Wednesday, 11:55 28/09/2016
Tiền trong tài khoản "bốc hơi": Đừng đổ hết cho khách hàng
Thời gian gần đây, đặc biệt trong tháng 8/2016, những dịch vụ Internet banking/Mobile banking đã trở thành mảnh đất màu mỡ của tội phạm hacker khi liên tiếp xảy ra nhiều vụ mất tiền trên tài khoản cá nhân mở tại các ngân hàng có sử dụng dịch vụ này.
Sau những vụ “bốc hơi tiền” trên, các ngân hàng cung cấp dịch vụ thường sử dụng bài đánh phủ đầu là đổ lỗi cho phía chủ tài khoản. Trong khi đó, các chủ tài khoản thì ngờ vực, nghi ngại về lỗi từ phía công nghệ ngân hàng.
Việc đổ thừa cho nhau ấy thực ra làm cho ngân hàng mất điểm trong lòng tin của khách hàng. Như vị Phó Tổng Giám đốc một ngân hàng thương mại lớn đã phải thừa nhận “các thiệt hại không thể đo lường được về lòng tin của khách hàng sử dụng kênh thanh toán online”. Giải bài toán để chỉ ra lỗi do chủ tài khoản hay cho ngân hàng rất cần sớm có đáp số.
Để đề phòng tấn công của tội phạm mạng đối với dịch vụ thanh toán Internet banking, các ngân hàng thương mại đã thiết kế 2 lớp bảo mật. Ta cứ hình dung một ngôi nhà có 2 lớp bảo vệ là cổng hàng rào và cửa vào nhà. Để đột nhập vào ăn trộm tài sản, kẻ cắp phải vượt được 2 lớp bảo vệ này. Không mở được khóa cổng rào thì không tiếp cận được cửa nhà, nhưng muốn trộm được tài sản thì điều quyết định là phải mở đươc khóa cửa nhà. Tương tự như vậy, trong dịch vụ Internet banking ngân hàng cũng thiết kế 2 lớp bảo mật: Lớp bảo mật thứ nhất bao gồm tên tài khoản và mật khẩu. Lớp bảo mật này chủ yếu do chủ tài khoản tự bảo vệ theo sự hướng dẫn của ngân hàng cung cấp dịch vụ. Tuy nhiên, việc đột nhập của hacker vào đây rất dễ xảy ra. Do lỗi của chủ tài khoản trong quá trình truy cập máy tính nhầm vào các website giả mạo hoặc các đường link độc hại. Đương nhiên như vậy họ cũng chưa thể mất tiền trên tài khoản vì có lớp bảo mật thứ hai.
Lớp bảo mật thứ hai là mật khẩu dùng một lần – mã OTP. Mật khẩu này được ngân hàng cấp qua tin nhắn SMS hoặc qua ứng dụng trên điện thoại thông minh (smartphone). Nếu cấp OTP qua SMS thì khó xảy ra mất mật khẩu, trừ phi chủ tài khoản mất kiểm soát điện thoại hoặc hacker tấn công vào hệ thống mạng viễn thông. Do hiện nay đa số chủ tài khoản (nếu không muốn nói là 100%) sử dụng smartphone nên một số ngân hàng đã cung cấp dịch vụ tạo OTP qua ứng dụng (Application). Với cách này hacker dễ dàng sử dụng thông tin đã ăn cắp được ở lớp thứ nhất nói trên để liên kết tài khoản nạn nhân với ứng dụng trên nếu chúng lấy được mã xác nhận. Để tạo thuận lợi cho khách hàng, một số ngân hàng cho phép chủ tài khoản có thể thêm số điện thoại xác nhận (là một số điện thoại khác) sau khi đăng nhập Internet banking thông qua hệ thống tự động của dịch vụ. Chính đây là lỗ hổng để hacker lợi dụng. Lúc này, mã xác nhận cài đặt ứng dụng tạo OTP được gửi đến số điện thoại mà hacker đã thêm vào và kể từ đó chúng có thể thực hiện thành công mọi giao dịch khi đã nắm trong tay toàn bộ thông tin.
Rõ ràng việc mất tiền nói trên là có lỗi của chủ tài khoản vì đó là lỗi làm mất những dữ liệu cá nhân, tài khoản. Song, nếu không có lỗ hổng của ngân hàng như nói ở trên chắc chắn họ không thể mất tiền. Chính vì vậy, ngân hàng cung cấp dịch vụ khoan vội đổ lỗi cho chủ tài khoản. Được biết, lỗ hổng bảo mật này đã được phát hiện và nhanh chóng vá lại. Có thể vì vậy nên một tháng vừa qua chưa phát sinh vụ mất tiền nào trên tài khoản tương tự.
