Bảo mật tài khoản chứng khoán: Đừng để “mất bò mới lo làm chuồng”

Ngỡ ngàng khi bị “bán bò, tậu ễnh ương"

Thời gian gần đây hàng loạt khách hàng tham gia giao dịch chứng khoán tại Công ty Cổ phần Chứng khoán VPS (Công ty VPS), phản ánh đã bị kẻ gian xâm nhập tài khoản chứng khoán thực hiện các lệnh mua bán trái phép gây thiệt hại hàng tỷ đồng.

Bị hại Vũ Thế D. (sinh năm 1993, trú tại phường Kiến Hưng, quận Hà Đông, Hà Nội) cho biết khoảng giữa tháng 6/2023 tài khoản chứng khoán của anh đã bị kẻ xấu đánh cắp thông tin và giao dịch mua bán bất thường. Số cổ phiếu mã C47 của anh có giá trị khoảng 300 triệu đồng đã bị kẻ xấu bán gần như toàn bộ rồi mua vào các cổ phiếu “rác” không có giá trị. Cụ thể, sau khi bán cổ phiếu mã C47, kẻ xấu đã mua vào các mã SGD giá trị hơn 37 triệu đồng, PJS giá trị gần 80 triệu đồng, SDU giá trị hơn 40 triệu đồng và SIC giá trị gần 100 triệu đồng.

Những cổ phiếu bị đặt mua đều là những cổ phiếu không có thanh khoản, giảm sàn liên tiếp nhiều phiên sau đó. Còn cổ phiếu chủ lực ban đầu là C47 đã có những nhịp tăng ngay sau đó, gây thiệt hại không nhỏ. Theo anh D., ngay thời điểm phát hiện giao dịch bất thường liên quan tới bảo mật của hệ thống, anh đã liên hệ với Công ty VPS - là đơn vị cung cấp dịch vụ qua tổng đài, email và nhân viên quản lý tài khoản để kiểm tra và được hướng dẫn thay đổi mật khẩu.

“Ngày 14/6/2023, tôi nhận được thông báo từ VPS về việc không xác định được thông tin giao dịch bất thường và chuyển công an điều tra thêm. Đến nay, đã hơn 2 tháng trôi qua, nhưng vẫn chưa nhận được câu trả lời thỏa đáng từ VPS khiến tôi rất thất vọng” - anh D. bày tỏ.

Tương tự, chị N.T.D.T. (sinh năm 1983, trú tại TP Hồ Chí Minh) kể có hai tài khoản chứng khoán cho mình và mẹ. Tổng giá trị số cổ phiếu của chị theo thị giá hiện tại là hơn 1 tỉ đồng.

"Trước ngày 1/6, tôi nhận được tin nhắn của Công ty VPS thông báo mật khẩu tài khoản khách hàng có thể bị lộ và các room tôi tham gia, tư vấn viên đều khuyến nghị khách hàng đổi mật khẩu. Sau đó tôi đã đổi mật khẩu mới hoàn toàn so với mật khẩu trước đây", chị T. nhớ lại.

Tuy nhiên, sau đó, đến ngày 13/6, cả hai tài khoản của chị T. bị đăng nhập bất hợp pháp và bán hết toàn bộ các cổ phiếu trong danh mục để mua lại một mã giá cao, thanh khoản kém. "Những cổ phiếu tôi đang nắm giữ có thanh khoản tốt, tiềm năng tăng giá cao “bỗng dưng" bị bán mất, đổi lại cổ phiếu rác. Tiếc số tiền hơn 1 tỷ đồng là gia tài, mồ hôi công sức bao nhiêu năm tích cóp nên tôi đã liên hệ với Công ty VPS nhiều lần nhưng chỉ nhận được câu trả lời: Chờ!" - chị T. bức xúc.

