Việt Nam vươn mình trong kỷ nguyên mới

Rủi ro trong bảo mật ngân hàng: Cảnh báo thôi chưa đủ!

Chia sẻ Zalo

Kinhtedothi - Hàng loạt nguy cơ rình rập đến việc đảm bảo an toàn, an ninh của các ATM, dịch vụ giao dịch ngân hàng (NH) đang là bài toán cần lời giải thấu đáo của hệ thống NH trong nước hiện nay.

Khách hàng lo ngay ngáy

Nhiều người sử dụng thẻ ATM đang “phát sốt” vì liên tục xảy ra các vụ việc bỗng dưng bị mất tiền trong tài khoản, dù không hề thực hiện giao dịch rút tiền. Chị Hằng chủ thẻ của Vietcombank cho biết, sau vụ mất 500 triệu đồng trong tài khoản của khách hàng Vietcombank (Hoàng Thị Na Hương, Hà Nội) vừa qua khiến chị rất lo lắng, “hạn mức thẻ tín dụng của tôi hơn 100 triệu đồng. Nếu hacker lấy thông tin và tiêu xài thì chúng tôi chịu thiệt hại lớn”.
Khách hàng sử dụng dịch vụ InternetBanking.
Khách hàng sử dụng dịch vụ InternetBanking.
 
Chị Hiếu chủ tài khoản của Sacombank cho biết, cuối tuần qua đã khóa tài khoản thẻ để chuyển sang gửi tiết kiệm. Theo chị Hiếu, gửi tiết kiệm khiến chị an tâm hơn vì trong trường hợp mất sổ tiết kiệm thì người nhặt được sổ cũng khó có thể rút tiền từ NH do không khớp nhận dạng, chữ ký và chứng từ liên quan.
Ngân hàng Nhà nước đã ra văn bản cảnh báo tình hình tội phạm tấn công các hệ thống công nghệ thông tin quan trọng của Việt Nam gửi các tổ chức tín dụng và các tổ chức trung gian thanh toán. Yêu cầu các NH phân công cán bộ trực 24 giờ/7 ngày và tăng cường các biện pháp giám sát, theo dõi hoạt động và nhật ký (log) của các hệ thống công nghệ thông tin quan trọng; Thông báo kịp thời cho Cục Công nghệ tin học (Phòng An ninh thông tin, số điện thoại: 04.32595983 hoặc 0123.8595983; fax: 04.38358135; email: antt@sbv.gov.vn ) về các sự cố an ninh thông tin (nếu có lỗ hổng bảo mật) để phối hợp xử lý.

Trong năm 2015, các NH ở Bangladesh, Philippines, Ecuador... đã trở thành nạn nhân của những vụ tấn công tin tặc dẫn tới sự “bay hơi” hàng chục triệu USD, làm dấy lên nỗi lo ngại về nguy cơ lĩnh vực tài chính đang ngày càng trở thành mục tiêu hấp dẫn đối với giới tội phạm công nghệ cao. Tại hội thảo Banking Vietnam 2016 hồi tháng 5, các chuyên gia bảo mật đến từ tập đoàn công nghệ hàng đầu khu vực và thế giới như BlackBerry, Dell Software, Juniper Networds… đều chung nhận định: Hệ thống NH đang đứng trước nguy cơ rủi ro lớn do bị săn lùng, đánh cắp thông tin thẻ tín dụng.
“Dịch vụ các NH càng hiện đại càng dễ thành miếng mồi ngon cho tội phạm công nghệ cao - nhất là khi tội phạm đó rành rẽ công nghệ của các NH” - chị Hiếu nói.

“Kinh nghiệm của tôi là tách riêng một tài khoản để sử dụng thẻ, lên kế hoạch chi tiêu và rót tiền vào khi cần và sử dụng dạng thẻ ghi nợ (debit card). Trong trường hợp gặp rủi ro, số tiền mất không nhiều vì không duy trì nhiều tiền trên tài khoản này” - anh Kiên ở Bách Khoa chia sẻ. Thực tế, vụ 500 triệu đồng trong tài khoản bỗng dưng biến mất sau một đêm đang khiến nhiều người lo lắng mặc dù nhiều NH đưa ra cảnh báo cũng như khuyến cáo khách hàng những biện pháp bảo mật.

Yêu cầu cấp thiết

Tuy nhiên, các chuyên gia cho rằng, các NH đưa ra cảnh báo thôi chưa đủ. Vấn đề bảo mật, an toàn thông tin của hệ thống NH cần được quan tâm đúng mức hơn, cần được “nâng cấp” thành vấn đề chiến lược, là một bộ phận không thể thiếu của mỗi NH. Thông thường, khi thực hiện các giao dịch NH trực tuyến, như dịch vụ internet banking, nếu khách hàng làm mất số tài khoản (account) và mật khẩu (password), thì vẫn còn những tầng bảo mật khác, đặc biệt là mã xác thực OTP (mã mật khẩu một lần). Mỗi khi thực hiện giao dịch, mã xác thực OTP được gửi qua SMS đến số điện thoại di động do chủ tài khoản đăng ký với ngân hàng. Chỉ khi chủ thẻ nhập mã OTP này, việc chuyển tiền mới được thực hiện. OTP thường chỉ có hiệu lực trong mấy phút, sau đó sẽ vô hiệu lực, muốn giao dịch phải lấy lại OTP khác. Các tầng bảo vệ khác nhau này được các NH đặt ra với mục đích cuối cùng, để xác định người thực hiện giao dịch là chủ của tài khoản.

