Ngày 20/05/2024, tài khoản TCBS của mình bị “hacker” đặt lệnh bán toàn bộ số cổ phiếu SHB trong tài khoản (May mắn mới chỉ khớp được 1/2). Điều đáng nói đây là lần thứ 2 tài khoản của mình gặp phải vấn đề này, trước đây vài tháng cũng xảy ra trường hợp tương tự với mã cổ phiếu VND ngay ở chân sóng (Bị bán toàn bộ)

Lần đó, mình tưởng do nhầm lẫn của mình vì khi đó mình vội có việc ra ngoài, lệnh mặc định để Max Số Lượng và thiết lập xác nhận giao dịch qua khuôn mặt nên mình nghĩ có thể trong lúc vội vã mình chạm tay nhầm đặt lệnh bán và ứng dụng quét khuôn mặt để xác thực giao dịch nên mình không tra cứu

Nhưng ngày hôm qua, sự việc lặp lại trong lúc mình đang không cầm điện thoại thì sự việc không còn là ngẫu nhiên nữa rồi. Và qua đây, bộc lộ 1 loạt sự yếu kém của TCBS trong vấn đề bảo mật tài khoản khách hàng và hỗ trợ khách hàng

TCBS Bị Có Bị Hack Không?
Để trả lời câu hỏi này, hãy đi ngược lại quá trình từ lúc bắt đầu tạo tài khoản.

1. Số tài khoản chứng khoán của TCBS hiện có 10 ký tự, gồm 105CXXXXXX. Trong đó 06 ký tự cuối đang được mặc định là 06 số cuối của số điện thoại khách hàng dùng để đăng ký mở tài khoản.
   Sau này, TCBS có cung cấp thêm dịch vụ số đẹp nhưng vẫn GIỚI HẠN 10 KÝ TỰ theo cấu trúc trên => USERNAME THỰC CHẤT CHỈ CÓ 6 KÝ TỰ, bao gồm Số và Chữ

Ngoài ra, TCBS còn mặc định kích hoạt việc Đăng Nhập Bằng Số Điện Thoại

=> Thể hiến sự yếu kém trong việc bảo vệ thông tin tin đăng nhập. Việc dò username là quá dễ dàng rồi

2. Mật khẩu mặc định TCBS cung cấp cho người dùng khi Mở Tài Khoản Mới/Yêu Cầu Cấp Mật Khẩu Mới là 1 CHUỖI 6 KÝ TỰ, chỉ bao gồm CHỮ THƯỜNG & SỐ

=> Thể hiến sự yếu kém trong việc bảo vệ mật khẩu khách hàng khi không cung cấp Mật Khẩu Mạnh. Việc dò password là quá dễ dàng rồi

3. Và bạn có tin không, 1 công ty chứng khoán hàng đầu Việt Nam lại không hề có cơ chế phòng chống Brute Force Attack (Dò Mật Khẩu). Các bạn có thể thử đăng nhập TCBS vô số lần mà không hề bị ngăn chặn

(Có phòng chống kiểu cù lần như mấy Ngân Hàng Việt Nam, cụ thể luôn là TCB đi, thì cũng có cái cơ chế đăng nhập 5 lần không được thì…khóa luôn tài khoản khách hàng haha)

Nói đến đây thì chắc các bạn đã hiểu sự yếu kém của TCBS trong vấn đề bảo mật tài khoản khách hàng. Còn việc TCBS có bị hack vào hệ thống hay không? Điều này chỉ có trời biết, đất biết, hacker biết còn mình không biết, bạn không biết và kể cả TCBS cũng chẳng biết luôn =))

Chắc chắn đã có nhiều cuộc tấn công Brute Force Attack được diễn ra và có rất nhiều tài khoản đã bị lộ thông tin. Các bạn đọc được bài viết này, vui lòng chia sẻ cho người thân, bạn bè để đồi ngay mật khẩu nhé. Và cần thiết thì đổi luôn công ty chứng khoán cho an toàn =))

4. Thêm 1 sự yếu kém nữa trong bảo mật là bạn có thể đăng nhập trên mọi thiết bị mới mà không hề có bất kỳ thông báo bảo mật nào được gửi đến thiết bị cũ hoặc email/sđt được đăng ký

