Dân Mỹ có lẽ không ai không biết Zelle – một ứng dụng gửi-nhận tiền vô cùng tiện lợi. Tuy nhiên, ngày càng có nhiều vụ trộm tiền từ Zelle. Một ngày đẹp trời, tài khoản của bạn đột nhiên bị vét sạch không còn một xu. Tên lừa đảo ma quái nào đó đã đột nhập và “Zelle” tất cả những gì bạn dành dụm trong tài khoản.
Câu chuyện được Fox thuật mới đây là một điển hình. Phải mất nhiều năm làm việc chăm chỉ và tiết kiệm từng xu, Kyla Cook mới có thể tích lũy $8,000 trong tài khoản. Nhưng chỉ trong vài giây, bọn lừa đảo đã khoắng sạch. Mọi chuyện bắt đầu từ một email từ Amazon, thông báo rằng Cook sẽ bị tính phí $1,064 cho một chiếc iPhone. Không chỉ từ Amazon, còn có nhiều lần rút tiền từ hai tài khoản tiết kiệm của Cook, một từ Wells Fargo và một từ Chase. Tổng cộng, nạn nhân bị “trộm” hết $8,000!
Zelle được vận hành bởi Early Warning Services (EWS), một công ty được thành lập và sở hữu bởi bảy ngân hàng: Bank of America, Capital One, JPMorgan Chase, PNC, Truist, U.S. Bank và Wells Fargo. EWS, có trụ sở tại Scottsdale, Arizona, quản lý cơ sở hạ tầng kỹ thuật của hệ thống. 1,425 ngân hàng và hiệp hội tín dụng sử dụng Zelle có thể tùy chỉnh ứng dụng và cài đặt bảo mật thêm cho riêng họ.
Được tạo ra vào năm 2017 bởi các ngân hàng lớn nhất nước Mỹ nhằm giúp khách hàng chuyển tiền kỹ thuật số một cách chóng vánh, Zelle được nhúng trong các ứng dụng ngân hàng và cho đến nay là dịch vụ chuyển tiền được sử dụng rộng rãi nhất Mỹ. Năm 2021, tổng số tiền giao dịch qua Zelle lên đến $490 tỷ, so với $230 tỷ thông qua Venmo, đối thủ của nó. Tuy nhiên, Zelle đang được bọn tội phạm khai thác mạnh trong khi hệ thống ngân hàng nói chung vẫn còn bó tay ngồi nhìn. New York Times (ngày 6-3-2022) cho biết, theo Javelin Strategy & Research, gần 18 triệu người Mỹ đã bị lừa đảo thông qua các vụ lừa đảo liên quan đến ví kỹ thuật số trong năm 2020.
Vấn đề ở chỗ, cho đến thời điểm này, khi nhận được báo cáo vụ việc nào đó từ khách hàng bị lừa, ngân hàng nói chung vẫn trả lời đại loại rằng, chúng tôi xin ghi nhận. Giải quyết thế nào thì chẳng ai nói gì. Các ngân hàng nói rằng việc trả lại tiền cho những khách hàng bị lừa không phải là trách nhiệm của họ, vì luật liên bang về chuyển tiền điện tử – gọi là Quy định E (Regulation E) – yêu cầu họ chỉ có trách nhiệm đối với các giao dịch “trái phép” (“unauthorized” transactions).
Nạn nhân Bruce Barth nói rằng nếu ngân hàng cứ tảng lờ như thế thì chẳng khác gì họ cấu kết với đám trộm đểu. Cuối năm 2020, khi Bruce nhập viện vì Covid-19, chiếc điện thoại của ông bị mất cắp. Thế là tên trộm rút tiền mặt tại một ATM, đồng thời Zelle ba lần với tổng số tiền $2,500. Cả ba tài khoản đều ở Bank of America, nơi Barth là khách hàng hơn 30 năm. Khi Barth báo cáo, ngân hàng đồng ý hoàn trả tiền mặt và các khoản mất mát từ việc rút tiền trong thẻ tín dụng nhưng họ không bồi hoàn những thiệt hại từ giao dịch Zelle. Họ nói rằng các giao dịch được “chuẩn y” bằng mã xác thực gửi đến một số điện thoại được dùng trong giao dịch trước đó. Về cơ bản, Bank of America nói rằng các giao dịch của Zelle đã được ủy quyền (“authorized”) – ngay cả khi điện thoại của khách hàng bị đánh cắp!
Thủ thuật dưới đây là rất điển hình của cách thức moi tiền bạn bằng Zelle. Đầu tiên, bạn nhận được tin nhắn trong điện thoại, có vẻ như gửi đến từ ngân hàng của bạn (Wells Fargo hoặc Bank of America…). Tin nhắn yêu cầu bạn xác thực rằng bạn có ủy quyền chuyển tiền từ tài khoản của mình cho ai đó không. Dĩ nhiên bạn nhắn trả lời “Không”. Ngay sau đó, một người tự nhận là đại diện Wells Fargo (hoặc Bank of America…) gọi trực tiếp đến cho bạn.
Người gọi thông báo rằng tài khoản của bạn bị đột nhập, có “đứa” muốn ăn cắp tiền của bạn. Bạn hết hồn. Giờ làm sao?! Không sao, bạn chỉ cần thực hiện việc chuyển khoản ngược lại cho chính mình thông qua Zelle. “Nhân viên ngân hàng” đồng thời cung cấp cho bạn “mã PIN mới”. Những gì tiếp theo xảy ra là số tiền mà “nhân viên ngân hàng” trước đó nói rằng bạn có nguy cơ bị trộm và yêu cầu bạn thực hiện việc chuyển khoản ngược lại sẽ chạy thẳng vào túi thằng trộm, bằng “đường” Zelle!
Một số ngân hàng gần đây đã nhắc nhở khách hàng. Chẳng hạn Wells Fargo. Ngân hàng này cảnh báo rằng khách hàng không nên chia sẻ mã truy cập, PIN hoặc mật khẩu với bất kỳ ai khi gọi đến yêu cầu. Nó nói nó là đại diện ngân hàng của bạn thì mặc kệ nó. Wells Fargo cho biết họ chỉ gửi mã khi thấy một thao tác của chính khách hàng, chẳng hạn đăng nhập vào ngân hàng trực tuyến hoặc gửi tiền. Wells Fargo nhấn mạnh rằng họ không bao giờ yêu cầu khách hàng gửi tiền cho bất kỳ ai, để “chuyển khoản ngược” (“reverse a transfer”), “nhận tiền hoàn lại” (“receive a refund”) hoặc bất kỳ gì tương tự.