Bài 2: Công ty chứng khoán 'coi nhẹ' bảo mật, nhà đầu tư mất oan tiền tỷ?!

Nhiều nhà đầu tư bị chiếm đoạt hàng tỷ đồng

Phản ánh đến báo chí, anh Vũ Thế Dương, trú tại phường Kiến Hưng, quận Hà Đông (Hà Nội), cho biết, ngày 13/06/2023, tài khoản chứng khoán của anh đã bị kẻ xấu đánh cấp thông tin và giao dịch mua bán bất thường. Cụ thể, số cổ phiếu mã C47 của anh có giá trị khoảng 300 triệu đồng đã bị kẻ xấu bán gần như toàn bộ. Sau đó mua vào các cổ phiếu rác không có giá trị.

Sau khi bán cổ phiếu mã C47, kẻ xấu đã mua vào các mã SGD giá trị 37.202.000 đồng; PJS giá trị 79.840.000 đồng; SDU giá trị 40.500.000 đồng và SIC giá trị 99.840.000 đồng. Những cổ phiếu bị đặt mua đều là những cổ phiếu không có thanh khoản, giảm sàn liên tiếp nhiều phiên sau đó. Còn cổ phiếu chủ lực ban đầu là C47 đã có những nhịp tăng ngay sau đó, gây thiệt hại không nhỏ về lợi nhuận đầu tư.

Theo anh Dương, ngay thời điểm phát hiện giao dịch bất thường liên quan tới bảo mật của hệ thống, anh đã liên hệ với Công ty Cổ phần Chứng khoán VPS - là đơn vị cung cấp dịch vụ (Công ty VPS) qua tổng đài, email và nhân viên quản lý tài khoản để kiểm tra và được hướng dẫn thay đổi mật khẩu.

“Đến ngày 14/06/2023, tôi nhận được thông báo từ VPS về việc không xác định được thông tin giao dịch bất thường và chuyển công an điều tra thêm. Đến nay vẫn chưa nhận được câu trả lời thỏa đáng từ VPS khiến tôi rất thất vọng” - anh Dương bức xúc.

Cũng theo anh Dương, trước đó, ngày 09/06/2023, phía VPS đã gửi cảnh báo đổi mật khẩu và tôi cũng đã thực hiện theo hướng dẫn, nhưng vẫn bị lộ và bị bán sạch. Nghiêm trọng hơn, sau khi tìm hiểu qua mạng xã hội, chúng tôi còn phát hiện có đối tượng rao bán dữ liệu cá nhân, trong đó có dữ liệu về thông tin tài khoản chứng khoán của chúng tôi tại VPS.

Nhiều nhà đầu tư có tài khoản tại Công ty cổ phần chứng khoán VPS bị xâm nhập, chiếm đoạt tài sản/Ảnh minh họa

Tương tự, chị Nguyễn Thị Diễm Thùy (SN 1983, ngụ TP HCM), bức xúc: "Tôi có mở hai tài khoản chứng khoán tại Công ty VPS, có chi nhánh tại TP HCM cho mình và mẹ ruột là bà Nguyễn Thị Luận. Cả hai tài khoản trên, tôi có mua một số cổ phiếu với tổng giá trị khi bán ra hơn 1,1 tỷ đồng".

Theo phản ánh, chị Thùy cho biết: "Ngày 1/6/2023, tôi nhận được tin nhắn của Công ty VPS rằng mật khẩu tài khoản bị lộ. Các bạn tư vấn viên đều khuyến nghị khách hàng của mình đổi mật khẩu. Ngay trong ngày, tôi đã tiến hành đổi mật khẩu mới hoàn toàn so với các mật khẩu trước đây theo khuyến cáo của VPS, thế nhưng đến ngày 13/6/2023, bắt đầu vào khoảng 13:14 phút, cả hai tài khoản chứng khoán của tôi bị đăng nhập bất hợp pháp và bán hết toàn bộ các cổ phiếu trong danh mục và cả hai tài khoản đều cùng mua lại đúng duy nhất là một mã chứng khoán mà kẻ xấu đã chuẩn bị trước với giá trên trời và không một ai giao dịch mua bán".

Chị Thùy cho biết thêm, do đặc thù chứng khoán khi bán ra phải rút tiền về chính chủ tài khoản ngân hàng nên kẻ xấu đã dùng một mã cổ phiếu không người giao dịch để bán giá cao. “Tiền bọn chúng cướp được từ việc mua cổ phiếu từ tài khoản tôi là thật, nhưng tôi thì nhận lại mớ cổ phiếu như tờ giấy lộn, không ai giao dịch mua bán”.