Cũng theo chị T., sau khi đăng tải sự việc lên mạng xã hội, có một đối tượng đã liên hệ với chị và cho biết có bằng chứng VPS lộ thông tin và mật khẩu hơn 1.000 khách hàng. “Sau khi tôi cho đối tượng vào group cộng đồng chứng khoán để kiểm tra thì mọi người đều vỡ lẽ, bởi khi các thành viên cung cấp số điện thoại, tài khoản thì đối tượng kia đã đọc đúng tài khoản và mật khẩu, địa chỉ, số điện thoại, đồng thời đòi bán dữ liệu cho nhóm là 100 triệu đồng để làm bằng chứng kiện Công ty VPS, nhưng chúng tôi sợ vi phạm pháp luật khi mua bán dữ liệu cá nhân nên không mua. Giờ hacker trước mặt mà mọi người trong nhóm không biết làm sao để bắt chúng được” - chị T. bất lực nói.

Chưa hết, anh Nguyễn Hữu Đ. (tạm trú phường 6, quận Bình Thạnh, TP Hồ Chí Minh) bức xúc: “Ngày 12/6, tôi bị kẻ gian đánh cắp thông tin và giao dịch mua bán bất thường trên tài khoản, tổng giá trị thiệt hại gần 200 triệu đồng. Cụ thể, đối tượng đã bán các mã cổ phiếu BOT, CTC, NBB, PTL, PVP, TNT và mua vào các cổ phiếu SGD trên tài khoản chứng khoán của tôi tại VPS tổng giá trị gần 200 triệu đồng. Mã chứng khoán SGD không có giá trị thanh khoản trên thị trường.

Chưa hết, anh Nguyễn Hữu Đ. (tạm trú phường 6, quận Bình Thạnh, TP Hồ Chí Minh) bức xúc: “Ngày 12/6, tôi bị kẻ gian đánh cắp thông tin và giao dịch mua bán bất thường trên tài khoản, tổng giá trị thiệt hại gần 200 triệu đồng. Cụ thể, đối tượng đã bán các mã cổ phiếu BOT, CTC, NBB, PTL, PVP, TNT và mua vào các cổ phiếu SGD trên tài khoản chứng khoán của tôi tại VPS tổng giá trị gần 200 triệu đồng. Mã chứng khoán SGD không có giá trị thanh khoản trên thị trường.

Điểm chung trong sự việc trên là trước khi bị kẻ xấu xâm nhập tài khoản, chiếm đoạt tài sản thì những nạn nhân trên đều nhận được cảnh báo của phía VPS về việc lộ mật khẩu và khuyến cáo đổi mật khẩu nhưng sau đó vẫn xảy ra sự việc đáng tiếc trên. Điều này chứng tỏ có khả năng phía Công ty VPS đã nắm bắt được lỗ hổng bảo mật, nhưng vẫn không ngăn chặn được triệt để.

Còn nhớ, khoảng một năm trước, Phòng Cảnh sát hình sự Công an TP Hà Nội đã tổ chức điều tra bắt giữ hacker Nguyễn Trần Minh Hòa (sinh năm 1995, thường trú tại ấp Tân Phước, Tân Bình, Vĩnh Long) có hành vi trộm cắp tiền từ tài khoản chứng khoán của anh Phạm Văn S. (sinh năm 1975, hiện trú tại Bà Rịa - Vũng Tàu).

Hòa khai nhận trong những ngày lang thang trên mạng Internet, anh ta phát hiện một diễn đàn về chứng khoán bị lỗi SQL Injection (lỗi về cơ sở dữ liệu khiến trang web có thể bị chiếm đoạt dữ liệu người dùng) nên đã xâm nhập và thu thập được hơn 100 ngàn tài khoản cùng mật khẩu. Hòa tiếp tục mày mò thử đăng nhập vào các sàn giao dịch chứng khoán ở Việt Nam và đã thực hiện thành công với nhiều tài khoản.