Lỗi ở Người Dùng?
Lúc tạo tài khoản, mình không có nhu cầu dùng nên không đổi password ngay. Sau này, khi có nhu cầu sử dụng, mình nhập thông tin qua trình Quản Lý Password nên mình cũng quên luôn việc này - Lại lộ thông 1 sự yếu kém về bảo mật tài khoản khách hàng khi không yêu cầu thay đổi password định kỳ

Do đó, việc mình bị lộ thông tin tài khoản là hoàn toàn có thể xảy ra qua các cuộc tấn công cuộc tấn công Brute Force Attack vì sự yếu kém trong việc bảo mật thông tin khách hàng như đã nói ở trên

iOTP bị lấy như thế nào?
Đầu tiên, khẳng định luôn là điện thoại mình không bị hack và không có chuyện mình bị lừa cung cấp iOTP cho ai cả. Vấn đề dường như ở cách thiết kế lấy iOTP của TCBS

Ở lần đầu tiên, mình có kích hoạt việc xác thực giao dịch bằng khuôn mặt. Nên khi xảy ra trong lúc vội vã, mình nghĩ lỗi là do mình
Ở lần thứ 2 này, mình đã tắt việc xác thực giao dịch bằng khuôn mặt. Nhưng sau khi sự việc xảy ra, mình kiểm tra thì thấy tính năng này lại bị bật lên!

Vậy tính năng này nguy hiểm như thế nào?
Khi bạn kích hoạt chức năng Xác Thực Sinh Trắc Học, nếu máy bạn chỉ hỗ trợ vân tay, khi có yêu cầu xác thực iOTP từ thiết bị khác, TCBS sẽ hiển thị thông báo “Quý khách có yêu cầu xác thực iOTP. Bấm vào đây để thực hiện”, bạn phải ấn Đồng Ý trước khi quét vân tay
Nhưng điều này dường như không xảy (Mình chưa có máy test lại nhưng theo trí nhớ thì là như vậy) nếu máy bạn hỗ trợ Xác Thực Khuôn Mặt, sẽ chẳng có thông báo nào cả mà app sẽ hiện ngay lên trang xác thực. Nếu bạn đang sử dụng điện thoại trong lúc đó, bạn rất dễ ấn nhầm vào nút quét khuôn mặt vì nó giống như thông báo quét khuôn mặt để đăng nhập lại hệ thống và thế là xong!

Ai đã bán toàn bộ số cố phiếu SHB & VND của mình? Mục đích là gì?
Ở lần bị bán trước đó, tài khoản của mình đang nắm giữ VIC và VND
Ở lần bị bán này, tài khoản của mình nắm giữ VIC và SHB

Có 1 sự trùng hợp trong cả 2 lần là mình đều đang Full Margin (ở mức an toàn nên không có chuyện bị bán giải chấp ở đây nhé) và chỉ bị kê lệnh bán toàn bộ số cổ phiếu VND & SHB ở mức giá bán thấp nhất tại thời điểm đó (Đợi Lênh Mua lên để khớp), vào những phút cuối của phiên giao dịch (trước ATC). Số cố phiếu VIC thì không hệ bị đặt lệnh bán.

Vậy ai đã làm điều này? Mục đích là gì?

Trường Hợp 1: Tài khoản của mình bị xâm nhập trái phép bởi Hacker và lệnh bán đơn giản là sự quậy phá
Vậy tại sao hacker không quậy cho bung nóc bằng việc BÁN GIẢI CHẤP TOÀN BỘ SỐ CỔ PHIẾU CỦA MÌNH VỚI MỨC GIÁ SÀN. Tại sao chỉ đặt lệnh bán ở mức giá bán thấp nhất tại thời điểm đó (Đợi Lênh Mua lên để khớp)

Trường Hợp 2: TCBS/Nhân Viên TCBS tự ý bán toàn số cổ phiếu của mình vì 1 mục đích nào đó
Xin mọi người cho ý kiến về vấn đề này