“Chi tiết mua bán cổ phiếu bắt đầu từ 13h ngày 13/06/2023 đều là của bọn hacker và lịch sử giao dịch khớp lệnh được đính kèm theo đơn. Sau khi đăng tải sự việc lên mạng xã hội, có một đối tượng đã liên hệ với tôi và cho biết có bằng chứng VPS lộ thông tin và mật khẩu 1.200 khách hàng. Sau khi tôi cho đối tượng vào group cộng đồng chứng khoán để kiểm tra thì mọi người đều vỡ lẽ, bởi khi các thành viên cung cấp số điện thoại, tài khoản, thì đối tượng kia đã đọc đúng tài khoản và mật khẩu, địa chỉ, số điện thoại, đồng thời đòi bán dữ liệu cho nhóm là 100 triệu để làm bằng chứng kiện VPS, nhưng chúng tôi sợ vi phạm pháp luật khi mua bán dữ liệu cá nhân nên không mua. Giờ hacker trước mặt mà mọi người trong nhóm không biết làm sao để bắt chúng được” - chị Thùy ngao ngán.

Cũng giống chị Thùy, anh Nguyễn Hữu Điền, tạm trú phường 6, quận Bình Thạnh, TP HCM bày tỏ: “Ngày 12/6, tôi bị kẻ gian đánh cắp thông tin và giao dịch mua bán bất thường trên tài khoản, tổng giá trị thiệt hại gần 200 triệu đồng. Cụ thể, đối tượng đã bán các mã cổ phiếu BOT, CTC, NBB, PTL, PVP, TNT, và mua vào các cổ phiếu SGD trên tài khoản chứng khoán của tôi tại VPS tổng giá trị gần 200 triệu đồng". Mã chứng khoán SGD bị mua vào nêu trên không có giá trị thanh khoản trên thị trường.

Anh Điền cũng cho biết thêm, khi phát hiện giao dịch bất thường trên tài khoản của mình, tôi đã liên hệ với Công ty VPS - là đơn vị cung cấp dịch vụ để thông báo nhằm ngăn chặn. Tuy nhiên, đến ngày 13/6, tôi nhận được thông báo từ Công ty VPS về việc không xác định được thông tin giao dịch bất thường và yêu cầu tôi phản ánh đến cơ quan chức năng khác điều tra, xử lý.

Trước đó, tháng 2/2022, anh Phạm Văn S. (sinh năm 1975, trú tại Bà Rịa - Vũng Tàu) phát hiện tài khoản của mình mở tại Công ty Chứng khoán VNDirect bị xâm nhập trái phép. Đối tượng đã đặt lệnh bán toàn bộ hàng chục mã chứng khoán, với tổng số tiền lên đến hơn 3 tỷ đồng. Sau khi khớp lệnh, đối tượng tiếp tục thực hiện việc rút toàn bộ số tiền bán chứng khoán về một tài khoản ngân hàng không phải là của anh

Quá trình điều tra, Cơ quan công an đã phát hiện và bắt giữ được thủ phạm, làm rõ các thủ đoạn của đối tượng đồng thời cũng lộ ra vấn đề bảo mật từ công ty chứng khoán này. Hacker có thể lấy được id và pass từ diễn đàn trôi nổi trên mạng và đăng nhập vào tài khoản của nhà đầu tư, đặt lệnh mua bán. Khi rút tiền thì chỉ cần tài khoản ngân hàng của đối tượng trùng tên với chủ tài khoản là có thể rút.

Trách nhiệm thuộc về ai?

Liên quan đến vụ việc trên, phóng viên PetroTimes đã liên hệ với bộ phận truyền thông của Công ty VPS. Đại diện truyền thông Công ty này khẳng định, vừa qua có những vụ việc như phóng viên nêu. Tuy nhiên, vị này cho rằng do trong quá trình sử dụng Internet, hoặc sử dụng điện thoại có thể nhà đầu tư đã truy cập vào đường link lạ bị cài mã độc nên bị kẻ gian theo dõi rồi xâm nhập tài khoản, chiếm đoạt tài sản. Vụ việc đã được Công ty VPS báo cáo với cơ quan điều tra và đang chờ kết quả. Vị này cũng khuyến nghị nhà đầu tư nên thay đổi mật khẩu thường xuyên và không nên truy cập vào những đường link lạ để tránh nhiễm các mã độc của kẻ gian.

Tuy nhiên, theo tìm hiểu của PV thì điểm chung trong sự việc trên là trước khi bị kẻ xấu xâm nhập tài khoản, chiếm đoạt tài sản thì những nạn nhân trên đều nhận được cảnh báo của phía VPS về việc lộ mật khẩu và khuyến cáo đổi mật khẩu. Vậy nhưng sau đó vẫn xảy ra những sự việc đáng tiếc trên. Điều này chứng tỏ có khả năng phía VPS đã nắm bắt được lỗ hổng bảo mật, nhưng vẫn không ngăn chặn được triệt để.

