Giám đốc bị 'người lạ' bán sạch cổ phiếu, lấy mất 2,8 tỷ trong 'một nốt nhạc'

Mất tiền tỷ vì cài app “Dịch vụ công” giả mạo

Cơ quan CSĐT Công an TP. Hà Nội vừa tiếp nhận đơn trình báo của chị Vũ Thị Huyền Trang (SN 1991, giám đốc một công ty truyền thông có trụ sở tại Hà Nội), nạn nhân một vụ lừa đảo với kịch bản quen thuộc nhưng được dàn dựng một cách công phu.

Theo nội dung vụ việc, đầu tháng 5, chị Trang nhận được cuộc gọi từ thuê bao di động 0971361684. Người gọi tự xưng là công an và yêu cầu chị mang CCCD đến Công an quận Thanh Xuân (Hà Nội) hoàn tất các thủ tục để “cập nhật sổ hộ khẩu online”.

Sau khi được chị Trang trả lời đang rất bận và hẹn sẽ liên hệ sau, người này gửi tin nhắn SMS đến số điện thoại của chị với nội dung: “098126 7337 cán bộ Tuấn Vũ trên quận nhé. Nếu cán bộ không nghe máy thì để lại 1 tn (tin nhắn - PV) với nội dung tên và nơi ở chị nhé. Và báo có đồng chí hùng (Hùng - PV) ở phường cho số nhé chị”.

Tin nhắn đối tượng gửi đến điện thoại nạn nhân.

Sau đó vài ngày, các đối tượng tự xưng là “công an” liên tục gọi điện và giục chị hoàn tất việc “cập nhật sổ hộ khẩu online”.

Đỉnh điểm là khoảng 13h ngày 7/5, đối tượng gọi cho chị Trang và thông báo “hôm nay là ngày cuối cùng để làm thủ tục cập nhật sổ hộ khẩu online.”

“Tôi báo đang bận chưa giải quyết được thì họ nói sẽ hỗ trợ tôi khai báo online. Tôi đã đồng ý nhận hỗ trợ”, chị Huyền Trang chia sẻ với PV. VietNamNet.

Nữ giám đốc trẻ này không thể ngờ rằng việc đồng ý nhận hỗ trợ khiến cô bị mất sạch cổ phiếu trong tài khoản chứng khoán và tiền tiết kiệm ngân hàng ngay sau đó.

“Khi tôi đồng ý nhận hỗ trợ, người này nói: 'Giờ anh bận phải đi, sẽ có một chị giúp em'. Sau đó, một phụ nữ gọi cho tôi từ số điện thoại 0964228036, hướng dẫn tôi cài ứng dụng có tên “Dịch vụ công” trên điện thoại, bằng cách tìm kiếm app thông qua link “Dinhvucong.dancuso. net” (tôi không nhớ chắc chắn lắm về tên miền, vì lúc đó họ hướng dẫn tôi qua điện thoại). Trong quá trình nói chuyện, họ còn đổi thêm một người khác hỗ trợ khi tôi không thể cài đặt được phần mềm”, chị Trang kể.

Sau khi tải app "Dịch vụ công" giả mạo, nạn nhân được yêu cầu xác thực sinh trắc học.

Cài đặt xong ứng dụng, đối tượng yêu cầu chị xác nhận các thông tin cá nhân như: họ tên, số CCCD, số điện thoại,... đồng thời, đề nghị chị bấm vào nút xác nhận vân tay và nhận diện gương mặt thông qua màn hình của ứng dụng “Dịch vụ công” mà các đối tượng vừa yêu cầu chị tải về.

Vừa thực hiện theo yêu cầu của các đối tượng, chị Trang nghi ngờ bị hack tài khoản ngân hàng và chứng khoán nên vội kiểm tra, nhưng lúc này đã quá muộn.

Toàn bộ các mã cổ phiếu trong tài khoản chứng khoán của chị mở tại công ty chứng khoán (thuộc một ngân hàng lớn) đã bị bán sạch với số tiền 2,8 tỷ đồng.

Số tiền này ngay sau đó được công ty chứng khoán chuyển về tài khoản ngân hàng của chị mở tại một ngân hàng thương mại cổ phần. Từ đó, các đối tượng chuyển hết số tiền này đến một số tài khoản ngân hàng khác của bọn chúng.