Trong sự cố mất 500 triệu đồng của Vietcombank vừa qua, NH này cho biết có cơ sở để xác định khách hàng đã truy cập vào một trang web giả mạo qua máy điện thoại cá nhân. Đại diện Vietcombank cho rằng, việc mất tiền trong tài khoản xảy ra vì khách hàng bị đánh cắp thông tin tài khoản do trước đó đã truy cập và khai báo thông tin trên đường link giả mạo website của NH. “Nếu khách hàng chỉ đánh mất thông tin cá nhân là số tài khoản và mật khẩu mà từ đấy kẻ gian có thể vượt qua tầng bảo vệ cuối cùng thì có vẻ tầng bảo vệ của NH khá sơ hở, không đảm bảo an toàn tuyệt đối cho khách hàng” - Luật sư Trương Thanh Đức nhận định.

Công ty An ninh mạng Bkav từng đưa ra cảnh báo tội phạm mạng sẽ có xu hướng tấn công mạnh vào lĩnh vực NH, tài chính nhiều hơn trong thời gian tới. Phổ biến nhất hiện này là việc phát tán mã độc tại các hệ thống cửa hàng bán lẻ, trực tuyến cùng nhiều phương thức khác nhằm đánh cắp thông tin thẻ tín dụng của khách hàng. “Nếu không đưa các biện pháp tự bảo vệ kiên quyết, mạnh tay, những cuộc tấn công trực tiếp vào các NH thay vì người sử dụng dịch vụ sẽ là điều khó tránh khỏi trong thời gian tới. Do đó hệ thông NH cần nguồn nhân lực về công nghệ thông tin để đáp ứng những thay đổi nhanh chóng của công nghệ” - ông Ngô Tuấn Anh - Phó Chủ tịch An ninh mạng BKAV cảnh báo.

Theo ông Ngô Tuấn Anh, trong an ninh mạng, không có gì đảm bảo 100%. Hệ thống công nghệ thông tin hôm nay an toàn nhưng ngày mai có thể bị phát hiện lỗ hổng, từ đó hacker lợi dụng để tấn công. Hầu hết các NH lớn đều trang bị các giải pháp bảo mật tốt nhất có thể. Tuy nhiên, không có NH nào dám đảm bảo hệ thống của mình là an toàn tuyệt đối. Và càng không có NH nào dám công khai nói rằng hệ thống đảm bảo an toàn. Các NH Việt Nam vẫn còn cần nhiều bước phát triển hơn nữa để hoàn thiện mình, nâng cao bảo mật, bảo đảm an toàn mạng. Cần thường xuyên theo dõi, cập nhật tình hình an ninh mạng trong nước và quốc tế, phối hợp với các cơ quan chuyên ngành, nâng cao trình độ nguồn nhân lực...
Phó Tổng Giám đốc CMC Telecom Đặng Tùng Sơn: Hacker vượt qua lớp bảo mật như thế nào?

Nhiều khách hàng thắc mắc, làm sao lớp bảo mật tưởng chừng như rất vững chắc - OTP lại có thể vượt qua? Điều đó có thể lý giải như sau: Sau khi có được tài khoản đăng nhập, hacker sẽ thực hiện chuyển tiền qua Internet Banking. Tất nhiên lúc này 1 SMS OTP sẽ được gửi về smartphone của nạn nhân. Một lần nữa, ứng dụng kia sẽ đọc OTP và gửi lại cho hacker, đồng thời xóa SMS OTP kia. Lúc này tiền trong tài khoản của nạn nhân sẽ biến mất, và trên smartphone cũng không còn một dấu vết nào liên quan.

Chuyên gia Nguyễn Trí Hiếu: Rút tiền trực tuyến không nên sử dụng thiết bị lạ

Có nhiều rủi ro cả khi rút tiền trực tiếp ở các máy ATM lẫn khi rút tiền trực tuyến qua mạng. Nếu hệ thống NH không tốt thì tin tặc có thể xâm nhập để thu thập thông tin các tài khoản. Về phía khách hàng, người sử dụng phải nâng cao ý thức bảo vệ thẻ, cũng chính là bảo vệ tiền của mình trong tài khoản. Khi rút tiền trực tuyến, ta không nên sử dụng thiết bị lạ để tránh trường hợp thiết bị cài mã độc.

Luật sư Trương Thanh Đức: Chấn chỉnh lỗ hổng bảo mật để tạo lòng tin cho khách hàng

Trong trường hợp của Vietcombank, khách hàng và NH cần phải đàm phán, thương lượng với nhau nếu NH thực sự có một phần lỗi khi hệ thống không hoàn hảo là một trong những nguyên nhân dẫn đến rủi ro cho khách hàng. Thậm chí, NH có thể xem xét đền bù đầy đủ số tiền khách hàng bị mất và kịp thời chấn chỉnh lỗ hổng bảo mật để tạo lòng tin cho khách hàng.
Nguyên Anh - Việt Phong ghi