Mất 5 tỉ đồng sau vài giờ chuyển tiền vào tài khoản
Ông N.C.S (trú tại Hà Nội) chia sẻ, số tiền 5 tỉ đồng trong tài khoản Ngân hàng TMCP Kiên Long (KienlongBank, KLB) bốc hơi cách đây gần 4 tháng mà hoàn toàn không qua lớp bảo mật an toàn là sinh trắc học khuôn mặt động.
Theo ông N.C.S, khoảng 13 giờ 5 đến 13 giờ 20 ngày 12.12.2025, ông mở tài khoản thanh toán tại KienlongBank bằng hình thức định danh điện tử (eKYC). 3 tiếng sau, ông N.C.S trực tiếp đến quầy giao dịch ngân hàng để gửi 50 triệu đồng vào tài khoản và thực hiện kiểm tra trên điện thoại (thiết bị 1) qua app Kienlongbank plus thì số dư hiện đầy đủ, hoạt động bình thường. Ông N.C.S không nhận được bất cứ cảnh báo nào về việc tài khoản có 2 thiết bị đang được gắn vào. Sau đó, ông N.C.S tiếp tục thực hiện chuyển tiền từ HDBank vào tài khoản mở tại KLB bằng hình thức chuyển tiền trực tuyến, tổng số tiền là 5,45 tỉ đồng. Đến 1 giờ 19 rạng sáng ngày 13.12.2025, tài khoản ông N.C.S bất ngờ bị rút đi 5 tỉ đồng mà không phải do ông thực hiện.
Ông N.C.S khẳng định không thực hiện rút tiền từ thiết bị thứ 2
ẢNH: C.S
Ngay sau khi sự việc mất tiền xảy ra, ông N.C.S đã có văn bản gửi ngay KLB nhưng đến 2 tuần sau (tức ngày 16.12.2025) KLB mới có văn bản phúc đáp và gửi kèm theo một số tài liệu kỹ thuật. Trong đó, KLB khẳng định và xác nhận, tài khoản của ông N.C.S bị mất tiền là do sử dụng 2 thiết bị. Thiết bị 2 cũng được KLB xác nhận và khẳng định là thiết bị này thực hiện rút tiền.
Ông N.C.S kể: "Sau sự cố này, đại diện của KLB đã gặp ông N.C.S trao đổi và đưa ra một số phương án khắc phục và đền bù. KLB đưa ra phương án bồi hoàn 50% số tiền bị mất cho tôi. Nhưng, tôi nhận thấy đây là sự bất hợp lý và bất hợp lệ trong giao dịch điện tử, khi chủ tài khoản là tôi, không có bất cứ hành vi hay ý chí thực hiện rút tiền nào, nhưng lại bị mất tiền tỉ khi gửi tiền hợp pháp vào KLB, nên tôi đã từ chối. Thậm chí, sau khi tìm hiểu, nghiên cứu kỹ các văn bản, tài liệu do KLB cung cấp, tôi đã phát hiện ra rất nhiều điểm bất thường, bất hợp lý, bất hợp lệ, và cũng bất hợp pháp trong toàn bộ quá trình từ khi tôi mở tài khoản EKCY đến lúc 5 tỉ đồng bị rút đi, tại hệ thống của KLB".
Nhiều câu hỏi được ông N.C.S đặt ra là "tại sao không có sinh trắc học khuôn mặt của tôi mà toàn bộ số tiền 5 tỉ đồng được thực hiện chuyển đi khỏi tài khoản ". "Ngay tại thời điểm tôi mở tài khoản bằng eKYC tại KLB thì đã có 1 thiết bị lạ (thiết bị 2) gắn vào tài khoản của tôi. Về mặt vật lý và con người thực tế, không ai có thể khởi tạo tài khoản thành công trên cùng 2 thiết bị trùng nhau tuyệt đối đến 1 phần triệu giây cả. Tôi cũng không có quyền năng hay công cụ nào để ra lệnh hay can thiệp vào hệ thống (Core Banking) hay dữ liệu hệ thống để gán, gắn hay sao chép hoặc nhân bản thiết bị 2 gắn vào tài khoản của mình. Trong khi CCCD, khuôn mặt, thiết bị của tôi là duy nhất".
