Khách hàng tham gia chứng khoán bị kẻ gian chiếm đoạt hàng trăm triệu đồng

Anh Nguyễn Hữu Điền (SN 1993, ngụ Đắk Lắk; tạm trú phường 6, quận Bình Thạnh, TP Hồ Chí Minh), bức xúc: "Tôi đang giao dịch chứng khoán với đơn vị cung cấp dịch vụ là Công ty VPS, có chi nhánh tại TP Hồ Chí Minh, tầng 3, số 76 Lê Lai, phường Bến Thành, quận 1. Vào lúc 13h26' và 13h58' ngày 12/6, tôi bị kẻ gian đánh cắp thông tin và giao dịch mua bán bất thường trên tài khoản, tổng giá trị thiệt hại gần 200 triệu đồng, chưa bao gồm các khoản thiệt hại giá trị thặng dư, chi phí cơ hội... Cụ thể, đối tượng đã bán các mã cổ phiếu BOT, CTC, NBB, PTL, PVP, TNT và mua vào các cổ phiếu SGD trên tài khoản chứng khoán của tôi tại VPS tổng giá trị 198.240.000 đồng".

Anh Hiền cho biết, khi phát hiện giao dịch bất thường trên tài khoản của mình, đã liên hệ với Công ty VPS để thông báo nhằm ngăn chặn thất thoát tài sản, vì nghi thông tin bảo mật của mình bị lộ. Do quá hoảng hốt, nên gửi thông tin trong email có ghi nhầm mã chứng khoán VIC thay vì mã SGD và hủy phần giao dịch chưa khớp lệnh vào 13h58' ngay sau khi gửi email cho Công ty VPS thông báo tình trạng khẩn cấp.

"Tuy nhiên, đến ngày 13/6, nhận được thông báo từ Công ty VPS về việc không xác định được thông tin giao dịch bất thường và yêu cầu phản ánh đến cơ quan chức năng khác điều tra, xử lý. Mã chứng khoán SGD bị mua vào nêu trên không có thanh khoản trên thị trường. Công ty còn đổ lỗi cho khách hàng làm lộ lọt thông tin bảo mật cá nhân…", anh Điền buồn bã nói.

Không chỉ anh Điền, mà rất nhiều khách hàng khác cũng lâm vào cảnh tương tự. Chị Nguyễn Thị Diễm Thùy (SN 1983, ngụ TP Hồ Chí Minh), chua xót: "Tôi có mở hai tài khoản chứng khoán tại chi nhánh Công ty VPS tại TP Hồ Chí Minh cho mình và mẹ ruột là bà Nguyễn Thị Luận. Cả hai tài khoản trên, tôi có mua một số cổ phiếu với tổng giá trị khi bán ra hơn 1,1 tỷ đồng. Trước ngày 1/6, tôi nhận được tin nhắn của Công ty VPS rằng mật khẩu tài khoản của tôi bị lộ. Tất cả các trang chứng khoán tôi tham gia, các bạn tư vấn viên đều khuyến nghị khách hàng của mình đổi mật khẩu. Ngày 1/6, tôi đã đổi mật khẩu mới hoàn toàn so với các mật khẩu trước đây theo khuyến cáo của Công ty VPS. Bất ngờ, vào ngày 13/6/2023, cả hai tài khoản chứng khoán của tôi bị đăng nhập bất hợp pháp và bán hết toàn bộ các cổ phiếu trong danh mục".

Chị Thùy kể thêm: "Điều đáng nói, cả hai tài khoản đều cùng mua lại đúng duy nhất là một mã chứng khoán mà kẻ gian đã chuẩn bị trước với giá trên trời và không một ai giao dịch mua bán. Do đặc thù chứng khoán khi bán ra phải rút tiền về chính chủ tài khoản ngân hàng nên chúng dùng một mã cổ phiếu không người giao dịch để bán giá cao. Đối tượng chiếm đoạt tiền từ việc mua cổ phiếu từ tài khoản tôi là thật. Tuy nhiên, tôi nhận lại mớ cổ phiếu như tờ giấy lộn của chúng, không ai giao dịch mua bán.

