Trước đó, khoảng tháng 3/2022, Công ty Chứng khoán A. (có địa chỉ tại Hà Nội) có đơn trình báo về trường hợp tài khoản của khách hàng bị xâm nhập trái phép. Công an TP. Hà Nội đã sử dụng các biện pháp kỹ thuật, nghiệp vụ xác định đối tượng thực hiện hành vi phạm tội là Nguyễn Trần Minh Hòa.
Qua đấu tranh, Hòa khai nhận, khoảng đầu năm 2022, đối tượng phát hiện một diễn đàn về chứng khoán tại Việt Nam có lỗi SQL Injection (là lỗi về cơ sở dữ liệu khiến trang web có thể bị chiếm đoạt dữ liệu người dùng) nên đã xâm nhập trái phép và thu thập được 156.000 tài khoản và mật khẩu người dùng.
Đối tượng nghĩ có thể sử dụng tài khoản, mật khẩu này để đăng nhập trên các sàn giao dịch chứng khoán tại Việt Nam nên thử và đăng nhập thành công được nhiều tài khoản. Trong đó có tài khoản của anh Phạm Văn S. (47 tuổi, trú tại Bà Rịa - Vũng Tàu). Hòa làm giả ảnh chứng minh nhân dân để mở tài khoản ngân hàng trùng tên với anh S., liên kết tài khoản ngân hàng làm giả với tài khoản chứng khoán.
Đối tượng đã đặt lệnh bán toàn bộ hàng chục mã chứng khoán của anh S., với tổng số tiền lên đến hơn 3,4 tỷ đồng. Hòa đã rút tiền từ tài khoản chứng khoán của anh S. về tài khoản ngân hàng làm giả và sử dụng tiền chiếm đoạt để mua tiền kỹ thuật số USDT, sau đó bán USDT để lấy tiền VND.
Vì sao sàn chứng khoán liên kết tài khoản ngân hàng của chính chủ và gửi mã OTP về điện thoại của nhà đầu tư mà vẫn có lỗ hổng bảo mật để hacker có thể dễ dàng đột nhập tài khoản và chiếm đoạt tài sản?
Nhà chức trách cho biết, trong vụ án này, đối tượng đã lợi dụng các lỗ hổng bảo mật của sàn chứng khoán và ngân hàng.
Theo đó, mặc dù sàn giao dịch chứng khoán có cơ chế xác thực giao dịch bán, chuyển tiền bằng mã OTP gửi về số điện thoại khách hàng đã đăng ký với sàn chứng khoán nhưng lại không giới hạn số lần nhập sai mã OTP. Lợi dụng lỗ hổng này, đối tượng đã sử dụng phần mềm dò mã OTP để xác thực thành công các giao dịch mua, bán, chuyển tiền từ tài khoản chứng khoán chiếm đoạt được.
Mặt khác, tuy sàn chứng khoán có quy định chỉ liên kết với các tài khoản ngân hàng trùng tên với tài khoản trên sàn chứng khoán nhưng việc liên kết thêm tài khoản ngân hàng mới chỉ cần thực hiện trực tuyến, không cần phải đến trụ sở công ty hoặc làm hợp đồng.
Nhiều ngân hàng cho khách hàng đăng ký tài khoản ngân hàng trực tuyến, chỉ cần ảnh chứng minh nhân dân và video xác thực nên tạo kẽ hở cho nhiều đối tượng tạo các tài khoản ngân hàng giả mạo phục vụ mục đích phạm tội.
Cơ quan công an cũng cho biết, các đối tượng có hiểu biết về công nghệ thông tin, các hành vi thực hiện đều thông qua mạng Internet nên khó truy nguyên. Việc mua bán sim điện thoại rất dễ dàng nên các đối tượng mua sim rác sử dụng để tránh việc bị cơ quan công an phát hiện. Ngoài ra, đối tượng sử dụng tiền vi phạm pháp luật để mua bán các loại tiền kỹ thuật số nên khó truy nguyên dòng tiền.
Giao dịch điện tử thường khó tránh những lỗ hổng bảo mật, do đó, cơ quan công an cảnh báo nhà đầu tư có ý thức bảo vệ các thiết bị điện tử, nên sử dụng mật khẩu mạnh (gồm số, chữ, ký hiệu) riêng biệt với các tài khoản mạng xã hội, diễn đàn…
Ủy ban Chứng khoán Nhà nước cũng yêu cầu các công ty chứng khoán rà quét lỗ hổng bảo mật của hệ thống công nghệ thông tin, đặc biệt là hệ thống giao dịch chứng khoán trực tuyến; kiểm tra lại các quy trình khi nhà đầu tư thực hiện xác thực giao dịch trực tuyến để khắc phục các rủi ro cho nhà đầu tư khi thực hiện giao dịch; điều chỉnh hệ thống để các giao dịch chuyển tiền, ứng tiền, thay đổi tài khoản của khách hàng phải xác thực OTP tức thời…
Ghi nhận trên thị trường, một số công ty chứng khoán đã nâng cao quy trình để đảm bảo an toàn tài khoản của khách hàng. Đơn cử, tại TVSI, khách hàng muốn thay đổi tài khoản ngân hàng liên kết thì phải thực hiện tại quầy giao dịch của công ty và phải là chính chủ đến giao dịch.
Còn tại FPTS, nhà đầu tư muốn chuyển tiền trực tuyến từ tài khoản chứng khoán sang tài khoản ngân hàng của người khác thì phải sử dụng thiết bị xác thực người dùng - Token card. Theo khuyến cáo của các công ty chứng khoán, nhà đầu tư nên đổi mật khẩu 3 tháng một lần.