Nhiều khách hàng của VPS đã gửi đơn kiến nghị đến UBCKNN về việc bị kẻ xấu xâm nhập vào tài khoản chứng khoán, giao dịch bất thường để chiếm đoạt tài sản.
Theo phản ánh của anh Nguyễn Hữu Điền (SN 1993, tạm trú phường 6, quận Bình Thạnh, TP Hồ Chí Minh) tới Báo Công an Nhân dân: "Tôi đang giao dịch chứng khoán với đơn vị cung cấp dịch vụ là Công ty VPS, có chi nhánh tại TP Hồ Chí Minh, tầng 3, số 76 Lê Lai, phường Bến Thành, quận 1. Vào lúc 13h26' và 13h58' ngày 12/6, tôi bị kẻ gian đánh cắp thông tin và giao dịch mua bán bất thường trên tài khoản, tổng giá trị thiệt hại gần 200 triệu đồng, chưa bao gồm các khoản thiệt hại giá trị thặng dư, chi phí cơ hội...
Cụ thể, đối tượng đã bán các mã cổ phiếu BOT, CTC, NBB, PTL, PVP, TNT và mua vào các cổ phiếu SGD trên tài khoản chứng khoán của tôi tại VPS tổng giá trị 198.240.000 đồng".
"Tuy nhiên, đến ngày 13/6, nhận được thông báo từ Công ty VPS về việc không xác định được thông tin giao dịch bất thường và yêu cầu phản ánh đến cơ quan chức năng khác điều tra, xử lý. Mã chứng khoán SGD bị mua vào nêu trên không có thanh khoản trên thị trường. Công ty còn đổ lỗi cho khách hàng làm lộ lọt thông tin bảo mật cá nhân…", anh Điền buồn bã nói.
Khách hàng tham gia chứng khoán bị kẻ gian chiếm đoạt hàng trăm triệu đồng
Trong đơn phản ánh gửi Báo Lao động và Xã hội (báo dân sinh), chị Nguyễn Thị Diễm Thùy (SN 1983, ngụ TP Hồ Chí Minh) cho biết mở hai tài khoản chứng khoán tại Công ty VPS, có chi nhánh tại tầng 3, số 76 Lê Lai, phường Bến Thành, quận 1, TP.HCM cho mình và mẹ ruột là bà Nguyễn Thị Luận. Cả hai tài khoản này mua một số cổ phiếu với tổng giá trị khi bán ra hơn 1,1 tỷ đồng.
Trong đơn phản ánh, chị Thùy cho biết: "Ngày 1/6/2023, tôi nhận được tin nhắn của Công ty VPS rằng mật khẩu tài khoản bị lộ. Các bạn tư vấn viên đều khuyến nghị khách hàng của mình đổi mật khẩu. Ngay trong ngày, tôi đã tiến hành đổi mật khẩu mới hoàn toàn so với các mật khẩu trước đây theo khuyến cáo của VPS, thế nhưng đến ngày 13/6/2023, bắt đầu vào khoảng 13:14 phút, cả hai tài khoản chứng khoán của tôi bị đăng nhập bất hợp pháp và bán hết toàn bộ các cổ phiếu trong danh mục và cả hai tài khoản đều cùng mua lại đúng duy nhất là một mã chứng khoán mà kẻ xấu đã chuẩn bị trước với giá trên trời và không một ai giao dịch mua bán.
Theo chị Thùy, do đặc thù chứng khoán khi bán ra phải rút tiền về chính chủ tài khoản ngân hàng nên kẻ xấu đã dùng một mã cổ phiếu không người giao dịch để bán giá cao. “Tiền bọn chúng cướp được từ việc mua cổ phiếu từ tài khoản tôi là thật, nhưng tôi thì nhận lại mớ cổ phiếu như tờ giấy lộn, không ai giao dịch mua bán” – Chị Thùy cay đắng.
“Chi tiết mua bán cổ phiếu bắt đầu từ 13h ngày 13/06/2023 đều là của bọn hacker và lịch sử giao dịch khớp lệnh được đính kèm theo đơn. Sau khi đăng tải sự việc lên mạng xã hội, có một đối tượng đã liên hệ với tôi và cho biết có bằng chứng VPS lộ thông tin và mật khẩu 1.200 khách hàng. Sau khi tôi cho đối tượng vào group cộng đồng chứng khoán để kiểm tra thì mọi người đều vỡ lẽ, bởi khi các thành viên cung cấp số điện thoại, tài khoản, thì đối tượng kia đã đọc đúng tài khoản và mật khẩu, địa chỉ, số điện thoại, đồng thời đòi bán dữ liệu cho nhóm là 100 triệu để làm bằng chứng kiện VPS, nhưng chúng tôi sợ vi phạm pháp luật khi mua bán dữ liệu cá nhân nên không mua. Giờ hacker trước mặt mà mọi người trong nhóm không biết làm sao để bắt chúng được” – chị Thùy bất lực.