Trong số những tài khoản mà Hòa chiếm đoạt được, anh ta phát hiện tài khoản của anh S. mở tại Công ty chứng khoán VnDirect hiện có hàng chục ngàn cổ phiếu của nhiều công ty đang được niêm yết trên thị trường. Hòa đã đặt lệnh bán hết số cổ phiếu trên, thu về số tiền hơn 3 tỷ đồng. Nhằm che giấu hành vi, Hòa cất công sang một tiệm Internet trên địa bàn tỉnh Cần Thơ thực hiện chiếm đoạt tài sản của anh S.

Trước khi thực hiện việc bán chứng khoán, Hòa cũng đã có một kế hoạch nhằm "rửa tiền" cũng như xóa dấu vết hết sức tinh vi. Đầu tiên Hòa làm giả một chứng minh nhân dân trùng tên với bị hại. Tiếp đó Hòa sử dụng giấy CMND này để tạo một tài khoản ngân hàng trực tuyến. Lợi dụng sơ hở của công ty chứng khoán là có thể liên kết tài khoản chứng khoán với tài khoản ngân hàng khác với tài khoản cũ (chỉ cần hai tài khoản này trùng tên) Hòa đã thực hiện việc liên kết rồi rút sạch số tiền hơn 3 tỷ đồng bán cổ phiếu về tài khoản. Hòa sau đó đã bị TAND TP Cần Thơ tuyên phạt bản án 10 năm tù giam.

 “Làm chuồng" có kịp?

Theo tìm hiểu của chúng tôi, trong vụ việc khách hàng của Công ty VPS bị các đối tượng “bán bò tậu ễnh ương” có khá nhiều điểm bất thường. Đầu tiên, nếu là hacker chuyên nghiệp thường sau khi đã chiếm đoạt được quyền đăng nhập, mua bán chứng khoán thì sẽ bán hết tài khoản, sau đó rút tiền về. Tuy nhiên, trong trường hợp này, hacker lại dùng số tiền đó để mua những mã chứng khoán “mất thanh khoản".

“Như vậy có thể xảy ra một trong số các trường hợp sau đây. Thứ nhất là hacker chỉ muốn “test" tay nghề, xem có thể hack được tài khoản chứng khoán bất kỳ hay không. Thứ hai, hacker nghĩ rằng dùng số tiền bán chứng khoán để mua một vài mã khác thì sẽ không vi phạm pháp luật (do không chiếm đoạt tiền). Khả năng cuối cùng là hacker cũng đang cầm một lượng cổ phiếu “rác" không nhỏ, nên muốn tạo thanh khoản cho cổ phiếu đó để “thoát hàng" - một chuyên gia thuộc Công ty Chứng khoán Mirea Asset cho chúng tôi biết.

Ngoài ra, hiện công ty VPS cũng có một lỗ hổng khiến hacker có thể lợi dụng để chiếm đoạt tiền của khách hàng. Trong khi các công ty chứng khoán khác (như M.A; SS...) chủ tài khoản chỉ có thể rút được tiền về tài khoản ngân hàng đã đăng ký cố định từ khi lập tài khoản hoặc tài khoản nhận tiền phải trùng tên với chủ tài khoản chứng khoán thì hiện Công ty VPS vẫn cho phép chủ tài khoản chứng khoán có thể chuyển tiền đến một tài khoản ngân hàng bất kỳ. Đây là một lỗ hổng để hacker có thể lợi dụng.

Theo luật sư Vũ Đức Duân (thuộc Đoàn luật sư Hà Nội) trong vụ việc hack tài khoản một số khách hàng của các công ty chứng khoán nêu trên, nếu cơ quan điều tra phát hiện ra có hành vi đăng nhập trái phép để chiếm đoạt tiền của chủ tài khoản thì có thể khởi tố vụ án để điều tra, truy bắt thủ phạm gây án. Về phía bị hại, nếu không hài lòng với những thông tin trả lời từ các công ty chứng khoán thì có thể sử dụng các bằng chứng thu thập được để tiến hành khiếu nại, thậm chí khởi kiện ra tòa để bảo vệ quyền lợi của mình.