HỖ TRỢ KHÁCH HÀNG 1 CÁCH MÁY MÓC. THIẾU TÔN TRỌNG KHÁCH HÀNG. THIỆT HẠI NÀY AI CHỊU?
Ngay khi sự việc xảy ra, mình đã lập tức đổi mật khẩu và tìm mọi cách liên hệ với TCBS qua Hotline và Email. Và phải qua hàng chục cuộc gọi mới có thể liên hệ được với nhân viên TCBS

Mình có trình bày sự việc và yêu cầu kiểm tra ai là người đặt lệnh này. Mình KHÔNG HỀ YÊU CẦU TẠM KHÓA TÀI KHOẢN CỦA MÌNH vì mình biết và nhận thức được vấn đề là ở đâu. Nhưng NHÂN VIÊN TCBS sau đó thông báo ĐÃ KHÓA TÀI KHOẢN CỦA MÌNH VÌ LÝ DO BẢO MẬT. Yêu cầu mình ra trụ sở Techcombank gần nhất để mở khóa (Mình ở Đà Nẵng. TCBS chỉ có trụ sở tại Hà Nội & TPHCM)

Mình ngay lập tức chạy ra Techcombank thì bên ngân hàng nói không hỗ trợ với thái độ rất dửng dưng! Lại mất 1 khoảng thời gian để mình gọi lên TCBS và kết nối 2 bên với nhau, thì bên TCBS nhờ bên TCB hỗ trợ viết cho mình 1 cái giấy yêu cầu mở khóa tài khoản và ký vào đó. Mình làm theo. Những tưởng vậy là xong. Nhưng không, TCBS yêu cầu gửi cái giấy ra Hà Nội, khi nào nhận được thì mới mở khóa cho mình. Và gọi cái giấy yêu cầu mở khóa đấy là “Hồ Sơ Gốc” =)) Trong khi mình đã ra Techcombank xác thực đầy đủ thông tin (Ngày trước cũng mở tài khoản TCBS qua ứng dụng TCB) và yêu cầu mở khóa. Hài nữa là thông báo với mình khoảng 3-5 ngày mới nhận được trong khi chuyển phát hỏa tốc từ Đà Nằng → Hà Nội chậm nhất cũng chỉ 24h đi. Chẳng lẽ TCBS hết tiền nên yêu cầu TCB chuyển phát chậm cho mình để tiết kiệm chi phí =))

Tài khoản của mình không phải con số nhỏ và 3-5 ngày không giao dịch được thì ai sẽ đền bù cho mình thiệt hại này? Mình đã yêu cầu TCBS chỉ cần yêu cầu TCB scan hoặc fax trước và mở khóa để mình giao dịch, tạm chặn tính năng rút tiền ra khỏi hệ thống là được, nhưng lại bị từ chối 1 cách vô lý

Và trong quá trình hỗ trợ nhân viên làm việc rất máy móc và ức chế, tự ý ngắt điện thoại khi đang nói chuyện với khách hàng. Hứa gọi lại cho khách hàng nhưng không bao giờ chủ động gọi lại, toàn mình phải gọi lên. Kênh hỗ trợ qua email thì đã gửi nửa ngày trời không ai hồi đáp trong khi hỗ trợ qua điện thoại thì báo bên em sẽ kiểm tra và hồi đáp qua email ngay =))

Nói chung sau sự việc này thì bye bye TCBS nhé. NAV của mình không phải con số nhỏ mà còn bị đối xử kiểu này thì mấy anh chị em nhỏ lẻ xác định nếu xảy ra chuyện thì tha hồ bị hành nha =))

SELL1220×399 50.7 KB

NAV tầm này đúng là nên chọn mặt gửi vàng.
Tôi cũng chứng kiến vài pha TCBS và TCB chết app, nên tôi không sử dụng app của bên này.

vừa mới qua xài tcbs được 5 tháng mà ae làm mình rén thế nhỉ. haizzz

nếu bị hack tấn công thì đã đặt giá sàn là khớp hết chứ ko canh ke giá để khớp 1/2 thế này đâu. Theo Mình hiểu có thể là vậy:)))