Chi tiết mua bán cổ phiếu bắt đầu từ 13h ngày 13/6, đều là của bọn "hacker" và lịch sử giao dịch khớp lệnh được đính kèm theo đơn. Sau đó, có đối tượng liên hệ với tôi và nói có bằng chứng kiện Công ty VPS lộ thông tin, mật khẩu 1.200 khách hàng. Tôi cho đối tượng vào nhóm những người cùng cảnh tương tự như mình. Để tạo sự tin tưởng, đối tượng nói mọi người đọc số điện thoại hoặc tài khoản. Đáng ngờ, mọi người đọc xong thì đối tượng đã đọc đúng từng số tài khoản, mật khẩu, địa chỉ, số điện thoại. Tiếp đó, đối tượng gợi ý bán dữ liệu cho nhóm là 100 triệu đồng để làm bằng chứng kiện Công ty VPS".

Trước đó, Ủy ban Chứng khoán Nhà nước đã có văn bản gửi các công ty chứng khoán về việc cảnh báo bảo mật hệ thống giao dịch chứng khoán trực tuyến. Ủy ban Chứng khoán Nhà nước cho biết, qua phối hợp làm việc với Phòng An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao Công an TP Hà Nội, Ủy ban Chứng khoán Nhà nước được biết hiện nay có một số đối tượng tìm cách truy cập vào hệ thống công nghệ thông tin của công ty chứng khoán thông qua các lỗ hổng bảo mật. Các đối tượng này hiện đã nắm được một số thông tin cụ thể của khách hàng như tên truy cập và mật khẩu đăng nhập. Từ đó, có thể chiếm quyền sử dụng tài khoản giao dịch chứng khoán của nhà đầu tư để thực hiện giao dịch chứng khoán, chuyển tiền, rút tiền và chiếm đoạt tài sản của khách hàng.

Ủy ban Chứng khoán Nhà nước vừa có công văn gửi các công ty chứng khoán và đề nghị, các công ty chứng khoán thực hiện ngay. Cụ thể, các công ty chứng khoán thực hiện rà quét lỗ hổng bảo mật hệ thống công nghệ thông tin. Đặc biệt, hệ thống giao dịch chứng khoán trực tuyến và các hệ thống có kết nối mạng internet để kịp thời khắc phục các lỗ hổng bảo mật (nếu có); thực hiện cập nhật các bản vá bảo mật của hệ điều hành máy chủ, cơ sở dữ liệu và các thiết bị công nghệ thông tin khác. Bên cạnh đó, các công ty chứng khoán cần kiểm tra lại các quy trình khi nhà đầu tư thực hiện xác thực giao dịch trực tuyến để khắc phục các rủi ro cho nhà đầu tư khi thực hiện giao dịch; điều chỉnh hệ thống để các giao dịch chuyển tiền, ứng tiền, thay đổi tài khoản của khách hàng phải xác thực OTP tức thời.

Ngoài ra, các công ty chứng khoán cần thông báo công khai, đồng thời có biện pháp liên hệ với từng nhà đầu tư để yêu cầu thay đổi ngay mật khẩu người dùng; cảnh báo về các rủi ro, nguy cơ tiềm ẩn khi để lộ lọt các thông tin về tên truy cập và mật khẩu người dùng, thường xuyên khuyến cáo nhà đầu tư các biện pháp tự bảo vệ thông tin tài khoản, như: Đổi mật khẩu định kỳ, tránh dùng chung mật khẩu giao dịch chứng khoán với các loại tài khoản cá nhân khác.

Để rộng đường dư luận, chúng tôi đã đến chi nhánh Công ty VPS tại TP Hồ Chí Minh để tìm hiểu sự việc. Tuy nhiên, đại diện Công ty VPS đã gây cho chúng tôi rất nhiều khó khăn khi tác nghiệp, như: Yêu cầu phải đến Công an phường Bến Thành trình diện, được cán bộ Cảnh sát khu vực dẫn lên tòa nhà thì họ mới chịu tiếp xúc, vì liên quan đến công tác bảo mật khách hàng chứng khoán (?!). Thậm chí, khi chúng tôi đã trao đổi xong với Công an địa phương và xuất trình thẻ nhà báo, giấy tờ tùy thân, thì đại điện Công ty VPS lại viện cớ yêu cầu phải xuất trình công văn để trả lời sau (?!).