Đầu năm 2017, Cty A của Việt Nam ký hợp đồng mua bán với Cty B của Nhật Bản để mua máy móc thiết bị.

br class=

Trong thực tiễn, hợp đồng có qui định chỉ định tài khoản thanh toán sau và phương thức thanh toán T/T sẽ rất rủi ro bị tin tặc tấn công. Ảnh: S.T

Phát hiện email giả qua... reply email của người gửi

Bên B chấp nhận cho A thanh toán tiền hàng theo phương thức chuyển tiền T/T sau 30 ngày kể từ ngày nhận hàng. Ngoài ra, hợp đồng cũng có qui định về người thụ hưởng tiền hàng: “thanh toán theo sẽ theo sự chỉ định của người bán”. Thực hiện hợp đồng, B đã giao hàng và chuyển giao bộ chứng từ gốc cho A nhận hàng, trong bộ chứng từ, cùng với vận đơn gốc, còn có Invoice (I/V) và parking list (P/L) do B phát hành đều có mục thông tin tài khoản của người thụ hưởng chính là tài khoản của B. Tất cả thông tin giao dịch từ giao kết hợp đồng, trao đổi thông tin... đến tận khi hoàn thành giao nhận hàng hoá đều được thực hiện thông qua tài khoản email giao dịch của A là abc@teachkie.com.vn và của B là: C.Lee@niko.com - email thật của người đại diện hợp pháp của B có tên là Choo Lee. Đến thời hạn thanh toán, A nhận được một chỉ thị thanh toán và kèm I/V, P/L thay đổi số tài khoản thanh toán sang cho một người thụ hưởng tại Hồng Kông từ người gửi: Lee,Choo.

Lập tức A xuất trình bộ chứng từ gốc (lần 1), chỉ định thanh toán, bản copy I/V và P/L (lần 2) lệnh cho Ngân hàng X chuyển tiền và liền sau đó đã phát hiện mình mất hơn 300.000 USD vào tay tin tặc.

Trong vụ việc nêu trên, thủ đoạn lừa đảo được thực hiện rất tinh vi, tin tặc đã tạo lập email giả na ná email thật và đặt tên mặc định hiển thị người gửi có email C.Lee@nikio.com (email giả) thành tên mặc định là: Lee,Choo để giao dịch với A. Khi nhận được email chỉ thị thanh toán từ email hiển thị người gửi có tên là: Lee,Choo, bên A đã không ghi ngờ mà tiến hành thanh toán theo chỉ dẫn của tin tặc. Sau khi phát hiện bị lừa, A mới kiểm tra bằng cách “reply to” email chỉ dẫn thanh toán và phát hiện ra người gửi chỉ dẫn có email là C.Lee@nikio.com (email giả).

Kẽ hở từ... hợp đồng

Thông thường các vụ bị đột nhập và chỉ định thanh toán cho người thụ hưởng giả mạo đều xuất phát từ nguyên nhân hợp đồng có qui định: “bên mua có nghĩa vụ thanh toán theo chỉ định của bên có quyền trong quá trình thức hiện hợp đồng”. Chính do qui định này làm cho bên mua khi nhận được chỉ thị thanh toán cho người người thụ hưởng khác với bên bán thì luôn tin tưởng rằng đây là sự thật theo đúng như dự liệu, ý định của người bán khi giao kết hợp đồng. Mặc khác, thoả thuận phương thức thanh toán T/T trong hợp đồng cũng là nguyên nhân khác dẫn đến bên mua trở thành “món mồi ngon” của tin tặc vì lý do trách nhiệm ràng buộc của ngân hàng trong việc kiểm tra tính xác thực/phù hợp của chứng từ kèm theo lệnh thanh toán T/T là rất giới hạn, thậm chí được miễn trách trong trường hợp xảy ra rủi ro. Trong vụ việc nêu trên, do trong lệnh yêu cầu thanh toán của Ngân hàng X có nêu rõ: “các bản sao, bản chính của những giấy tờ kèm theo lệnh chuyển tiền này là hoàn toàn giống nhau, mọi sai sót nhầm lẫn sẽ do người yêu cầu chuyển tiền chịu trách nhiềm” nên việc không cảnh báo cho A về sự khác biệt giữa thông tin người thụ hưởng cũng không làm phát sinh trách nhiệm của Ngân hàng X.

Những bài học từ thực tế

Có thể thấy, những đối tượng lừa đảo đều yêu cầu thanh toán đến tài khoản tại ngân hàng của quốc gia thứ ba, khác quốc gia của hai bên giao dịch mang quốc tịch. Đây là một thủ thuật có chủ đích nhằm để tạo rào cản pháp lý cho các bên liên quan. Như vậy, khi nhận được chỉ thị thanh toán đến tài khoản người thứ ba, các DN nên cảnh giác khả năng mình bị lừa là rất cao.

Khác với các giải pháp phòng ngừa rủi ro trong giao dịch điện tử, các DN cũng cần được trang bị cách thức để xử lý vấn đề sau khi phát sinh rủi ro. Sau đây là một vài khuyến nghị DN gặp tình huống tương tự A nên thực hiện:

Thứ nhất, liên hệ cơ quan công an/cảnh sát điều tra tội phạm mạng của quốc gia có tài khoản chỉ định nhận thanh toán, và Công an thẩm quyền của Việt Nam để tố giác tội phạm. Trong trường hợp này, các cơ quan có thẩm quyền tiếp nhận thông tin và thực hiện theo trình tự pháp luật của từng quốc gia. Bên bị hại cần lưu ý trong việc cung cấp các bằng chứng có giá trị pháp lý để các cơ quan có thẩm quyền này có căn cứ tiến hành các thủ tục cần thiết trong phạm vi khuôn khổ quốc gia hoặc quốc tế.

Thứ hai, rà soát lại hệ thống dữ liệu nội bộ của mình bằng các dịch vụ kiểm tra của nhà cung cấp dịch vụ mạng cho DN.

Cuối cùng, là yêu cầu sự phối hợp cùng rà soát của đối tác để giải quyết vấn đề trên cơ sở cùng chia sẻ rủi ro, giảm thiểu thiệt hại. Chỉ trong trường hợp không thể hợp tác, mới nên nhờ đến sự phân xử bởi các cơ quan, tổ chức giải quyết tranh chấp có thẩm quyền theo qui định hợp đồng hoặc theo qui định pháp luật.

Bạn đang đọc bài viết Rủi ro trong giao dịch điện tử (kỳ cuối): Email thật vẫn... giả tại chuyên mục Pháp luật của Báo Diễn đàn doanh nghiệp. Liên hệ cung cấp thông tin và gửi tin bài cộng tác: email toasoan@dddn.com.vn, hotline: (024) 3.5771239,