Bảo đảm an toàn, bảo mật trong cung cấp và sử dụng dịch vụ ngân hàng trực tuyến

Theo quy định tại Thông tư số 50/2024/TT-NHNN ngày 31/10/2024 của Thống đốc Ngân hàng Nhà nước Việt Nam (NHNN) quy định về an toàn, bảo mật cho việc cung cấp dịch vụ trực tuyến trong ngành Ngân hàng (Thông tư số 50), tổ chức tín dụng (TCTD) không gửi tin nhắn văn bản (SMS), thư điện tử cho khách hàng có nội dung chứa đường dẫn liên kết truy cập các trang tin điện tử, trừ trường hợp theo yêu cầu của khách hàng. Quy định này hết sức cần thiết để bảo vệ khách hàng, hạn chế việc khách hàng bị lừa đảo đánh cắp thông tin, chiếm đoạt tài sản. Theo đó, khi khách hàng nhận được các SMS, thư điện tử có nội dung chứa đường dẫn liên kết thì có thể xác định được ngay là tin nhắn, thư điện tử giả mạo.

Chiêu trò mới của tội phạm công nghệ cao

Thời gian qua, các vụ lừa đảo trên không gian mạng, đặc biệt trong lĩnh vực ngân hàng diễn biến ngày càng tinh vi, phức tạp. Theo thông tin từ Bộ Công an, ngay trước Tết và trong Tết Nguyên đán 2025 các cơ quan của Bộ Công an đã phát hiện và xử lý hai vụ việc rất lớn liên quan đến lừa đảo trên không gian mạng. Cụ thể, Công an tỉnh Bắc Ninh phát hiện lừa đảo trên không gian mạng, chiếm đoạt tài sản của người dân gần 1.000 tỉ đồng. Công an thành phố Đà Nẵng phát hiện vụ lừa đảo có tính chất quốc tế, lừa đảo khoảng 800 nạn nhân với số tiền hàng trăm tỉ đồng.

Theo đó, Công an tỉnh Bắc Ninh đã chủ trì, phối hợp với một số cục nghiệp vụ của Bộ Công an và nhiều đơn vị, tỉnh, thành trên cả nước để phá thành công chuyên án, triệt xóa một đường dây lừa đảo xuyên biên giới sử dụng công nghệ cao với các thủ đoạn tinh vi, gây hậu quả đặc biệt nghiêm trọng. Cùng với đó, cơ quan Công an đã bắt giữ gần 60 đối tượng và làm rõ, từ tháng 5/2024 đến nay, các đối tượng đã chiếm đoạt gần 1.000 tỉ đồng của hơn 13.000 bị hại trên cả nước.

Quá trình điều tra xác định, nhóm đối tượng này hoạt động dưới sự điều hành của một số đối tượng người nước ngoài, tại khu vực Tam Thái Tử (thành phố Bà Vẹt, tỉnh Svay Riêng, Campuchia) với thủ đoạn giả danh công an cấp phường, huyện, cán bộ ngành thuế, điện, giáo dục... gọi điện thoại yêu cầu bị hại cập nhật thông tin căn cước công dân, nộp hồ sơ nhập học trực tuyến, khám sức khỏe, kê khai thuế... sau đó chiếm quyền sử dụng điện thoại và chiếm đoạt tiền trong tài khoản ngân hàng của bị hại.

Đáng chú ý, thời gian gần đây đã xuất hiện chiêu trò mới của tội phạm là nhập sai tài khoản ngân hàng để thao túng sau đó lừa đảo người dùng.

Đây là một trong nhiều kịch bản được các hacker sử dụng để lừa nạn nhân tải về các ứng dụng giả mạo chứa mã độc. Cụ thể, hacker thu thập và mua thông tin trên các chợ đen giao dịch dữ liệu hoặc tìm kiếm dữ liệu công khai bị lộ do chính người dùng đăng tải trên các mạng xã hội. Tiếp đó, hacker sử dụng tên đăng nhập và mật khẩu từ tệp dữ liệu lộ lọt để thử đăng nhập các tài khoản liên quan. Trong một số trường hợp, chúng có thể truy cập thành công, cho phép xem số dư tài khoản và thu thập thêm thông tin cá nhân của nạn nhân (tất nhiên là không chuyển tiền ra được vì cần mã OTP hoặc sinh trắc học).

