'Bốc hơi' hàng chục triệu đồng trong thẻ tín dụng lúc nửa đêm
Nhiều khách hàng cho biết, tài khoản thẻ tín dụng của họ đột ngột "bốc hơi" lúc nửa đêm, dù thẻ vẫn nằm trong ví. Điểm chung là đều thanh toán dịch vụ quảng cáo của Facebook hoặc Google.
Bỗng nhiên mất tiền
Chị N.T.T.L (Trung Hòa, Hà Nội) cho hay, sáng 30/5, vừa nhìn vào điện thoại, chị giật mình vì nhận được hàng loạt tin nhắn trừ tiền trong tài khoản thẻ Vietcombank MasterCard, mặc dù chiếc thẻ vẫn nằm im trong ví. Theo tin nhắn thông báo, thẻ tín dụng của chị phát sinh giao dịch trừ tiền đầu tiên vào lúc 1h16 phút sáng. Từ 1h16 đến 1h33 sáng, có tất cả 7 giao dịch thành công bị trừ tiền, trong đó có 3 giao dịch trừ 1 USD/lần và 4 giao dịch trừ 6 triệu đồng/lần.
Đến 1h34, khi đối tượng thực hiện giao dịch tiếp theo thì bị ngân hàng chủ động thông báo khóa thẻ do phát hiện giao dịch đáng ngờ. Tổng cộng, chị bị bốc hơi mất hơn 24 triệu đồng trong tài khoản. Điểm chung của tất cả giao dịch này là thanh toán cho dịch vụ quảng cáo trên Facebook và không yêu cầu nhập mã OTP.
Sau khi mất tiền, chị L. đã gọi đến tổng đài Vietcombank và được hướng dẫn khiếu nại. Điều làm chị L. băn khoăn nhất là thẻ tín dụng được chị bảo mật rất cẩn thận, nhưng vẫn bị lộ thông tin.
Tương tự, anh C.D., một chủ thẻ Vietcombank Visa debit khác tối ngày 3/5 cũng bị trừ tiền 3 lần, mỗi lần 10 triệu đồng lúc nửa đêm, với thông báo thanh toán dịch vụ Facebook Ads tại Singapore. Bạn của anh C.D., chủ thẻ Visa HSBC cũng bị trừ tiền dịch vụ Google Payments Google Ads, mặc dù chưa hề biết đến dịch vụ này.
Đầu năm nay, anh N.N., một chủ thẻ VPBank MasterCard cũng bị bốc hàng chục triệu đồng trong thẻ tín dụng lúc gần sáng, thanh toán cho dịch vụ của Apple (dịch vụ iTunes). Sau khiếu nại với ngân hàng, anh đã được hoàn trả lại số tiền sau 45 ngày và cấp thẻ mới.
Visa, Mastercard nuông chiều đối tác, đẩy rủi ro cho khách hàng?
Nhiều chủ thẻ cho rằng, việc ngân hàng không gửi mã OTP cho khách hàng mà vẫn trừ tiền với các giao dịch trên chứng tỏ bảo mật của ngân hàng có vấn đề. Tuy nhiên, theo các chuyên gia thẻ, lỗi trên không thuộc về các ngân hàng trong nước, mà là do thỏa thuận của Visa, MasterCard với các đối tác lớn.
Trao đổi với phóng viên Báo Đầu tư, lãnh đạo một ngân hàng cho hay, việc trừ tiền như trên không phải do lỗi bảo mật thẻ của ngân hàng. Hiện nay, nhiều ngân hàng đã áp dụng tính năng 3D-Secure (3DS) để bảo vệ khách hàng khi giao dịch trực tuyến. Theo đó, bên cạnh các bước xác thực thông thường, Vietcombank sẽ gửi thêm mật khẩu giao dịch một lần (OTP) qua tin nhắn hoặc email để khách hàng nhập và hoàn tất giao dịch.
Tuy nhiên, mã OTP cho giao dịch trực tuyến chỉ được yêu cầu khi trang web của nhà cung cấp dịch vụ có hỗ trợ công nghệ 3DS. Nếu trang web cung cấp dịch vụ (ví dụ Facebook, Google, Apple…) không hỗ trợ, ngân hàng cũng không thể áp dụng.
Khi được trao đổi về hiện tượng này, lãnh đạo của một ngân hàng khác cũng khẳng định, việc không áp dụng 3DS là do thỏa thuận giữa Visa, MasterCard với các doanh nghiệp cung cấp dịch vụ. Cụ thể, với các doanh nghiệp lớn đã được xác thực danh tính (verified merchant) như Facebook, Google, Apple…, các giao dịch đều không đòi hỏi mã OTP, đây cũng là kẽ hở nhiều đối tượng lợi dụng để lừa đảo.
"Ngân hàng muốn áp dụng 3DS để an toàn cho khách hàng, nhưng các đơn vị cung cấp dịch vụ không hỗ trợ, thì ngân hàng cũng không có cách nào. Dù vậy, nếu khách hàng phát hiện và khiếu nại sớm, chúng tôi sẽ phối hợp với Visa, MasterCard điều tra và gần như 100% giao dịch liên quan đến Facebook, Google, Apple… đều được hoàn lại trong vòng 30 - 90 ngày, đồng thời cấp thẻ mới cho khách hàng", vị lãnh đạo này cho biết.
Trong khi đó, nhiều khách hàng sử dụng thẻ tín dụng cho hay, nguy cơ bị lộ thẻ tín dụng khi thanh toán online là rất lớn, kể cả thanh toán trên các trang web uy tín như Agoda, Booking, Traveloca, Amazon…
Thực tế, không chỉ qua kênh thanh toán online, mà thông tin chủ thẻ có thể bị lộ thông qua nhiều hình thức (việc hàng chục ngàn ảnh chứng minh thư người Việt bị rao bán trên mạng với giá 9.000 USD mới đây là ví dụ điển hình). Kinh nghiệm để nhanh chóng được hoàn tiền, theo các chủ thẻ, là phải gọi tổng đài khóa thẻ và ra chi nhánh gần nhất để khiếu nại ngay lập tức.
Tuy nhiên, giải pháp quan trọng nhất để hạn chế việc bị hack thẻ tín dụng, theo chuyên gia ngân hàng, bên cạnh bảo mật thẻ cẩn thận, người dùng nên khóa thẻ tạm thời (hầu hết ngân hàng đều có chức năng này trên ứng dụng), khi nào sử dụng lại mở thẻ. Thao tác này chỉ mất 1 phút, nhưng đảm bảo an toàn cho chủ thẻ.
"Thông thường, doanh nghiệp cung cấp dịch vụ sẽ phải liên kết với một ngân hàng thanh toán. Visa, MasterCard là các tổ chức thẻ quốc tế lớn, nên có thể Facebook, Google, Apple… hợp tác trực tiếp, mà không qua ngân hàng thanh toán. Tùy thỏa thuận giữa hai bên, có thể, các công ty lớn này đề nghị không áp dụng 3DS để giảm bớt thủ tục cho khách hàng. Đương nhiên, áp dụng 3DS thì thao tác thanh toán phức tạp hơn (thêm phần nhập mã OTP), song bảo mật tốt hơn".