Đầu tư chứng khoán - Canh bạc nghiệt ngã hay mỏ vàng ròng? Bài 2: Công ty chứng khoán "coi nhẹ" bảo mật, nhà đầu tư mất oan tiền tỷ?!
Vừa qua, nhiều khách hàng tham gia giao dịch chứng khoán tại Công ty Cổ phần Chứng khoán VPS (Công ty VPS), Công ty cổ phần Chứng khoán VNDIRECT (Công ty VnDirect) phản ánh đã bị kẻ gian xâm nhập vào tài khoản chứng khoán, chiếm đoạt hàng tỷ đồng.
Nhiều nhà đầu tư bị chiếm đoạt hàng tỷ đồng
Phản ánh đến báo chí, anh Vũ Thế Dương, trú tại phường Kiến Hưng, quận Hà Đông (Hà Nội), cho biết, ngày 13/06/2023, tài khoản chứng khoán của anh đã bị kẻ xấu đánh cấp thông tin và giao dịch mua bán bất thường. Cụ thể, số cổ phiếu mã C47 của anh có giá trị khoảng 300 triệu đồng đã bị kẻ xấu bán gần như toàn bộ. Sau đó mua vào các cổ phiếu rác không có giá trị.
Sau khi bán cổ phiếu mã C47, kẻ xấu đã mua vào các mã SGD giá trị 37.202.000 đồng; PJS giá trị 79.840.000 đồng; SDU giá trị 40.500.000 đồng và SIC giá trị 99.840.000 đồng. Những cổ phiếu bị đặt mua đều là những cổ phiếu không có thanh khoản, giảm sàn liên tiếp nhiều phiên sau đó. Còn cổ phiếu chủ lực ban đầu là C47 đã có những nhịp tăng ngay sau đó, gây thiệt hại không nhỏ về lợi nhuận đầu tư.
Theo anh Dương, ngay thời điểm phát hiện giao dịch bất thường liên quan tới bảo mật của hệ thống, anh đã liên hệ với Công ty Cổ phần Chứng khoán VPS - là đơn vị cung cấp dịch vụ (Công ty VPS) qua tổng đài, email và nhân viên quản lý tài khoản để kiểm tra và được hướng dẫn thay đổi mật khẩu.
“Đến ngày 14/06/2023, tôi nhận được thông báo từ VPS về việc không xác định được thông tin giao dịch bất thường và chuyển công an điều tra thêm. Đến nay vẫn chưa nhận được câu trả lời thỏa đáng từ VPS khiến tôi rất thất vọng” - anh Dương bức xúc.
Cũng theo anh Dương, trước đó, ngày 09/06/2023, phía VPS đã gửi cảnh báo đổi mật khẩu và tôi cũng đã thực hiện theo hướng dẫn, nhưng vẫn bị lộ và bị bán sạch. Nghiêm trọng hơn, sau khi tìm hiểu qua mạng xã hội, chúng tôi còn phát hiện có đối tượng rao bán dữ liệu cá nhân, trong đó có dữ liệu về thông tin tài khoản chứng khoán của chúng tôi tại VPS.
Tương tự, chị Nguyễn Thị Diễm Thùy (SN 1983, ngụ TP HCM), bức xúc: "Tôi có mở hai tài khoản chứng khoán tại Công ty VPS, có chi nhánh tại TP HCM cho mình và mẹ ruột là bà Nguyễn Thị Luận. Cả hai tài khoản trên, tôi có mua một số cổ phiếu với tổng giá trị khi bán ra hơn 1,1 tỷ đồng".
Theo phản ánh, chị Thùy cho biết: "Ngày 1/6/2023, tôi nhận được tin nhắn của Công ty VPS rằng mật khẩu tài khoản bị lộ. Các bạn tư vấn viên đều khuyến nghị khách hàng của mình đổi mật khẩu. Ngay trong ngày, tôi đã tiến hành đổi mật khẩu mới hoàn toàn so với các mật khẩu trước đây theo khuyến cáo của VPS, thế nhưng đến ngày 13/6/2023, bắt đầu vào khoảng 13:14 phút, cả hai tài khoản chứng khoán của tôi bị đăng nhập bất hợp pháp và bán hết toàn bộ các cổ phiếu trong danh mục và cả hai tài khoản đều cùng mua lại đúng duy nhất là một mã chứng khoán mà kẻ xấu đã chuẩn bị trước với giá trên trời và không một ai giao dịch mua bán".