Tương tự với trường hợp của anh Vũ Thế Dương, trú tại phường Kiến Hưng, quận Hà Đông – Hà Nội, ngày 13/06/2023, tài khoản chứng khoán của anh đã bị kẻ xấu đánh cấp thông tin và giao dịch mua bán bất thường. Số cổ phiếu mã C47 của anh có giá trị khoảng 300 triệu đồng đã bán gần như toàn bộ. Sau đó, kẻ xấu đã mua vào các mã SGD giá trị 37,202,000 đồng; PJS giá trị 79,840,000 đồng; SDU giá trị 40,500,000 đồng và SIC giá trị 99,840,000 đồng.
Những cổ phiếu bị đặt mua đều là những cổ phiếu không có thanh khoản, giảm sàn liên tiếp nhiều phiên sau đó. Còn cổ phiếu chủ lực ban đầu là C47 đã có những nhịp tăng ngay sau đó, gây thiệt hại không nhỏ về lợi nhuận đầu tư.
Anh Dương cho biết ngay thời điểm phát hiện giao dịch bất thường liên quan tới bảo mật của hệ thống, anh đã liên hệ với Công ty Cổ phần Chứng khoán VPS – là đơn vị cung cấp dịch vụ (Công ty VPS), trụ sở 65 Cảm Hội, Phường Đống Mác, Quận Hai Bà Trưng, Hà Nội, qua tổng đài, email và nhân viên quản lý tài khoản để kiểm tra và được hướng dẫn thay đổi mật khẩu.
“Đến ngày 14/06/2023, tôi nhận được thông báo từ VPS về việc không xác định được thông tin giao dịch bất thường và chuyển công an điều tra thêm. Đến nay đã hơn 2 tháng trôi qua, nhưng vẫn chưa nhận được câu trả lời thỏa đáng từ VPS khiến tôi rất thất vọng” – anh D. bức xúc.
Anh Dương hoang mang, trước đó, ngày 09/06/2023, phía VPS đã gửi cảnh báo đổi mật khẩu và tôi cũng đã thực hiện theo hướng dẫn, nhưng vẫn bị lộ và bị bán sạch. Nghiêm trọng hơn, sau khi tìm hiểu qua mạng xã hội, chúng tôi còn phát hiện có đối tượng rao bán dữ liệu cá nhân, trong đó có dữ liệu về thông tin tài khoản chứng khoán của chúng tôi tại VPS.
Trước đó hồi cuối tháng 3/2023, UBCKNN đã phát đi cảnh báo bảo mật hệ thống công nghệ thông tin của công ty chứng khoán.
Qua phối hợp công tác với Phòng An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao - Công an Thành phố Hà Nội, Ủy ban Chứng khoán Nhà nước (UBCKNN) được biết hiện nay có một số đối tượng tìm cách truy cập vào hệ thống công nghệ thông tin của công ty chứng khoán (CTCK) thông qua các lỗ hổng bảo mật. Các đối tượng này hiện đã nắm được một số thông tin cụ thể của khách hàng như tên truy cập và mật khẩu đăng nhập, từ đó có thể chiếm quyền sử dụng tài khoản giao dịch chứng khoán của nhà đầu tư để thực hiện giao dịch chứng khoán, chuyển tiền, rút tiền và chiếm đoạt tài sản của khách hàng.
Ủy ban Chứng khoán Nhà nước đã có công văn gửi các công ty chứng khoán và đề nghị, các công ty chứng khoán thực hiện ngay. Cụ thể, các công ty chứng khoán thực hiện rà quét lỗ hổng bảo mật hệ thống công nghệ thông tin. Đặc biệt, hệ thống giao dịch chứng khoán trực tuyến và các hệ thống có kết nối mạng internet để kịp thời khắc phục các lỗ hổng bảo mật (nếu có); thực hiện cập nhật các bản vá bảo mật của hệ điều hành máy chủ, cơ sở dữ liệu và các thiết bị công nghệ thông tin khác.
Bên cạnh đó, các công ty chứng khoán cần kiểm tra lại các quy trình khi nhà đầu tư thực hiện xác thực giao dịch trực tuyến để khắc phục các rủi ro cho nhà đầu tư khi thực hiện giao dịch; điều chỉnh hệ thống để các giao dịch chuyển tiền, ứng tiền, thay đổi tài khoản của khách hàng phải xác thực OTP tức thời.
Ngoài ra, các công ty chứng khoán cần thông báo công khai, đồng thời có biện pháp liên hệ với từng nhà đầu tư để yêu cầu thay đổi ngay mật khẩu người dùng; cảnh báo về các rủi ro, nguy cơ tiềm ẩn khi để lộ lọt các thông tin về tên truy cập và mật khẩu người dùng, thường xuyên khuyến cáo nhà đầu tư các biện pháp tự bảo vệ thông tin tài khoản, như: Đổi mật khẩu định kỳ, tránh dùng chung mật khẩu giao dịch chứng khoán với các loại tài khoản cá nhân khác.
Về sự việc trên, bà Phạm Thị Hương – Phó Chánh thanh tra Ủy ban Chứng khoán Nhà nước (UBCKNN) cho biết, vừa qua có rất nhiều khách hàng của VPS đã gửi đơn kiến nghị đến UBCKNN về việc bị kẻ xấu xâm nhập vào tài khoản chứng khoán để chiếm đoạt. Hiện nay sự việc đã được cơ quan công an đã vào cuộc điều tra”.
Trung Anh (t/h)