Khi đăng ký tài khoản M1 của ngân hàng Maritime Bank được chào mời cung cấp các loại dịch vụ như là phần giá trị gia tăng và hoàn toàn MIỄN PHÍ cụ thể như quảng cáo và liệt kê trong phần kê khai khi tiến hành mở tài khoản giao dịch là:
Trong đó quy định Internet Banking và SMS banking là :
Trên trang web của MSB cũng được giới thiệu về các tiện ích của dịch vụ tài khoản Internet Banking và SMS Bank king cụ thể như:
Đáng chú ý trong đó có:
SMS banking được giới thiệu là:
Như vậy dưới góc độ người dùng, các dịch vụ Internet Banking và SMS Banking được hiểu là một gói chương trình và dịch vụ chủ yếu bao gồm các gói nhận tiền và chuyển tiền, nạp tiền hóa đơn thanh toán một số dịch vụ của nhà nước thông thường như thanh toán tiền điện, tiền nước, cước phí điện thoại hay nạp tiền cho thuê bao di động, một số tài khoản games chứ hoàn toàn không đề cập hay cho phép ngân hàng kết nối với một bên bán hàng hay cung cấp dịch vụ về việc sử dụng thẻ ATM hay mã số thẻ ATM để tiến hành mua bán hàng hóa hay dịch vụ. Chính vì không được cảnh báo hay thông báo trước nên các chủ thẻ này hoàn toàn chịu rủi ro và hoàn toàn không hay biết về loại hình dịch vụ này dẫn tới khách hàng hoàn toàn không được biết tới khi mở thẻ ngân hàng để phòng tránh. Đây là kẽ hở, lỗ hổng nghiêm trọng khi được kẻ gian lợi dụng sẽ rất nguy hiểm. Cụ thể trong trường hợp này kẻ gian đã lợi dụng đánh cắp thông tin của chủ thẻ để mua thẻ cào trên các trang web bán hàng Online và trang web đó được MSB chấp thuận cho sử dụng mã OTP các khách hàng của mình không được quy định cụ thể, rõ ràng. Đề nghị rà soát lại hợp đồng đã ký kết với khách hàng về gói sản phẩm dịch vụ cung cấp giữa các bên.
Tấn công hệ thống tài khoản M1 có hệ thống và thử nhiều cách trong nhiều ngày nhưng không biết để ngăn chặn ngay cả khi có cảnh báo:
Sau khi tìm hiểu qua được biết trước đó kẻ gian đã nhiều lần sử dụng tấn công lấy tiền từ tài khoản MSB của tôi bị thất bại cũng như ngay khi phát hiện ra giao dịch bất thường tôi đã thông báo ngay lập tức cho hệ thống tổng đài của MSB về tình trạng để cảnh báo và ngăn chặn tuy nhiên việc phối hợp giữa các bên chậm chễ đến sáng ngày 16/07 chính tôi đến làm việc với đơn vị kết nối thanh toán là Công ty CP Smartlink để tìm cách ngăn chặn nhưng không kịp vì kẻ gian đã nhận được số thẻ mua bất hợp pháp kể trên.
Manh động hơn nữa ngay cả khi đã báo với MSB và cơ quan công an, kẻ gian vẫn cố thực hiện thử thêm 1 lần nữa vào hồi 01:00:49 ngày 16/07/2013 trên cổng thanh toán của NganLuong.
Sự việc trên gióng lên hồi chuông cảnh báo về tính pháp lý và bảo mật của các giao dịch Online trên hệ thống tài khoản của các ngân hàng nói chung và của ngân hàng MSB nói riêng.
Cụ thể thử vào trang web http://www.homepay.vn tiến hành mua thử thẻ cào.
Màn hình thanh toán:
Nhập mã thẻ MSB tìm ngẫu nhiên trên mạng:
Là khách hàng có thể thanh toán được sản phẩm sau khi chủ thẻ nhận được mật khẩu OTP. Lúc này kẻ gian chỉ cần lợi dụng kẽ hở cấp lại số điện thoại là có được OTP để chứng thực mua hàng. Bảo mật không đáng tin cậy.
Thử với tên khác và cùng mã số thẻ hệ thống đều báo OK để chuyển sang trạng thái nhập OTP. Lỗi này khiến cho mọi chủ thẻ cụ thể ở đây là thẻ MSB nếu nhập đúng mã số thẻ và có được số điện thoại nhận OTP đều có thể tiến hành mua được hàng.
Cuối cùng, câu hỏi đặt ra cho các phía có liên quan đó là về tính bảo mật, tính pháp lý cho các giao dịch Online và hợp đồng giữa các bên và cả trách nhiệm với khách hàng khi xảy ra tổn thất và đền bù thiệt hại.
Thu Hằng