Chị Thùy cho biết thêm, do đặc thù chứng khoán khi bán ra phải rút tiền về chính chủ tài khoản ngân hàng nên kẻ xấu đã dùng một mã cổ phiếu không người giao dịch để bán giá cao. “Tiền bọn chúng cướp được từ việc mua cổ phiếu từ tài khoản tôi là thật, nhưng tôi thì nhận lại mớ cổ phiếu như tờ giấy lộn, không ai giao dịch mua bán”.
“Chi tiết mua bán cổ phiếu bắt đầu từ 13h ngày 13/06/2023 đều là của bọn hacker và lịch sử giao dịch khớp lệnh được đính kèm theo đơn. Sau khi đăng tải sự việc lên mạng xã hội, có một đối tượng đã liên hệ với tôi và cho biết có bằng chứng VPS lộ thông tin và mật khẩu 1.200 khách hàng. Sau khi tôi cho đối tượng vào group cộng đồng chứng khoán để kiểm tra thì mọi người đều vỡ lẽ, bởi khi các thành viên cung cấp số điện thoại, tài khoản, thì đối tượng kia đã đọc đúng tài khoản và mật khẩu, địa chỉ, số điện thoại, đồng thời đòi bán dữ liệu cho nhóm là 100 triệu để làm bằng chứng kiện VPS, nhưng chúng tôi sợ vi phạm pháp luật khi mua bán dữ liệu cá nhân nên không mua. Giờ hacker trước mặt mà mọi người trong nhóm không biết làm sao để bắt chúng được” - chị Thùy ngao ngán.
Cũng giống chị Thùy, anh Nguyễn Hữu Điền, tạm trú phường 6, quận Bình Thạnh, TP HCM bày tỏ: “Ngày 12/6, tôi bị kẻ gian đánh cắp thông tin và giao dịch mua bán bất thường trên tài khoản, tổng giá trị thiệt hại gần 200 triệu đồng. Cụ thể, đối tượng đã bán các mã cổ phiếu BOT, CTC, NBB, PTL, PVP, TNT, và mua vào các cổ phiếu SGD trên tài khoản chứng khoán của tôi tại VPS tổng giá trị gần 200 triệu đồng". Mã chứng khoán SGD bị mua vào nêu trên không có giá trị thanh khoản trên thị trường.
Anh Điền cũng cho biết thêm, khi phát hiện giao dịch bất thường trên tài khoản của mình, tôi đã liên hệ với Công ty VPS - là đơn vị cung cấp dịch vụ để thông báo nhằm ngăn chặn. Tuy nhiên, đến ngày 13/6, tôi nhận được thông báo từ Công ty VPS về việc không xác định được thông tin giao dịch bất thường và yêu cầu tôi phản ánh đến cơ quan chức năng khác điều tra, xử lý.
Trước đó, tháng 2/2022, anh Phạm Văn S. (sinh năm 1975, trú tại Bà Rịa - Vũng Tàu) phát hiện tài khoản của mình mở tại Công ty Chứng khoán VNDirect bị xâm nhập trái phép. Đối tượng đã đặt lệnh bán toàn bộ hàng chục mã chứng khoán, với tổng số tiền lên đến hơn 3 tỷ đồng. Sau khi khớp lệnh, đối tượng tiếp tục thực hiện việc rút toàn bộ số tiền bán chứng khoán về một tài khoản ngân hàng không phải là của anh
Quá trình điều tra, Cơ quan công an đã phát hiện và bắt giữ được thủ phạm, làm rõ các thủ đoạn của đối tượng đồng thời cũng lộ ra vấn đề bảo mật từ công ty chứng khoán này. Hacker có thể lấy được id và pass từ diễn đàn trôi nổi trên mạng và đăng nhập vào tài khoản của nhà đầu tư, đặt lệnh mua bán. Khi rút tiền thì chỉ cần tài khoản ngân hàng của đối tượng trùng tên với chủ tài khoản là có thể rút.
Trách nhiệm thuộc về ai?