@GoHodl: Ngày xưa, TCBS đi đầu trong việc miễn phí giao dịch. Với NAV lớn thì sẽ tiết kiệm được nhiều chi phí. Nhưng giờ lợi thế đó không còn nữa khi hiện có rất nhiều công ty chứng khoán đã áp dúng việc này cùng với việc phí margin cao ngất ngưỡng thì mình cũng đã quyết định từ bỏ nó trước khi sự việc này xảy ra rồi, chỉ là đang đu đỉnh nên chưa chuyển được ngay thôi. Chọn công ty nào có đội ngũ hỗ trợ nhiệt tình khi xảy ra sự cố là được bạn nhé

@kalo: Với cơ chế bảo mật thế này thì bạn cứ rén dần là vừa. Đi sâu vào vớ vẩn lại có VND thứ 2 ;))

@Diembungphat: Câu hỏi này mình cũng đã đặt ra ở trên

Nếu Broker đặt lệnh sẽ có ID của từng bạn và sẽ có yêu cầu xác nhận lệnh nếu bạn ko ủy quyền cho cty TCBS( hiện tại ko có ủy quyền cho cá nhân). Còn nếu dịch vụ tài chính bán thì có thể ko cần xác nhận lệnh( mà bạn đã cân đối được margin tk thì khả năng nay chắc là ko phải)

1. Bạn ghi lại log toàn bộ kiếu nại của bạn đã gửi mail cho ai gọi cho 2 và xử lý ntn?
   2, Bạn viết 1 đơn kiếu nại bao gồm:

• Kính gửi Công ty CK abcd
• Kính gửi UBCK
• Kính gửi hội bảo vệ người tiêu dùng
• Kính gửi Công an TP Đà Nẵng
• Báo thanh niên, vnexpress … gì đó
  → Họ có xử hay ko là quyền của họ quyền lợi bị xâm phạm thì bạn cứ phải làm cho đầy đủ thủ tục.
  Nhưng bán rồi ko biết tiền bạn có bi mất hay ko nhỉ

Mình không có Broker nên trường hợp này bị loại bỏ
Margin của mình cũng ở mức an toàn

Theo suy đoán thì nếu tài khoản của mình bị xâm nhập bởi bên thứ 3, khả năng lớn do mình vô tình xác thực iOTP khi lướt ứng dụng do sự yếu kém về thiết kết app trong việc xác thực khuôn mặt và sự lỏng lẻo trong cơ chế đăng nhập của TCBS (Cơ chế này đã tồn tại nhiều năm và chắc chắn đã bị nhiều nhóm hacker khai thác) (Còn việc ai kích hoạt lệnh bán để mình xác thực thì phải nhờ đến cơ quan chức năng thôi). Còn nếu TCBS có làm thì chắc chắn họ cũng sẽ không nhận đâu, có tìm ra người làm thì cũng xử lý nội bộ thôi nếu không có cơ quan chức năng vào cuộc. Nhưng cái mình bức xúc nhất ở đây là cách hỗ trợ của TCBS khi xảy ra sự cố khi xử lý rất máy móc, vô trách nhiệm dù tài khoản NAV của mình không phải là nhỏ. Mình mở tài khoản chứng khoán qua TCB và đã ra TCB xác thực mở khóa theo yêu cầu nhưng phải đợi cái giấy yêu cầu mở khóa được chuyển đến tận nơi mới được mở khóa thì quá buồn cười. Trong khi mình chỉ nhờ yêu cầu kiểm tra giao dịch, không hề yêu cầu khóa tài khoản của mình. Ai sẽ là người đền bù thiệt hại trong thời gian tài khoản của mình bị khóa đây? Nhân viên hỗ trợ thì quá kém nghiệp vụ, không trả lời được các câu hỏi mình đặt ra thì chỉ biết lặp đi lặp lại bên em sẽ cố gắng xử lý trong thời gian sớm nhất (khi nhận được tờ giấy yêu cầu mở khóa kia) rồi tự ý cúp máy =))

bác nào muốn giao dịch cty có hệ thống ổn định, hỗ trợ nhiệt tình, phí và margin hợp lý có thể inbox em nhé

