Mất hàng trăm triệu đồng vì app giả
Anh N. (quận Bình Thạnh, TP.HCM) ngậm ngùi kể, ngày 11/3/2022, anh truy cập mạng xã hội Tiktok và nhận được thông tin tuyển dụng nhân sự từ một tài khoản. Anh để lại số điện thoại và tài khoản này đề nghị kết bạn Zalo để gửi thông tin tuyển dụng từ Công ty Chứng khoán SSI.
Sau đó, một tài khoản Zalo có tên Hồng Xuyến gửi thông tin về việc tuyển dụng và hướng dẫn anh tải app DingTalk với mục đích “like” Tiktok. Tài khoản này còn yêu cầu anh thực hiện nhiệm vụ bằng cách nạp một khoản tiền để được nhận lại khoản tiền hoa hồng khoảng 30%.
Toàn bộ việc trao đổi trên app DingTalk, anh đều liên hệ với tài khoản có tên Trần Thu Trang. Tài khoản này cung cấp cho anh N. mã QR để tải app có tên công ty chứng khoán. Các app trên không liên quan đến dịch vụ chứng khoán, mà chỉ là các game xổ số.
Sau khi thực hiện một số thao tác, trò chơi trên DingTalk, anh N. đã chuyển khoản đến nhiều tài khoản cá nhân với tổng cộng số tiền hơn 100 triệu đồng. Mỗi lần chuyển khoản thành công, anh đều nhận được một hợp đồng cam kết khách hàng. Đồng thời, trên app cũng thể hiện số dư tài khoản của anh là 150 triệu đồng.
Tuy nhiên, khi thao tác rút tiền ra, anh lại không rút được. Lấy lý do anh đã nạp sai số tài khoản ngân hàng, tài khoản tên Trần Thu Trang yêu cầu anh N. nạp thêm tiền để “xác minh chủ tài khoản”. Anh N. đã xin địa chỉ công ty để đến làm việc thì được cung cấp địa chỉ của Công ty cổ phần Chứng khoán SSI, nhưng khi anh đến nơi, gọi cho bà Trang thì bà này báo bận, không gặp.
Ông S. (Nghệ An) cũng rơi vào hoàn cảnh tương tự. Ngày 6/3/2022, một người quen đã giới thiệu bà Nguyễn Thị Hồng Ân với ông S. Sau đó, một người tự xưng là bà Ân liên hệ với ông để đề nghị tải app DingTalk với mục đích like TikTok và Youtube. Trên app DingTalk, ông Vũ được cung cấp đường link để tải app công ty chứng khoán.
Sau khi thực hiện một số thao tác, trò chơi trên DingTalk, ông Vũ đã nạp tiền nhiều lần vào tài khoản cá nhân của nhiều người do bà Ân gửi, tổng cộng là 120 triệu đồng. Sau đó, ông nhận được hợp đồng cam kết khách hàng. App cũng thể hiện số dư tiền của ông S là 170 triệu đồng. Khi đó, bà Ân nói phải nạp thêm 88 triệu đồng để xác minh tài khoản. Do gia đình ngăn cản không nộp thêm tiền vào app, ông S. đã liên hệ với bà Ân xin địa chỉ công ty để đến làm việc. Đến lúc này, bà Ân báo bận rồi cắt đứt liên lạc.
Anh N. và ông S. đã có buổi làm việc với Công ty Chứng khoán SSI. Trong các buổi làm việc, SSI khẳng định thông báo tuyển dụng, hợp đồng cam kết mà hai người cung cấp không phải do Công ty phát hành. Con dấu trên hợp đồng cũng không phải của Công ty.
Bà Trần Thu Trang, Nguyễn Thị Hồng Ân và toàn bộ các cá nhân liên quan không phải là nhân viên của SSI. App có tên nói trên cũng không phải của Công ty. SSI không cung cấp bất kỳ dịch vụ nào liên quan tới thông tin mà các nạn nhân cung cấp.
SSI đã ghi nhận các sự việc để làm căn cứ xác minh các giả mạo liên quan đến Công ty và có cơ sở báo cơ quan công an. Trên trang web của doanh nghiệp, SSI khuyến cáo khách hàng: “Thời gian gần đây, xuất hiện hình thức lừa đảo mới với phương thức mạo danh là nhân viên/bộ phận tuyển dụng Công ty Chứng khoán SSI để yêu cầu tải ứng dụng kiếm tiền. Theo đó, các đối tượng lừa đảo hứa hẹn trả lương cho người tải app DingTalk để like, thả tim, follow, tăng tương tác cho các bài post của Chứng khoán SSI. Thông tin này là hoàn toàn sai sự thật”.
