tất cả giao dịch chuyển tiền trên chính trang internet banking , và mở APP Msign để xem mã OTP để hoàn tất việc chuyển tiền, đến khi NN phát hiện ra thì đã quá trễ.

Đây là quy trình thực hiện việc đăng ký MSIGN

Qua câu chuyện trên các bạn nên chú ý không click vào các đường link lạ, nhất là những đường link yêu cầu điền các thông tin riêng của bản thân để tránh bị kẻ gian lợi dụng hòng chiếm đoạt tài khoản.