1 kinh nghiệm của bạn mình sống ở chung cư có quán nhậu 1 2 giờ sáng làm ồn ào ko ngủ được đã nhắc nhở CA phường 5 lần ko xử lý bạn mình chỉ làm 1 cái đơn nhưng chỉ gửi CA phường nhưng bao gồm kính gửi:- GĐ công an TP, Sở Văn Hóa và thông tin, CA quận , rồi đến CA phường vậy là hôm sau xử lý xong

Thứ 2 phải tự bảo vệ mình mình thì:

1. Dùng iphone và cài thêm 1 số chương trình diệt virus chỉ và trăm nghìn 1 năm
2. Dùng 1 máy giải trí 1 máy công việc
3. Ko cài các ứng dụng linh tinh vào máy công việc
4. 2 tuần đổi pass 1 lần.
   → Với hệ thống trời thì bảo mật ko xử lý hết dc haker đâu bạn

cái này là con chung không ai khóc rồi đó bạn:))). suy cho cùng thì ko thấy ai chịu trách nhiệm trong này và khi bạn gọi lên cũng chả biết ai đang bốc máy:))) trừ khi bạn làm quá căng ra trực tiếp chi nhánh TCBS chứ ko phải ngân hàng TCB.

Bạn đã sai nguyên tắc bảo mật ngay từ đầu là ko chịu đổi pass mà vẫn để mật khẩu default mà nav thì vài tỷ chứ có phải vài trăm k như mình đâu
Nên cài 1 chương trình diệt virus có phí năm tầm 4-500k nhưng sẽ cảnh báo những ứng dụng chạy đáng ngờ trong máy mình để kịp cô lập

bác giàu mới mua 2 máy xài như vậy:))), chứ mn thường xài 1 điện thoại 1 số đt full hết:)), với lại 2 tuần đổi pass 1 lần thì nhớ cho ngu người luôn

Bạn đổi có quy luật ko cần phải nhớ nhiều mình ví dụ nhé:
Cuoivodaunam2024 → cUoivohainam2024 → cuOivobanam2024
Bạn chỉ cần tịnh tiến ký tự theo các vợ là bạn đâu cần nhớ nhiều dùng hết đến cưới vợ 20 lại quay lại kkk
Nav 4 5 tỷ mua cái điện thoại 20-30tr thì ít hay nhiều?

1. Mình dùng iPhone và đảm bảo điện thoại của mình không bị hack (Vì bị hack thì thiệt hại và mức độ ảnh hưởng còn lớn hơn nhiều)

2. Mình nhận 1 phần trách nhiệm trong việc quản lý mật khẩu lỏng lẻo và lỡ tay xác thực iOTP (nếu có). Và ở đây mình cũng chưa bàn đến thiệt hại của việc bị bán, chỉ đang rất bức xúc trong việc hỗ trợ giải quyết vấn đề tài khoản của mình

3. Nếu mình đang ở Hà Nội thì mình đến ngay trụ sở TCBS làm việc rồi. Hài 1 cái là mở tài khoản qua TCB thì được nhưng TCB xác thực hộ thì không =))

Bạn có đến trụ sở thì họ nói ko biết bạn lm dc gì? Chẳng lẽ họ bảo chính họ bán của bạn?

Bạn có giám khẳng định 100% bạn ko cài bất cứ app nào ngoài tcbs, ko dùng wifi bên ngoài chỉ dùng 4G giao dịch thì mình tin máy bạn an toàn 99%
Còn ko thì ko có gì chắc chắn là ko bị cả kkk

đến chịu bác:)))))

@mr_le198x Việc mình cần là mở tài khoản để mình giao dịch còn việc truy cứu vụ việc ai là người kích hoạt lệnh bán thì mình cũng không hy vọng gì đâu Chỉ cảnh báo cho mọi người biết mà chọn mặt gửi vàng thôi Còn không có khả năng điện thoại của mình bị hack đâu. Mình không phải chuyên gia nhưng cũng không phải không biết gì về bảo mật

ps: Mình có tầm hơn chục cái điện thoại rồi. Bạn yên tâm nha ^^^