Luật sư Vũ Ngọc Chi (Giám đốc Công ty Tam Anh) cho biết, với thông tin mà khách hàng cung cấp cùng sự phản hồi của SSI thì xác định vụ việc có dấu hiệu hình sự. Các đối tượng có hành vi gian dối, mạo danh SSI có thể phạm vào tội làm giả giấy tờ, tài liệu của cơ quan tổ chức và lừa đảo chiếm đoạt tài sản.
Chiêu thức chung là hướng dẫn khách hàng tải các phần mềm giao dịch, nộp tiền vào tài khoản cá nhân, tham gia trò chơi. Khi khách hàng tham gia sâu, với số tiền lớn, các đối tượng sẽ xóa liên lạc.
Thực tế, hai năm gần đây, nhiều công ty chứng khoán như FPTS, TVSI, HSC, VND… đã lên tiếng để cảnh báo khách hàng về tình trạng một số đối tượng mạo danh công ty chứng khoán để lừa đảo.
Chiêu thức chung là hướng dẫn khách hàng tải các phần mềm giao dịch, nộp tiền vào tài khoản cá nhân, tham gia trò chơi. Khi khách hàng tham gia sâu, với số tiền lớn, các đối tượng sẽ xóa liên lạc…
Công ty Chứng khoán Bảo Việt (BVSC) cũng cho biết, gần đây, một số đối tượng mạo danh Công ty để kêu gọi cá nhân góp vốn đầu tư kinh doanh trên các sàn giao dịch tiền ảo, chứng khoán quốc tế, ngoại hối (FX)… trên các trang website không phải của BVSC.
Ngoài ra, các đối tượng còn giả mạo con dấu và tên người đứng đầu để ký kết hợp đồng ủy thác giao dịch tiền ảo, yêu cầu chuyển tiền vào các tài khoản cá nhân, tổ chức không liên quan đến BVSC.
Giám đốc một công ty chứng khoán cho biết, phần lớn các đối tượng giả mạo công ty để lôi kéo nhà đầu tư vào các ứng dụng để chơi xổ số hoặc trò chơi, đầu tư tiền ảo, nhưng chưa có vụ việc nào các đối tượng “cả gan” lập app giả để đầu tư chứng khoán.
Lo ngại lộ, lọt thông tin
Bên cạnh câu chuyện bị mạo danh của đối tượng lừa đảo trên mạng xã hội thì công ty chứng khoán cũng đang trở thành mục tiêu tấn công của tội phạm công nghệ cao.
Trung tuần tháng 3/2022, Ủy ban Chứng khoán Nhà nước Việt Nam đã phát đi cảnh báo toàn thị trường về vấn đề bảo mật liên quan đến hệ thống công nghệ thông tin của công ty chứng khoán.
Theo đó, qua phối hợp công tác với Phòng An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao - Công an Hà Nội, cơ quan này phát hiện có một số đối tượng tìm cách truy cập vào hệ thống công nghệ thông tin của công ty chứng khoán thông qua các lỗ hổng bảo mật.
Các đối tượng này hiện đã nắm được một số thông tin của khách hàng như tên truy cập và mật khẩu đăng nhập, từ đó có thể chiếm quyền sử dụng tài khoản giao dịch chứng khoán, chiếm đoạt tài sản của nhà đầu tư.
Ngay sau động thái của cơ quan quản lý, các công ty chứng khoán cũng khuyến cáo đến khách hàng nâng cao cảnh giác, bảo mật thông tin tài khoản.
Đơn cử, như FPTS lưu ý khách hàng không lưu mật khẩu trên máy vi tính, thiết bị di động; đổi mật khẩu đăng nhập/giao dịch của tài khoản giao dịch chứng khoán định kỳ; không click vào đường dẫn (link) lạ; không cung cấp thông tin bảo mật như tên đăng nhập, mật khẩu tài khoản, mã Token qua các đường dẫn (link), tin nhắn, chat, cuộc gọi chưa được xác thực trong bất kỳ trường hợp nào.
Đặc biệt, khách hàng không liên lạc, cung cấp thông tin cá nhân, số chứng minh nhân dân, căn cước công dân, hộ khẩu cho người lạ hoặc bên thứ ba qua mạng, qua điện thoại kể cả người tự xưng là công an, cơ quan điều tra, nhân viên công ty chứng khoán..., để tránh bị kẻ gian lấy cắp thông tin cá nhân và sử dụng trái phép.