Nhà đầu tư hoang mang trước chiêu trò hack tài khoản chứng khoán

Vấn đề bảo đảm an ninh, an toàn tài khoản chứng khoán cho nhà đầu tư cá nhân dường như đang bị các Công ty chứng khoán (CTCK) coi nhẹ. Điều này đã gây thiệt hại không nhỏ tới quyền lợi của nhà đầu tư.

Bỗng dưng có người giao dịch “hộ”

Mới đây, nhiều khách hàng tham gia giao dịch chứng khoán tại Công ty Cổ phần Chứng khoán VPS (Công ty VPS), phản ánh đã bị kẻ gian xâm nhập vào tài khoản chứng khoán (TKCK) thực hiện các lệnh mua bán trái phép gây thiệt hại hàng tỷ đồng.

Cụ thể, nhà đầu tư Vũ Thế D. (SN 1993 trú tại phường Kiến Hưng, quận Hà Đông, Hà Nội) cho biết khoảng giữa tháng 6/2023 TKCK của anh đã bị kẻ xấu đánh cấp thông tin và giao dịch mua bán bất thường.

Số cổ phiếu mã C47 của anh có giá trị khoảng 300 triệu đồng đã bị kẻ xấu bán gần như toàn bộ rồi mua vào các cổ phiếu “rác” không có giá trị. Cụ thể sau khi bán cổ phiếu mã C47, kẻ xấu đã mua vào các mã SGD giá trị hơn 37 triệu đồng; PJS giá trị gần 80 triệu đồng; SDU giá trị hơn 40 triệu đồng và SIC giá trị gần 100 triệu đồng.

Những cổ phiếu bị đặt mua đều là những cổ phiếu không có thanh khoản, giảm sàn liên tiếp nhiều phiên sau đó. Còn cổ phiếu chủ lực ban đầu là C47 đã có những nhịp tăng ngay sau đó, gây thiệt hại không nhỏ.

Công ty CK VPS khuyến cáo khách hàng nâng cao cảnh giác, phòng tránh mã độc chiếm đoạt tài khoản.

Theo anh D., ngay thời điểm phát hiện giao dịch bất thường liên quan tới bảo mật của hệ thống, anh đã liên hệ với Công ty VPS – là đơn vị cung cấp dịch vụ qua tổng đài, email và nhân viên quản lý tài khoản để kiểm tra và được hướng dẫn thay đổi mật khẩu.

“Ngày 14/6/2023, tôi nhận được thông báo từ VPS về việc không xác định được thông tin giao dịch bất thường và chuyển công an điều tra thêm. Đến nay đã hơn 2 tháng trôi qua, nhưng vẫn chưa nhận được câu trả lời thỏa đáng từ VPS khiến tôi rất thất vọng” – anh D. bày tỏ.

Tương tự, chị N.T.D.T. (SN 1983, trú tại TP HCM) kể có hai tài khoản chứng khoán cho mình và mẹ. Tổng giá trị số cổ phiếu của chị theo thị giá hiện tại là hơn 1 tỉ đồng.

"Trước ngày 1/6/2023, tôi nhận được tin nhắn của Công ty VPS thông báo mật khẩu tài khoản khách hàng có thể bị lộ và các room tôi tham gia, tư vấn viên đều khuyến nghị khách hàng đổi mật khẩu. Sau đó tôi đã đổi mật khẩu mới hoàn toàn so với mật khẩu trước đây", chị T. nhớ lại.

Tuy nhiên sau đó, đến ngày 13/6/2023, cả hai tài khoản của chị T. bị đăng nhập bất hợp pháp và bán hết toàn bộ các cổ phiếu trong danh mục để mua lại một mã giá cao, thanh khoản kém.

"Những cổ phiếu tôi đang nắm giữ có thanh khoản tốt, tiềm năng tăng giá cao “bỗng dưng" bị bán mất, đổi lại cổ phiếu rác. Tiếc số tiền hơn 1 tỷ đồng là gia tài, mồ hôi công sức bao nhiêu năm tích cóp nên tôi đã liên hệ với Công ty VPS nhiều lần nhưng chỉ nhận được câu trả lời chờ"- chị T. bức xúc.

Điểm chung trong sự việc trên là trước khi bị kẻ xấu xâm nhập tài khoản, chiếm đoạt tài sản thì những nạn nhân trên đều nhận được cảnh báo của phía VPS về việc lộ mật khẩu và khuyến cáo đổi mật khẩu, nhưng sau đó vẫn xảy ra sự việc đáng tiếc trên.

Điều này chứng tỏ có khả năng phía Công ty VPS đã nắm bắt được lỗ hổng bảo mật, nhưng vẫn dường như không ngăn chặn được triệt để.

Khoảng một năm trước Phòng Cảnh sát hình sự Công an TP Hà Nội đã tổ chức điều tra bắt giữ hacker Nguyễn Trần Minh Hòa (sinh năm 1995, thường trú tại ấp Tân Phước, Tân Bình, Vĩnh Long) có hành vi trộm cắp tiền từ tài khoản chứng khoán của anh Phạm Văn S. (sinh năm 1975, hiện trú tại Bà Rịa - Vũng Tàu).

Hacker Nguyễn Trần Minh Hòa.