Sinh trắc học tĩnh qua mặt hệ thống
Theo ông N.C.S, thời điểm 5 tỉ đồng trong tài khoản bị rút đi bằng 11 lệnh, đều có giá trị rất lớn (mỗi lệnh 100 triệu và 10 lệnh 490 triệu đồng), và được thực hiện dồn dập liên tục trong quãng thời gian rất ngắn. Bảng dữ liệu sinh trắc học mà KLB cung cấp của thiết bị 2 thực hiện 11 giao dịch rút tiền gồm 4 ảnh tĩnh (trong đó 3 ảnh là thể hiện thời điểm ông mở eKYC + 1 ảnh ông ngồi trên ô tô, mặc áo vest đen). Dữ liệu sinh trắc học do KLB cung cấp và xác nhận này càng khẳng định, dữ liệu sinh trắc học của thiết bị 2 (thiết bị rút tiền) là dữ liệu sao chép/nhân bản. Và chỉ là các ảnh tĩnh, không phải là ảnh động. Trong khi Quyết định 2345 của Ngân hàng Nhà nước thì giao dịch lần đầu trên thiết bị mới, bắt buộc phải có sinh trắc học động (liveness).
"Việc hệ thống vẫn thực hiện cấp quyền và xử lý giao dịch trong điều kiện không có dữ liệu xác thực hợp lệ cho thấy trách nhiệm thuộc về hệ thống và đơn vị vận hành hệ thống trong việc không đảm bảo tuân thủ quy định bắt buộc. Trong trường hợp không được kiểm tra, giám định kịp thời, nguy cơ tiếp tục phát sinh các giao dịch tương tự là hoàn toàn có thể xảy ra. Do đó, đề nghị các cơ quan có thẩm quyền tiến hành kiểm tra, giám định kỹ thuật hệ thống để làm rõ và xử lý theo quy định pháp luật", ông N.C.S nhận định.
Vào cuối tuần qua, KienlongBank lên tiếng về trường hợp này và cho rằng đối với nội dung cấp quyền thiết bị mới và thực hiện giao dịch, ngân hàng khẳng định hệ thống đã vận hành chặt chẽ theo các lớp bảo mật của NHNN. Việc giao dịch hoàn tất nghi ngờ tài khoản đã bị lộ lọt OTP , đối tượng xấu chiếm quyền kiểm soát. "Ngay khi tiếp nhận phản ánh, KienlongBank đã triển khai các biện pháp khẩn cấp như phối hợp với mạng lưới ngân hàng liên kết để phong tỏa thành công một phần dòng tiền và chuyển toàn bộ hồ sơ nghiệp vụ sang cơ quan công an", phía KienlongBank cho hay.
Liên quan đến trường hợp này, ông Võ Đỗ Thắng - Giám đốc Trung tâm đào tạo An ninh mạng Athena cho rằng, có nhiều vấn đề đặt ra khi tài khoản bị mất tiền, mà chỉ có cơ quan chức năng, ở đây là công an vào cuộc để làm rõ những bất cập này. Cụ thể số tiền 5 tỉ đồng chuyển đi thường có yêu cầu sinh trắc học và OTP . Sinh trắc học phải động mới xác định được chính chủ gửi, trong trường hợp sử dụng ảnh tĩnh mà qua được lớp an ninh này thì đúng là lạ. Không những sinh trắc học, lệnh chuyển tiền cũng phải có mã OTP phải gửi về đúng thiết bị, số điện thoại chính chủ. Trong trường hợp chủ tài khoản ngân hàng không nhận được thông tin này thì cũng là một nghi vấn về hệ thống. Hơn nũa, 11 giao dịch chuyển tiền vào thời điểm 1 - 2 giờ sáng mà hệ thống giám sát giao dịch ngân hàng không phát hiện bất thường để thực hiện cảnh báo, ngăn chặn thì cũng có vấn đề. NHNN đã từng có yêu cầu các ngân hàng thực hiện cảnh báo khi có những giao dịch bất thường trong những khung giờ này. "Khi cơ quan chức năng vào cuộc sẽ làm rõ trách nhiệm từ phía khách hàng cũng như ngân hàng có lỗ hổng hay không", ông Võ Đỗ Thắng nhấn mạnh.