Trả lời câu hỏi của PV về việc tại sao khách hàng đã làm theo khuyến cáo của VPS nhưng vẫn bị kẻ gian xâm nhập tài khoản? Đại diện Công ty VPS cho rằng, nhà đầu tư thay đổi mật khẩu nhưng lặp lại mật khẩu trước đó nên kẻ gian vẫn có thể hack tài khoản.

Ngoài ra, hiện Công ty VPS cũng có một lỗ hổng "to đùng" khiến hacker có thể lợi dụng để chiếm đoạt tiền của khách hàng. Trong khi các công ty chứng khoán khác (như M.A; SS…) chủ tài khoản chỉ có thể rút được tiền về tài khoản ngân hàng đã đăng ký cố định từ khi lập tài khoản, hoặc tài khoản nhận tiền phải trùng tên với chủ tài khoản chứng khoán thì hiện công ty VPS vẫn cho phép chủ tài khoản chứng khoán có thể chuyển tiền đến một tài khoản ngân hàng bất kỳ. Đây là một lỗ hổng để hacker có thể lợi dụng.

Nhà đầu tư chứng khoán cần thay đổi mật khẩu tài khoản thường xuyên/Ảnh minh họa/https://kinhtexaydung.petrotimes.vn/

Theo ông Trịnh Hồng Hà - Phó Cục trưởng Cục Công nghệ Thông tin, Ủy ban Chứng khoán Nhà nước: "Tin tặc hiện nay có những công cụ rất mạnh để rà quét mật khẩu, mã xác thực và có thủ đoạn để chuyển tiền. Họ làm giả tài khoản ngân hàng với tên giống tài khoản chứng khoán và tin tặc thực hiện thành công việc này".

Chưa nói tới bước chuyển tiền và bảo mật của hệ thống ngân hàng thì theo chuyên gia công nghệ, các công ty chứng khoán cũng cần nâng cấp ngay từ khâu bảo mật 2 lớp, tiến tới sử dụng chữ ký số, bởi đây mới là phương thức an toàn nhất.

"Chữ ký số tồn tại dưới 2 dạng, một dạng sử dụng USB token, khi thực hiện giao dịch thì cắm USB vào máy tính. Thứ hai, lưu trữ thiết bị di động, khi thực hiện giao dịch thì bấm nút ký và dữ liệu gắn chặt trên điện thoại sẽ được lấy ra để ký", ông Ngô Tuấn Anh - chuyên gia bảo mật, BKAV cho hay.

Về phía nhà đầu tư, có rất nhiều cách để kẻ xấu lợi dụng sự mất cảnh giác như gửi đường dẫn Internet lạ để nhà đầu tư nhấn vào, hoặc thành lập các giao diện trang web giả mạo các công ty chứng khoán để nhà đầu tư nhập vào đó mã số tài khoản và mật khẩu.

"Quan trọng nhất lỗ hổng bảo mật vẫn do yếu tố con người, còn công nghệ tạm xếp sau. Bản thân các nhà đầu tư phải tự bảo vệ mình trước, khoảng 2 tuần nên vào đổi mật khẩu hoặc nếu có phát hiện bất cứ rò rỉ thông tin ra bên ngoài cần báo ngay cho công ty chứng khoán để họ nắm được", anh Phan Linh - Giám đốc chuyên môn Công ty Tư vấn và Đầu tư Take Profit Việt Nam cho hay.

Trước đó, UBCKNN cũng đã đề nghị các công ty chứng khoán thực hiện rà quét lỗ hổng bảo mật hệ thống công nghệ thông tin, đặc biệt là hệ thống giao dịch chứng khoán trực tuyến và các hệ thống có kết nối mạng internet để kịp thời khắc phục các lỗ hổng bảo mật (nếu có); thực hiện cập nhật các bản vá bảo mật của hệ điều hành máy chủ, cơ sở dữ liệu và các thiết bị CNTT khác.

Đồng thời, kiểm tra lại các quy trình khi nhà đầu tư thực hiện xác thực giao dịch trực tuyến để khắc phục các rủi ro cho nhà đầu tư khi thực hiện giao dịch; điều chỉnh hệ thống để các giao dịch chuyển tiền, ứng tiền, thay đổi tài khoản của khách hàng phải xác thực OTP tức thời.

Ngoài ra, cần thông báo công khai, đồng thời có biện pháp liên hệ với từng nhà đầu tư để yêu cầu thay đổi ngay mật khẩu người dùng; cảnh báo về các rủi ro, nguy cơ tiềm ẩn khi để lộ lọt các thông tin về tên truy cập và mật khẩu người dùng, thường xuyên khuyến cáo nhà đầu tư các biện pháp tự bảo vệ thông tin tài khoản như: Đổi mật khẩu định kỳ, tránh dùng chung mật khẩu giao dịch chứng khoán với các loại tài khoản cá nhân khác...

Huy Tùng