Kẻ lừa đảo vào ứng dụng ngân hàng bằng tên đăng nhập của nạn nhân, cố tình nhiều lần nhập sai mật khẩu để khiến tài khoản bị khóa. Sau đó, hacker và các đồng phạm sẽ giả danh nhân viên ngân hàng gọi điện trực tiếp, yêu cầu nạn nhân làm một số thao tác như tải ứng dụng hoặc quét mã để mở lại tài khoản. Việc biết số điện thoại của người sở hữu tài khoản không có gì khó khăn đối với nhóm lừa đảo bởi thông tin cá nhân, bao gồm số điện thoại thường bị giao dịch tràn lan trên thị trường chợ đen. Khi thao túng thành công tâm lý của nạn nhân bằng các kịch bản được chuẩn bị kỹ lưỡng, nhóm lừa đảo sẽ bắt đầu dẫn dụ nạn nhân tải ứng dụng độc hại thông qua đường link giả hoặc quét mã QR chứa mã độc và chiếm quyền kiểm soát thiết bị, tài khoản để lấy tiền.

Hiện nay, tội phạm thường chuyển tiền khỏi tài khoản của nạn nhân qua các giao dịch nhỏ dưới 10 triệu đồng/lần, bảo đảm tổng số giao dịch trong ngày không vượt quá 20 triệu đồng để tránh các bước xác minh sinh trắc học hoặc bảo mật nâng cao. Để làm được điều này, hacker gửi cho nạn nhân đường link dẫn đến trang web giả mạo, thiết kế giống hệt website chính thức của ngân hàng hoặc tổ chức tài chính. Khi nạn nhân nhập thông tin tài khoản, hacker sử dụng kỹ thuật theo dõi thời gian thực để nắm bắt dữ liệu, bao gồm: Tên đăng nhập và mật khẩu, mã OTP được gửi qua SMS hoặc email, mã PIN dùng cho SmartOTP, ảnh chụp mặt trước và sau của thẻ tín dụng, hình ảnh căn cước công dân hoặc giấy tờ tùy thân khác. Hacker tiếp tục điều hướng các thao tác trên website giả mạo, thực hiện các hành động chuyển khoản hoặc lấy thêm thông tin cần thiết cho các giao dịch tiếp theo.

Chưa hết, hacker còn có thể sử dụng các kịch bản tinh vi hơn để lừa đảo chiếm đoạt số tiền lớn, nhắm vào người dùng bằng cách giả mạo các tổ chức uy tín và dẫn dụ nạn nhân tải ứng dụng độc hại. Chẳng hạn như giả danh Công an (VNeID), Bảo hiểm xã hội (VssID), Điện lực (EVN), Cục Thuế (eTax Mobile), Dịch vụ công trực tuyến... và thông qua điện thoại, Zalo, các app OTT, email, hoặc tin nhắn, tạo cảm giác cấp bách, yêu cầu nạn nhân cài ứng dụng giả mạo hoặc yêu cầu tải ứng dụng có đuôi .apk (dành cho hệ điều hành Android). Sau khi nạn nhân cài đặt ứng dụng, hacker sẽ theo dõi toàn bộ hoạt động trên thiết bị, thu thập thông tin nhạy cảm, bao gồm mật khẩu, OTP hoặc mã PIN, thực hiện các giao dịch lớn, chiếm đoạt tài khoản.

Phối hợp các giải pháp bảo vệ khách hàng trong giao dịch ngân hàng trực tuyến

Về phía ngành Ngân hàng, thời gian qua, NHNN thường xuyên có văn bản chỉ đạo các tổ chức cung ứng dịch vụ thanh toán, tổ chức cung ứng dịch vụ trung gian thanh toán triển khai các giải pháp nhằm tăng cường an ninh thông tin, bảo mật dữ liệu cho chính ngân hàng và khách hàng, đảm bảo quyền lợi hợp pháp của khách hàng trong sử dụng dịch vụ ngân hàng trên môi trường mạng.

Tại Thông tư số 50, NHNN đã quy định một số giải pháp bảo đảm an ninh, an toàn thông tin mà tổ chức tín dụng (TCTD), trung gian thanh toán sẽ phải thực hiện trong thời gian tới, cụ thể:

- Triển khai các biện pháp: Bảo vệ, chống can thiệp vào luồng xác thực trên ứng dụng; luồng xác thực giữa ứng dụng và giao diện lập trình ứng dụng (API) của hệ thống Online Banking; phòng, chống và phát hiện phần mềm bên thứ 3 can thiệp vào ứng dụng Mobile Banking; bảo vệ tính bí mật, toàn vẹn dữ liệu của khách hàng, ngân hàng trên ứng dụng Mobile Banking.

