Un client qui a perdu 500 millions peut-il intenter un procès pour un système de sécurité défaillant ?
Non seulement un titulaire de compte ATM a perdu 500 millions de VND, mais de nombreuses autres personnes ont vécu des situations similaires pour des raisons inconnues. Perdre des millions de VND à cause d'un accès à de faux sites web : comment se protéger ?
Scénario parfait pour tromper le code OTP afin de retirer de l'argent du compteUn autre client de Vietcombank a perdu de l'argent sur son compteLes banques devraient arrêter les SMS OTP si elles ne veulent pas que leurs clients perdent de l'argent injustement
Selon les explications de la banque, à partir des informations fournies par le client, il existe une base pour déterminer que ce client a accédé à un faux site Web avec l'adresse http://creatingacreator.com/kob/1/index.htm et que les informations et le mot de passe du client ont été volés à partir de là.
 |
| Instructions d'utilisation du logiciel d'activation smartOTP de Vietcombank (illustration) |
Si le processus de transfert est correct, le titulaire du compte doit saisir un mot de passe à usage unique (OTP) pour que la transaction soit effectuée. Cependant, la titulaire du compte ayant perdu de l'argent a déclaré n'avoir reçu aucun code d'authentification pour ces transactions.
La banque a indiqué qu'il existe deux types de codes OTP : reçus par SMS et smartOTP. Pour obtenir un code smartOTP, les clients doivent pouvoir se connecter au système. Cependant, auparavant, les clients se connectaient au faux site web pour saisir leur nom d'utilisateur et leur mot de passe. Les criminels avaient ainsi « mis la clé de la maison » pour se connecter et créer un smartOTP.
Conformément aux instructions d'installation et d'utilisation de smartOTP de Vietcomank, après avoir téléchargé l'application, les clients doivent saisir le numéro de téléphone enregistré pour le service VCB-SMS Banking. Le code d'activation de l'application leur sera ensuite envoyé.
Ainsi, pour s'inscrire avec succès au service smartOTP, les pirates doivent toujours utiliser le numéro de téléphone du client qui a été directement enregistré lors de l'utilisation de VCB-SMS Banking.
Alors, les clients devraient-ils recevoir et envoyer des codes OTP que les pirates informatiques pourraient utiliser et perdre de l’argent ?
D'un autre côté, si les pirates peuvent saisir n'importe quel numéro de téléphone lors de l'inscription à SmartOTP (qui n'est pas le numéro de téléphone que le client a précédemment enregistré lors de l'utilisation du service VCB-SMS Banking), ce système de sécurité est-il suffisamment sécurisé ?
Un autre scénario possible est qu'un pirate informatique prenne le contrôle de l'appareil d'un client parce que l'appareil est infecté par un logiciel malveillant.
La conclusion de la banque est unilatérale.
Selon l'avocat Tran Ngoc Quy (Barreau de Hô-Chi-Minh-Ville), pour vérifier la responsabilité des deux parties, il faut d'abord vérifier si le client a suivi la procédure de transaction correcte. Cependant, si la banque conclut que le client est en faute, il ne s'agit que d'une interprétation unilatérale.
Les clients qui ne sont pas d’accord avec cette conclusion peuvent intenter une action en justice pour protéger leurs droits.
« Seul un jugement juridiquement exécutoire permettra de savoir clairement qui a raison et qui a tort dans cette affaire. Il s'agit du jugement définitif, et la conclusion de la banque n'est que l'opinion d'une partie, et non un jugement auquel les clients doivent se conformer », a déclaré l'avocat Tran Ngoc Quy.
En accord avec l'opinion ci-dessus, l'avocat Truong Thanh Duc - Centre d'arbitrage international du Vietnam - a déclaré que la conclusion de la banque n'est qu'une conclusion unilatérale et que si les clients ne sont pas d'accord, ils peuvent intenter une action en justice ou demander un arbitrage pour résoudre le problème.
La décision de déposer une plainte ou de demander un arbitrage dépend de la clause du contrat initial entre le client et la banque qui stipule où le litige sera résolu.
S’il y a des signes de crime ou de fraude, les clients peuvent déposer une plainte pénale et demander à la police de résoudre l’affaire.
Un compte vulnérable signifie qu'il y a un problème avec le système de sécurité
M. Vo Do Thang (directeur du centre de cybersécurité ATHENA) a estimé que les services bancaires mobiles ou les services bancaires par Internet sont des services très pratiques que les banques fournissent aux utilisateurs, afin qu'ils puissent effectuer des transactions rapidement et gagner le plus de temps possible.
Cependant, l'incident de perte d'argent prétendument dû à l'accès à un faux lien bancaire peut également amener de nombreuses personnes à s'inquiéter de la sécurité de leurs actifs sur leurs cartes ATM.
L'avocat Truong Thanh Duc a déclaré que même si aucun système de sécurité n'est parfait, il est de la responsabilité de la banque de faire de son mieux pour garantir le plus haut niveau de sécurité pour les actifs des clients.
« Les banques peuvent utiliser d'une manière ou d'une autre, une couche ou plusieurs couches de sécurité, un niveau de sécurité difficile… mais l'objectif le plus élevé reste de garantir une sécurité absolue pour les actifs et les transactions des clients.
« À de rares exceptions près, si un compte est facilement piraté et que de l'argent est perdu, cela signifie qu'il y a un problème avec le système de sécurité », a déclaré M. Truong Thanh Duc.
Les utilisateurs doivent être extrêmement prudents
Selon M. Vo Do Thang, pour se protéger, les clients doivent être extrêmement prudents lorsqu'ils accèdent à des liens ou téléchargent des applications bancaires à partir des marchés d'applications.
Les clients doivent lire attentivement le lien fourni par la banque pour vérifier son exactitude à 100 % avant de saisir le mot de passe pour la transaction. De plus, ne téléchargez pas d'applications bancaires provenant de sources non officielles.
« Vous ne devez télécharger les applications bancaires qu'à partir du lien exact fourni par la banque lors de la présentation du service aux clients », a déclaré M. Thang.
Du côté bancaire, selon M. Vo Do Thang, pour assurer la sécurité, en plus de construire un système de sécurité rigoureux, il faut également prendre en compte le facteur humain, c'est-à-dire les personnes qui exploitent le système.
M. Ngo Tuan Anh, vice-président en charge de la sécurité réseau chez Bkav, a également donné un conseil : les utilisateurs effectuant des transactions sur ordinateur doivent veiller à ne pas cliquer sur les liens envoyés par e-mail ou SMS. En cas de besoin, ils doivent retaper l'adresse sur le site web, car les pirates peuvent facilement falsifier des sites web avec des interfaces identiques à celles du site web réel.
Vous devez également installer un logiciel de sécurité sur votre ordinateur ou votre téléphone pour éviter que d’autres n’installent secrètement des logiciels de suivi pour surveiller nos informations sensibles.
« Nous ne devrions installer que des applications provenant de magasins officiels, tels que Google Play Store ou Apple App Store, et ne devrions pas installer de logiciels provenant de magasins flottants sur Internet, car la plupart de ces logiciels contiennent des codes malveillants qui peuvent suivre et surveiller les informations sur nos téléphones », a déclaré M. Ngo Tuan Anh.
Selon Tuoi Tre