Hoà khai nhận trong những ngày lang thang trên mạng Internet, anh ta phát hiện một diễn đàn về chứng khoán bị lỗi SQL Injection (lỗi về cơ sở dữ liệu khiến trang web có thể bị chiếm đoạt dữ liệu người dùng) nên đã xâm nhập và thu thập được hơn 100 ngàn tài khoản cùng mật khẩu.

Hòa tiếp tục mày mò thử đăng nhập vào các sàn giao dịch chứng khoán ở Việt Nam, và đã thực hiện thành công với nhiều tài khoản.

Trong số những tài khoản mà Hòa chiếm đoạt được, anh ta phát hiện tài khoản của anh S. mở tại Công ty chứng khoán VnDirect hiện có hàng chục ngàn cổ phiếu của nhiều công ty đang được niêm yết trên thị trường. Hòa đã đặt lệnh bán hết số cổ phiếu trên, thu về số tiền hơn 3 tỷ đồng. Nhằm che giấu hành vi, Hòa cất công sang một tiệm Internet trên địa bàn tỉnh Cần Thơ thực hiện chiếm đoạt tài sản của anh S.

Trước khi thực hiện việc bán chứng khoán, Hòa cũng đã có một kế hoạch nhằm "rửa tiền" cũng như xóa dấu vết hết sức tinh vi. Đầu tiên Hòa làm giả một chứng minh nhân dân trùng tên với bị hại. Tiếp đó Hòa sử dụng giấy CMND này để tạo một tài khoản ngân hàng trực tuyến.

Lợi dụng sơ hở của công ty chứng khoán là có thể liên kết tài khoản chứng khoán với tài khoản ngân hàng khác với tài khoản cũ (chỉ cần hai tài khoản này trùng tên) Hòa đã thực hiện việc liên kết rồi rút sạch số tiền hơn 3 tỷ đồng bán cổ phiếu về tài khoản. Hoà sau đó đã bị TAND TP Cần Thơ tuyên phạt bản án 10 năm tù giam.

Mất bò mới lo làm chuồng

Trở lại vụ việc xảy ra tại Công ty VPS, bà Nguyễn Thanh Nga - phụ trách kiểm soát nội bộ Chứng khoán VPS cho biết đã nhận được phản ánh từ một số khách hàng về việc tài khoản chứng khoán có dấu hiệu bị đăng nhập trái phép. VPS khẳng định đã "khẩn trương thực hiện các biện pháp nhằm kịp thời ngăn chặn những thiệt hại tiềm ẩn cho khách hàng trên không gian mạng, hướng tới bảo vệ tối đa quyền và lợi ích hợp pháp cho khách hàng".

Đồng thời VPS cho biết đã liên hệ, trình báo sự việc với cơ quan công an, phối hợp, cung cấp thông tin phục vụ quá trình điều tra. "VPS sẽ thông tin cụ thể tới khách hàng về kết quả điều tra, sau khi nhận được thông báo chính thức từ cơ quan có thẩm quyền", đại diện phía VPS khẳng định

Theo tìm hiểu của phóng viên, trong vụ việc khách hàng của công ty VPS bị các đối tượng bán bò tậu ễnh ương có khá nhiều điểm bất thường. Đầu tiên, nếu là hacker chuyên nghiệp thường sau khi đã chiếm đoạt được quyền đăng nhập, mua bán chứng khoán thì sẽ bán hết tài khoản, sau đó rút tiền về. Tuy nhiên trong trường hợp này, hacker lại dùng số tiền đó để mua những mã chứng khoán “mất thanh khoản".

Nhiều khách hàng của Công ty CK VPS đã gửi đơn kiến nghị đến UBCKNN về việc bị kẻ xấu xâm nhập vào tài khoản chứng khoán, giao dịch bất thường để chiếm đoạt tài sản.

Như vậy có thể xảy ra một trong số các trường hợp sau đây. Thứ nhất là hacker chỉ muốn “test" tay nghề, xem có thể hack được tài khoản chứng khoán bất kỳ hay không.

Thứ hai, hacker nghĩ rằng dùng số tiền bán chứng khoán để mua một vài mã khác thì sẽ không vi phạm pháp luật (do không chiếm đoạt tiền). Khả năng cuối cùng là hacker cũng đang cầm một lượng cổ phiếu “rác" không nhỏ, nên muốn tạo thanh khoản cho cổ phiếu đó để “thoát hàng" - Một chuyên gia thuộc công ty chứng khoán Mirea Asset cho chúng tôi biết.

Ngoài ra, hiện công ty VPS cũng có một lỗ hổng khiến hacker có thể lợi dụng để chiếm đoạt tiền của khách hàng. Trong khi các công ty chứng khoán khác (như M.A; SS…) chủ tài khoản chỉ có thể rút được tiền về tài khoản ngân hàng đã đăng ký cố định từ khi lập tài khoản, hoặc tài khoản nhận tiền phải trùng tên với chủ tài khoản chứng khoán thì hiện công ty VPS vẫn cho phép chủ tài khoản chứng khoán có thể chuyển tiền đến một tài khoản ngân hàng bất kỳ. Đây là một lỗ hổng để hacker có thể lợi dụng.

Theo Tạp chí Thương trường

(https://thuongtruong.com.vn/news/nha-dau-tu-hoang-mang-truoc-chieu-tro-hack-tai-khoan-chung-khoan-109338.html)