- Không gửi SMS, thư điện tử cho khách hàng có nội dung chứa đường dẫn liên kết truy cập các trang tin điện tử, trừ trường hợp theo yêu cầu của khách hàng. Quy định này hết sức cần thiết để bảo vệ khách hàng, hạn chế việc khách hàng bị lừa đảo đánh cắp thông tin, chiếm đoạt tài sản. Theo đó, khi khách hàng nhận được bất cứ SMS, thư điện tử có nội dung chứa đường dẫn liên kết thì có thể xác định được ngay là tin nhắn, thư điện tử giả mạo.

- Triển khai giải pháp đối khớp thông tin sinh trắc học theo tiêu chuẩn quốc tế để bảo đảm xác định chính xác chủ thể thực hiện giao dịch, phát hiện các hành vi giả mạo dấu hiệu sinh trắc học của vật thể sống (Liveness Detection) để phòng, chống gian lận, giả mạo khách hàng qua hình ảnh (ảnh tĩnh, ảnh động), video, mặt nạ 3D và các hình ảnh, video tạo bởi công nghệ Deepfake.

Ngoài ra, NHNN đã và đang chỉ đạo, tổ chức triển khai một số giải pháp khác như:

Thứ nhất, làm sạch dữ liệu khách hàng, loại bỏ các tài khoản ngân hàng không chính chủ: Thống đốc NHNN đã ban hành các Thông tư hướng dẫn Nghị định số 52/2024/NĐ-CP ngày 15/5/2024 của Chính phủ quy định về thanh toán không dùng tiền mặt (gồm Thông tư số 17/2024/TT-NHNN ngày 28/6/2024 quy định việc mở và sử dụng tài khoản thanh toán tại tổ chức cung ứng dịch vụ thanh toán; Thông tư số 18/2024/TT-NHNN ngày 28/6/2024 quy định về hoạt động thẻ ngân hàng; Thông tư số 40/2024/TT-NHNN ngày 17/7/2024 quy định về hoạt động cung ứng dịch vụ trung gian thanh toán), trong đó có quy định bắt buộc khách hàng chỉ được rút tiền, thực hiện giao dịch thanh toán bằng phương tiện điện tử khi đã hoàn thành việc đối chiếu khớp đúng giấy tờ tùy thân và thông tin sinh trắc học với: (i) Dữ liệu sinh trắc học được lưu trong chíp của thẻ căn cước công dân đã được xác thực chính xác là do cơ quan Công an cấp hoặc thông qua xác thực tài khoản định danh điện tử do hệ thống định danh và xác thực điện tử tạo lập; (ii) Hoặc dữ liệu sinh trắc học được thu thập thông qua gặp mặt trực tiếp đối với trường hợp là người nước ngoài không sử dụng danh tính điện tử, người gốc Việt Nam chưa xác định được quốc tịch. Đối với khách hàng cá nhân: Áp dụng từ ngày 01/01/2025; đối với khách hàng tổ chức: Áp dụng từ ngày 01/07/2025.

Thứ hai, triển khai mở rộng hệ thống giám sát các tài khoản thanh toán, ví điện tử nghi ngờ gian lận, giả mạo (SIMO). Hệ thống SIMO cho phép các tổ chức thành viên tham gia thực hiện báo cáo thông tin về các tài khoản đáng ngờ khi phát hiện và chia sẻ thông tin tới các thành viên khác. Trên cơ sở nguồn dữ liệu tập trung của hệ thống SIMO và nguồn dữ liệu về danh sách tài khoản đã tham gia vào quá trình luân chuyển dòng tiền lừa đảo đã được Bộ Công an thu thập, các TCTD có thể đưa ra quyết định thực hiện ngăn chặn giao dịch ngay lập tức hoặc yêu cầu xác thực, định danh tài khoản trước thực hiện giao dịch trực tuyến.

Song song với đó, các TCTD cũng không ngừng đầu tư hạ tầng công nghệ bảo mật, đào tạo đội ngũ nhân sự về bảo mật có tay nghề cao; đồng thời, tuyên truyền tới khách hàng nhằm nâng cao kỹ năng cho khách hàng sử dụng dịch vụ ngân hàng trên nền tảng số an toàn, hiệu quả.