Liên quan đến vụ việc trên, phóng viên PetroTimes đã liên hệ với bộ phận truyền thông của Công ty VPS. Đại diện truyền thông Công ty này khẳng định, vừa qua có những vụ việc như phóng viên nêu. Tuy nhiên, vị này cho rằng do trong quá trình sử dụng Internet, hoặc sử dụng điện thoại có thể nhà đầu tư đã truy cập vào đường link lạ bị cài mã độc nên bị kẻ gian theo dõi rồi xâm nhập tài khoản, chiếm đoạt tài sản. Vụ việc đã được Công ty VPS báo cáo với cơ quan điều tra và đang chờ kết quả. Vị này cũng khuyến nghị nhà đầu tư nên thay đổi mật khẩu thường xuyên và không nên truy cập vào những đường link lạ để tránh nhiễm các mã độc của kẻ gian.
Tuy nhiên, theo tìm hiểu của PV thì điểm chung trong sự việc trên là trước khi bị kẻ xấu xâm nhập tài khoản, chiếm đoạt tài sản thì những nạn nhân trên đều nhận được cảnh báo của phía VPS về việc lộ mật khẩu và khuyến cáo đổi mật khẩu. Vậy nhưng sau đó vẫn xảy ra những sự việc đáng tiếc trên. Điều này chứng tỏ có khả năng phía VPS đã nắm bắt được lỗ hổng bảo mật, nhưng vẫn không ngăn chặn được triệt để.
Trả lời câu hỏi của PV về việc tại sao khách hàng đã làm theo khuyến cáo của VPS nhưng vẫn bị kẻ gian xâm nhập tài khoản? Đại diện Công ty VPS cho rằng, nhà đầu tư thay đổi mật khẩu nhưng lặp lại mật khẩu trước đó nên kẻ gian vẫn có thể hack tài khoản.
Ngoài ra, hiện Công ty VPS cũng có một lỗ hổng "to đùng" khiến hacker có thể lợi dụng để chiếm đoạt tiền của khách hàng. Trong khi các công ty chứng khoán khác (như M.A; SS…) chủ tài khoản chỉ có thể rút được tiền về tài khoản ngân hàng đã đăng ký cố định từ khi lập tài khoản, hoặc tài khoản nhận tiền phải trùng tên với chủ tài khoản chứng khoán thì hiện công ty VPS vẫn cho phép chủ tài khoản chứng khoán có thể chuyển tiền đến một tài khoản ngân hàng bất kỳ. Đây là một lỗ hổng để hacker có thể lợi dụng.
Theo ông Trịnh Hồng Hà - Phó Cục trưởng Cục Công nghệ Thông tin, Ủy ban Chứng khoán Nhà nước: "Tin tặc hiện nay có những công cụ rất mạnh để rà quét mật khẩu, mã xác thực và có thủ đoạn để chuyển tiền. Họ làm giả tài khoản ngân hàng với tên giống tài khoản chứng khoán và tin tặc thực hiện thành công việc này".
Chưa nói tới bước chuyển tiền và bảo mật của hệ thống ngân hàng thì theo chuyên gia công nghệ, các công ty chứng khoán cũng cần nâng cấp ngay từ khâu bảo mật 2 lớp, tiến tới sử dụng chữ ký số, bởi đây mới là phương thức an toàn nhất.
"Chữ ký số tồn tại dưới 2 dạng, một dạng sử dụng USB token, khi thực hiện giao dịch thì cắm USB vào máy tính. Thứ hai, lưu trữ thiết bị di động, khi thực hiện giao dịch thì bấm nút ký và dữ liệu gắn chặt trên điện thoại sẽ được lấy ra để ký", ông Ngô Tuấn Anh - chuyên gia bảo mật, BKAV cho hay.
Về phía nhà đầu tư, có rất nhiều cách để kẻ xấu lợi dụng sự mất cảnh giác như gửi đường dẫn Internet lạ để nhà đầu tư nhấn vào, hoặc thành lập các giao diện trang web giả mạo các công ty chứng khoán để nhà đầu tư nhập vào đó mã số tài khoản và mật khẩu.
"Quan trọng nhất lỗ hổng bảo mật vẫn do yếu tố con người, còn công nghệ tạm xếp sau. Bản thân các nhà đầu tư phải tự bảo vệ mình trước, khoảng 2 tuần nên vào đổi mật khẩu hoặc nếu có phát hiện bất cứ rò rỉ thông tin ra bên ngoài cần báo ngay cho công ty chứng khoán để họ nắm được", anh Phan Linh - Giám đốc chuyên môn Công ty Tư vấn và Đầu tư Take Profit Việt Nam cho hay.
