Nhiều ngân hàng trong nước đồng loạt phát đi cảnh báo về thủ đoạn lừa đảo mới liên quan đến việc chiếm đoạt mã OTP để liên kết trái phép thẻ ngân hàng với các ví điện tử như Apple Pay và Google Pay. Chỉ trong vài phút mất cảnh giác, toàn bộ số dư trong tài khoản có thể bị rút sạch.
Theo thông tin từ các nhà băng, kẻ gian đang dàn dựng nhiều kịch bản tinh vi nhằm tiếp cận khách hàng qua tin nhắn SMS, email, cuộc gọi giả mạo tổng đài, mạng xã hội, mã QR hoặc các đường link giả mạo website ngân hàng. Mục tiêu cuối cùng là chiếm đoạt mã OTP – lớp bảo mật được xem là “chốt chặn” cuối cùng trước khi giao dịch được xác nhận.
Không chỉ giới hạn ở lĩnh vực ngân hàng truyền thống, các nền tảng tài sản số như BingX cũng thường xuyên đưa ra các khuyến cáo tương tự, nhắc nhở người dùng bảo vệ lớp xác thực hai yếu tố (2FA) trước các cuộc tấn công lừa đảo (phishing) đang bùng nổ.
Ở nhiều trường hợp, đối tượng yêu cầu khách hàng cung cấp thông tin thẻ như số thẻ, ngày hết hạn, mã CVV/CVC, sau đó tiếp tục yêu cầu đọc hoặc nhập mã OTP với lý do “xác minh tài khoản” hoặc “ngăn chặn giao dịch bất thường”. Đáng chú ý, một số vụ việc cho thấy dữ liệu thẻ có thể đã bị lộ từ trước; kẻ gian khi đó chỉ cần thêm mã OTP để hoàn tất việc liên kết thẻ vào ví điện tử do chúng kiểm soát.
Ngân hàng nhấn mạnh rằng ngay cả khi không cung cấp thông tin thẻ, việc để lộ mã OTP vẫn có thể khiến tiền trong tài khoản bị chiếm đoạt. Trong quy trình liên kết ví điện tử, OTP chính là bước xác thực cuối cùng. Khi khách hàng nhập hoặc đọc mã này cho người khác, đồng nghĩa với việc cho phép một thiết bị lạ sử dụng thẻ của mình để thanh toán.
Các nhà băng khẳng định không bao giờ yêu cầu khách hàng cung cấp thông tin cá nhân, thông tin thẻ hoặc mã OTP dưới bất kỳ hình thức nào, bao gồm qua điện thoại, tin nhắn, email, mạng xã hội hay website. Tin nhắn OTP chính thức luôn ghi rõ mục đích sử dụng, chẳng hạn “xác thực liên kết ví Apple/Google”, vì vậy người dùng cần đọc kỹ nội dung trước khi thao tác.
Một trường hợp điển hình xảy ra với chị H khi đặt phòng khách sạn cho kỳ nghỉ. Trong quá trình tìm kiếm, chị phát hiện một website quảng cáo voucher giảm 50% giá phòng, kèm điều kiện phải xác nhận tài khoản và thanh toán trước, đồng thời cam kết hoàn tiền nếu hủy đặt để được hưởng chiết khấu.Tin vào ưu đãi hấp dẫn, chị đã liên kết tài khoản thanh toán và nhập mã OTP được gửi qua SMS để xác nhận giao dịch. Chỉ ít phút sau, toàn bộ số tiền hơn 300 triệu đồng trong tài khoản của chị đã bị rút sạch.
Để bảo vệ tài khoản, ngân hàng khuyến nghị khách hàng chỉ thực hiện liên kết ví thông qua ứng dụng chính thức của ngân hàng hoặc ứng dụng ví điện tử cài đặt trên thiết bị cá nhân. Người dùng cũng nên thường xuyên kiểm tra danh sách thiết bị hoặc ví đã liên kết với thẻ trong ứng dụng ngân hàng và xóa ngay các thiết bị không nhận diện được.
Trong trường hợp phát hiện hoặc nghi ngờ bị lừa đảo, khách hàng cần liên hệ ngay hotline ngân hàng để khóa thẻ, đến chi nhánh gần nhất hoặc trình báo cơ quan Công an để được hỗ trợ kịp thời.
Giới chuyên gia tài chính cho rằng, cùng với sự bùng nổ của thanh toán không tiền mặt, các thủ đoạn lừa đảo cũng ngày càng tinh vi và có tổ chức hơn. Trong bối cảnh đó, nguyên tắc cốt lõi vẫn không thay đổi: tuyệt đối không chia sẻ mã OTP cho bất kỳ ai nếu không phải chính mình đang thực hiện giao dịch.