Chưa dừng lại ở đó, khoản tiền 110 triệu đồng của chị Trang gửi tiết kiệm online tại một ngân hàng thương mại thuộc nhóm Big4 cũng bị nhóm người này tất toán và chuyển đến một tài khoản khác.

Chị Vũ Thị Huyền Trang cho phóng viên xem ảnh chụp giao diện app "Dịch vụ công" giả mạo.

Kẽ hở nào khiến nạn nhân mất tiền?

Trường hợp của chị Trang giống với rất nhiều trường hợp diễn ra thời gian qua. Nạn nhân bị các đối tượng giả mạo là người của cơ quan công an, thuế,... gọi điện đe dọa đang nằm trong đường dây tội phạm hoặc yêu cầu cài đặt một ứng dụng giả mạo (như ứng dụng Dịch vụ công).

Các ứng dụng giả mạo này thường chỉ cài đặt được trên điện thoại chạy hệ điều hành Android (tính bảo mật kém hơn so với iOS), nên đối tượng lừa đảo thường hỏi nạn nhân đang dùng điện thoại của hãng nào. Một số người dùng trả lời là điện thoại iPhone, đối tượng nản lòng từ bỏ ngay.

Sau khi nạn nhân cài đặt ứng dụng về điện thoại, đối tượng sẽ yêu cầu nạn nhân thực hiện các thao tác giống như với trường hợp của chị Vũ Thị Huyền Trang. Lúc này, mã độc đã hoàn toàn xâm nhập và chiếm quyền điều khiển điện thoại của nạn nhân, đồng nghĩa với việc đối tượng có toàn quyền sử dụng tài khoản chứng khoán, ngân hàng như chủ nhân.

Cho rằng mình là nạn nhân của hành vi lừa đảo, chiếm đoạt tài sản, ngày 9/5, chị Trang đã gửi đơn trình báo đến Cơ quan Cảnh sát điều tra Công an TP. Hà Nội yêu cầu điều tra, tìm kiếm các đối tượng lừa đảo; làm rõ trách nhiệm của các ngân hàng, công ty chứng khoán trong việc bảo vệ tài sản cho khách hàng,...

Quá trình tải ứng dụng lạ theo yêu cầu của đối tượng lừa đảo.

Điều bất thường trong chuyện này là các đối tượng sau khi bán sạch cổ phiếu (khoảng 14h ngày 7/5), số tiền 2,8 tỷ đồng thu được lập tức được chuyển về tài khoản do chị Trang mở tại ngân hàng, sau đó các đối tượng chuyển số tiền này đến tài khoản khác.

Theo quy chế của Tổng Công ty Lưu ký và Bù trừ chứng khoán Việt Nam, tiền chỉ về tài khoản của khách hàng sau khi bán chứng khoán là ngày T+2 (sau 2 ngày so với ngày giao dịch).

Tuy nhiên, hiện nay, nhiều công ty chứng khoán vì “chiều” khách hàng nên đã cung cấp dịch vụ ứng trước để rút tiền. Đây chính là kẽ hở để kẻ gian lợi dụng, thực hiện bán chứng khoán, sau đó chuyển tiền đi khỏi tài khoản của nạn nhân chỉ trong khoảng thời gian tính bằng phút.

Hơn nữa, chị Trang cho hay tài khoản ngân hàng được chị cài đặt hạn mức giao dịch tối đa 1 tỷ đồng/ngày, thế nhưng việc chị bị kẻ gian lấy đi 2,8 tỷ đồng chỉ trong tích tắc, theo chị cũng là điều bất thường. Rất có thể, đối tượng lừa đảo sau khi chiếm quyền điều khiển điện thoại di động của chị đã tự cài đặt nâng hạn mức chuyển tiền cũng như đăng ký dịch vụ ứng trước tiền bán chứng khoán.

“Qua vụ việc này, tôi mong nhiều người sẽ nâng cao cảnh giác trước các thủ đoạn lừa đảo. Nhưng tôi cũng cho rằng, ngân hàng và công ty chứng khoán phải có trách nhiệm bảo vệ tài sản cho khách hàng thông qua bảo mật thông tin khách hàng cũng như có các giải pháp công nghệ để hạn chế những vụ lừa đảo tương tự”, chị Trang chia sẻ.

Tuân Nguyễn