Trước đó, UBCKNN cũng đã đề nghị các công ty chứng khoán thực hiện rà quét lỗ hổng bảo mật hệ thống công nghệ thông tin, đặc biệt là hệ thống giao dịch chứng khoán trực tuyến và các hệ thống có kết nối mạng internet để kịp thời khắc phục các lỗ hổng bảo mật (nếu có); thực hiện cập nhật các bản vá bảo mật của hệ điều hành máy chủ, cơ sở dữ liệu và các thiết bị CNTT khác.
Đồng thời, kiểm tra lại các quy trình khi nhà đầu tư thực hiện xác thực giao dịch trực tuyến để khắc phục các rủi ro cho nhà đầu tư khi thực hiện giao dịch; điều chỉnh hệ thống để các giao dịch chuyển tiền, ứng tiền, thay đổi tài khoản của khách hàng phải xác thực OTP tức thời.
Ngoài ra, cần thông báo công khai, đồng thời có biện pháp liên hệ với từng nhà đầu tư để yêu cầu thay đổi ngay mật khẩu người dùng; cảnh báo về các rủi ro, nguy cơ tiềm ẩn khi để lộ lọt các thông tin về tên truy cập và mật khẩu người dùng, thường xuyên khuyến cáo nhà đầu tư các biện pháp tự bảo vệ thông tin tài khoản như: Đổi mật khẩu định kỳ, tránh dùng chung mật khẩu giao dịch chứng khoán với các loại tài khoản cá nhân khác...
TIN LIÊN QUAN
-
Yêu cầu các công ty chứng khoán dừng ngay việc đặt lệnh tự động
-
Thị trường bất động sản sẽ dần “tan băng” khi lãi suất cho vay về 10-11%
-
Tập đoàn dầu khí lớn nhất thế giới muốn đầu tư tại Việt Nam
-
Gần 990.000 tỷ đồng tiền của các ngân hàng đang rót vào thị trường bất động sản
-
Những điểm mới đáng chú ý về cấp sổ đỏ
Gần 160.000 tài khoản chứng khoán được mở mới trong tháng 9
Số liệu mới nhất từ Tổng công ty Lưu ký và Bù trừ chứng khoán Việt Nam (VSDC) cho thấy, trong tháng 9 vừa qua, có tổng cộng 158.302 số tài khoản chứng khoán mở mới trong nước.
Nhận định chứng khoán ngày 4/10: Dao động mạnh quanh ngưỡng 1.300 điểm
Thị trường chứng khoán ngày 3/10 tiếp tục điều chỉnh khi VN Index dao động mạnh quanh ngưỡng 1.300 điểm. Tín hiệu tiêu cực xuất hiện trong ngắn hạn, khi thị trường...
Cổ phiếu MCH sẽ dọn nhà sang HoSE năm 2025, Masan Consumer sắp chào bán hơn 326 triệu cổ phiếu
HĐQT CTCP Hàng tiêu dùng Masan (Masan Consumer) đã thông qua Nghị quyết chuyển giao dịch cổ phiếu MCH từ UPCoM sang HoSE. Thời điểm dự kiến niêm yết là trong năm 2025.
Phó Tổng Giám đốc VIB muốn bán ra 2 triệu cổ phiếu
Ngân hàng TMCP Quốc tế Việt Nam (VIB) vừa có văn bản thông báo giao dịch cổ phiếu của người nội bộ người có liên quan của người nội bộ.
Nhận định chứng khoán ngày 3/10: Thị trường tích luỹ quanh ngưỡng 1.290 điểm
Chịu tác động từ các thông tin tiêu cực trên thị trường tài chính quốc tế, phiên giao dịch ngày 2/10 khép lại với mức giảm nhẹ của VN-Index.
Tin nhanh chứng khoán ngày 2/10: Thị trường thận trọng, nhóm dầu khí tích cực
Thị trường chứng khoán diễn biến thận trọng và bảng điện tử chìm trong sắc đỏ trong hầu hết thời gian giao dịch. Kết phiên, VN Index giảm 4,36 điểm với thanh khoản giảm mạnh...
Chủ tịch Chứng khoán VIX từ nhiệm
HĐQT CTCP Chứng khoán VIX (HoSE: mã chứng khoán VIX) vừa thông qua miễn nhiệm chức danh Chủ tịch HĐQT đối với ông Thái Hoàng Long...