Về phía các bộ, ngành liên quan: Bộ Công an cần tiếp tục triển khai phương án cao điểm tấn công trấn áp tội phạm trên không gian mạng như rà soát vô hiệu hóa các trang web nghi ngờ lừa đảo trên không gian mạng, xây dựng các quy chế phối hợp để có thể khẩn cấp ngăn chặn các hoạt động lừa đảo. Bộ Công an tiếp tục tăng cường hợp tác quốc tế để ngăn chặn, phòng ngừa, phát hiện các tổ chức lừa đảo trên không gian mạng để kịp thời cảnh báo tới người dân... Bộ Thông tin và Truyền thông kịp thời phát hiện, ngăn chặn, xóa bỏ các nội dung, trang web, đường dẫn, ứng dụng, hội, nhóm, tài khoản trên không gian mạng liên quan đến hoạt động lừa đảo; phối hợp với NHNN để có phương án đối khớp thông tin chủ tài khoản, người đại diện hợp pháp với thông tin chủ thuê bao di động theo số điện thoại di động đã đăng ký trong hồ sơ mở tài khoản thanh toán, ví điện tử; chỉ đạo doanh nghiệp viễn thông thực hiện xác thực, lưu giữ, sử dụng thông tin thuê bao viễn thông và xử lý SIM có thông tin thuê bao viễn thông không đầy đủ, không chính xác theo quy định; nghiên cứu giải pháp kỹ thuật để ngăn chặn có hiệu quả các cuộc gọi, tin nhắn nghi vấn lừa đảo, nhất là các cuộc gọi từ nước ngoài, cuộc gọi sử dụng công nghệ VoiIP, ứng dụng OTT...; tăng cường công tác phối hợp với Bộ Công an, kịp thời cung cấp thông tin thuê bao, thông tin chủ thể tên miền được sử dụng để thực hiện hành vi vi phạm pháp luật khi được yêu cầu.

Trong thời gian tới, cần tăng cường phối hợp giữa các cơ quan chức năng, nhất là lĩnh vực ngân hàng và viễn thông để hạn chế, khắc phục những lỗ hổng trong việc quản lý SIM rác, tài khoản ảo... để sử dụng lừa đảo trên không gian mạng.

Các bộ, ngành liên quan, chính quyền địa phương phối hợp với các cơ quan báo chí tiếp tục đẩy mạnh công tác tuyên truyền giúp người dân nhận biết về các hình thức, chiêu trò lừa đảo của loại tội phạm công nghệ cao, lừa đảo trên không gian mạng, qua đó nâng cao ý thức của người dân về công tác phòng ngừa; tuyên truyền giúp người dân hiểu được các quy định về xử phạt vi phạm hành chính trong lĩnh vực tiền tệ - ngân hàng để người dân không trực tiếp tiếp tay cho các đối tượng lừa đảo như cho thuê, cho mượn tài khoản, làm thuê việc chuyển tiền...

Về phía người dân, cần hết sức thận trọng trong việc cung cấp thông tin tài khoản cá nhân tới người không tin cậy, chưa rõ nhân thân. Trong những tình huống nghi ngờ, người dân cần báo cơ quan công an để được hỗ trợ và xử lý kịp thời.

Khi sử dụng dịch vụ ngân hàng, người dùng cần lưu ý, khi gặp vấn đề về tài khoản ngân hàng, nên ra quầy thực hiện trực tiếp hoặc chủ động liên hệ qua kênh chăm sóc khách hàng chính thức của ngân hàng. Tuyệt đối không truy cập vào các đường dẫn lạ hoặc tải về ứng dụng không rõ nguồn gốc. Không cung cấp thông tin cá nhân, thông tin tài khoản ngân hàng, mã OTP dưới mọi hình thức. Trong trường hợp nghi ngờ bản thân bị lừa đảo, người dân cần ngay lập tức thông tin cho ngân hàng hoặc báo cáo cơ quan chức năng để được hỗ trợ, giải quyết và ngăn chặn kịp thời.

Tài liệu tham khảo:

1. Thông tư số 50/2024/TT-NHNN ngày 31/10/2024 của Thống đốc NHNN ban hành quy định về an toàn, bảo mật cho việc cung cấp dịch vụ trực tuyến trong ngành Ngân hàng.

2. Thông tư số 17/2024/TT-NHNN ngày 28/6/2024 của Thống đốc NHNN quy định việc mở và sử dụng tài khoản thanh toán tại tổ chức cung ứng dịch vụ thanh toán.

3. Thông tư số 18/2024/TT-NHNN ngày 28/6/2024 của Thống đốc NHNN quy định về hoạt động thẻ ngân hàng.

4. Thông tư số 40/2024/TT-NHNN ngày 17/7/2024 của Thống đốc NHNN quy định về hoạt động cung ứng dịch vụ trung gian thanh toán.

5. https://www.bocongan.gov.vn