Chứng khoán châu Á đỏ lửa, đồng đô la tăng, các nhà giao dịch cân nhắc trước khi Fed sẽ giảm lãi suất
Thị trường chứng khoán châu Á ngày 1 10, giảm gần mức cao nhất trong hai năm rưỡi và đồng đô la Mỹ tăng mạnh sau những bình luận cứng rắn của Chủ tịch...
Vòng tròn giao dịch đang đẩy giá nhóm cổ phiếu “họ” APEC tăng hàng chục %
Trong bối cảnh các công ty thuộc nhóm APEC thực hiện việc mua chéo cổ phiếu của nhau, tạo thành một vòng tròn giao dịch, các cổ phiếu “họ” Apec đang ghi nhận đà...
Nhận định thị trường chứng khoán ngày 2/10: Tiếp tục thử thách ngưỡng 1.300 điểm
Sự rung lắc quanh ngưỡng kháng cự 1.300 điểm vẫn đang là thách thức lớn đối với thị trường chứng khoán. Trong bối cảnh thị trường vẫn còn nhiều biến động...
Thị trường chứng khoán ngày 1/10: Khó vượt qua ngưỡng kháng cự 1.300 điểm
VN Index có lúc tăng mạnh lên 14 điểm trong phiên sáng, nhưng áp lực bán vào cuối phiên chiều đã kéo chỉ số lùi lại.
Nhận định chứng khoán ngày 01/10: Chuyển sang trạng thái tích lũy
Áp lực bán ra tăng mạnh trên diện rộng quanh vùng 1.290 - 1.295 điểm đã khiến VN Index tiếp tục điều chỉnh trong phiên giao dịch ngày 30/9. Sau khi chạm mốc 1.300 điểm...
Tin nhanh chứng khoán ngày 30/9: VN Index giảm nhẹ
Tâm lý thận trọng khiến thanh khoản sụt giảm đôi chút, tuy nhiên dòng tiền vẫn chảy mạnh vào nhóm cổ phiếu bank - chứng - thép, đã giúp VN-Index giữ vững mốc 1.285 điểm.
Chứng khoán tuần mới (từ 30/9 đến 4/10): Năm lần đánh “Bạch Cốt Tinh”
Tuần giao dịch từ 23 đến 26/9, chỉ số VN Index đã thất bại trong việc chinh phục ngưỡng cản “cứng” 1.300 điểm. Dù vậy, với những thông tin vĩ mô rất tốt trong nước...
Nhận định chứng khoán ngày 30/9: Tiếp tục thử thách mốc 1.300 điểm
Phiên giao dịch ngày 27/9 chứng kiến áp lực bán gia tăng quanh vùng 1.290 – 1.295 điểm đã khiến VN Index không thể chinh phục lại mốc 1.300 điểm...
Nhận định chứng khoán ngày 27/9: Hướng về mốc 1.300 điểm
Thị trường tiếp tục duy trì đà tăng trong phiên giao dịch ngày 26/9 với sự cải thiện rõ rệt về thanh khoản. Các chỉ báo kỹ thuật như MACD, RSI và CMG...
Tin nhanh chứng khoán ngày 26/9: Nhóm cổ phiếu ngân hàng giúp chỉ số giữ được mạch tăng
Nối tiếp chuỗi giao dịch khởi sắc, VN Index duy trì đà tăng điểm trong phiên 26/9. Dù đóng cửa phiên đà tăng bị thu hẹp, song VN Index vẫn tăng 4 điểm...
Hơn 204,8 triệu cổ phiếu Chứng khoán DSC được chấp thuận niêm yết trên HoSE
Sở Giao dịch Chứng khoán TP.HCM (HoSE) đã chấp thuận niêm yết cổ phiếu DSC của CTCP Chứng khoán DSC. Qua đó, ngành Chứng khoán sẽ có 17 công ty niêm yết trên HoSE.
Nhận định chứng khoán ngày 26/9: Đã xác nhận bước vào chu kỳ tăng
Sau hai phiên tăng điểm mạnh liên tiếp, VN Index đã xác nhận bước vào chu kỳ tăng, hướng tới vùng đỉnh cũ. Tuy nhiên, ngưỡng 1.290 điểm được xem là vùng cản ngắn hạn....