Với hệ thống ngân hàng, an ninh, bảo mật hệ thống thông tin, dữ liệu khách hàng và đảm bảo an toàn cho các hệ thống công nghệ thông tin (CNTT) cung cấp dịch vụ ngân hàng là nhiệm vụ quan trọng, thường xuyên và liên tục. Khi hàng rào bảo mật của các ngân hàng đã được nâng cấp, chặt chẽ hơn, tội phạm công nghệ sẽ tấn công vào những lỗi bất cẩn của khách hàng. Với các cuộc tấn công nhắm vào người dùng, ngân hàng cũng không thể kiểm soát hết được vì phụ thuộc vào ý thức bảo mật, trình độ của từng khách hàng. Việc bảo mật thông tin cá nhân đang là vấn đề quan trọng trong thời đại công nghệ phát triển, tội phạm công nghệ cũng ngày càng tinh vi, phức tạp.
Nhiều chiêu trò lừa đảo tinh vi chiếm đoạt tiền trong tài khoản
Theo các chuyên gia về an ninh bảo mật, có rất nhiều cách mà dữ liệu tài khoản ngân hàng của người dùng bị đánh cắp.
Một trong những chiêu trò phổ biến hiện nay là các đối tượng lừa đảo, hacker lập ra những trang web giả mạo ngân hàng với tên miền gần giống, chỉ thay đổi một vài ký tự. Điều này khiến người dùng dễ dàng bị đánh lừa khi đăng nhập tài khoản ngân hàng tại đây khiến việc lộ thông tin một cách dễ dàng. Các hacker sẽ thu thập mọi dữ liệu của người dùng tại đây.
Ngoài ra, người dân hiện đang giao dịch trực tuyến khá nhiều nên khi thanh toán sẽ phải đăng nhập tài khoản ngân hàng. Nếu không có các kỹ năng bảo mật thì đây cũng là một trong những nguyên nhân chính dẫn đến việc lộ thông tin các tài khoản ngân hàng.
Cụ thể, đối tượng sẽ gửi email hoặc tin nhắn giả mạo của ngân hàng, gọi điện yêu cầu khách hàng truy cập vào các đường link xác nhận chuyển tiền. Sau khi có được số tài khoản của “con mồi”, kẻ gian sẽ chuyển một khoản tiền nhỏ vào tài khoản của người này, sau đó giả làm nhân viên ngân hàng gọi điện, gửi tin nhắn cho khách hàng để thông báo giao dịch chuyển tiền bị treo và yêu cầu khách hàng truy cập vào đường link trong tin nhắn để xác nhận thông tin, mở khóa lệnh chuyển tiền... Đường link này sẽ dẫn dụ khách hàng cung cấp các thông tin bảo mật như: Tên truy cập, mật khẩu, mã OTP... sau đó chiếm quyền kiểm soát tài khoản và rút tiền.
Hoặc kẻ gian giả mạo ngân hàng gửi email để thông báo khách hàng nhận được một khoản tiền và yêu cầu khách hàng xác nhận giao dịch bằng cách truy cập vào tệp hoặc đường link có chứa mã độc gửi kèm trong email nhằm chiếm đoạt thông tin và tiền trong tài khoản. Các đối tượng này tìm những shop bán hàng online trên Facebook, sau đó nhắn tin hỏi mua hàng và nói dối là đang ở bên nước ngoài, yêu cầu các shop bán hàng đưa số tài khoản để họ chuyển tiền từ nước ngoài về. Tiếp theo, chúng sẽ gửi cho các shop đường link, nói là truy cập vào đường link đó để nhận tiền chuyển khoản từ nước ngoài về, trong đường link này sẽ yêu cầu nhập số tài khoản và mã OTP...
Cách khác, kẻ gian lừa đảo bằng thủ đoạn chuyển nhầm tiền vào tài khoản. Theo đó, các đối tượng sẽ vờ chuyển nhầm một khoản tiền vào tài khoản của khách hàng với nội dung cho vay, sau một thời gian, người này sẽ gọi điện đòi tiền cùng với lãi vay. Hoặc, đối tượng lừa đảo giả danh nhân viên ngân hàng thông báo có người chuyển nhầm tiền vào tài khoản của khách hàng và hướng dẫn thủ tục hoàn trả, sau đó gửi đường link yêu cầu khách hàng điền thông tin cá nhân gồm các thông tin bảo mật và chiếm đoạt tiền trong tài khoản. Kẻ lừa đảo có thể giả danh là người thu hồi nợ của một công ty tài chính nào đó để liên hệ với nạn nhân và yêu cầu người này trả lại số tiền kia như một khoản vay cùng với một khoản lãi suất cao.
Không những thế, kẻ gian còn giả mạo cơ quan chức năng (công an, tòa án) gọi điện đe dọa khách hàng có liên quan đến vụ án, đường dây tội phạm và yêu cầu chuyển tiền đến tài khoản gian lận để chạy án; thậm chí giả mạo người thân, bạn bè gọi điện nhờ mua thẻ điện thoại, mượn tiền, thanh toán chuyển khoản đến tài khoản gian lận do bị hack Facebook, Zalo, Messenger...; giả mạo tài khoản/làm quen nhờ mở tài khoản/thẻ/đăng ký dịch vụ ngân hàng điện tử hoặc mua lại với giá cao để sử dụng vào mục đích lừa đảo.
Trường hợp khác, kẻ gian lừa đảo gọi điện, tự xưng là nhân viên nhà mạng đề nghị hỗ trợ nâng cấp sim, khách hàng làm theo và bị chiếm đoạt sim điện thoại. Kẻ gian sau đó gọi lên tổng đài tự động của ngân hàng yêu cầu cấp lại tên đăng nhập Internet Banking. Tên đăng nhập tài khoản Internet Banking được gửi về email mà khách hàng đã đăng ký trước đó với ngân hàng. Tiếp đó, tổng đài tự động của ngân hàng tiếp tục nhận được cuộc gọi từ số điện thoại khách hàng đăng ký báo quên mật khẩu và yêu cầu cấp mật khẩu mới. Ngay sau khi mật khẩu được cấp lại, số tiền tiết kiệm của khách hàng được tất toán và chuyển sang các tài khoản ở những ngân hàng khác...
Tất cả các chiêu thức trên đều vì mục đích đánh cắp thông tin để chiếm đoạt tiền của khách hàng.
Khách hàng phải luôn ý thức bảo vệ thông tin cá nhân của mình
Theo các chuyên gia an ninh mạng, không phải bảo mật của hệ thống ngân hàng hay nhà mạng có vấn đề mà nguyên nhân chủ yếu từ sự mất cảnh giác của người dùng. Những vụ việc lừa đảo chiếm đoạt tiền trong tài khoản ngân hàng thời gian qua chủ yếu là các đối tượng lừa đảo đã có khá nhiều thông tin cá nhân của nạn nhân trước khi thực hiện lừa đảo. Thời gian qua, các cơ quan chức năng và ngân hàng liên tục cảnh báo song vẫn không ít người dân bị lừa.
So với các lĩnh vực khác, ngân hàng là lĩnh vực đầu tư bảo mật rất tốt. Mặc dù vậy, với các cuộc tấn công nhắm vào người dùng, ngân hàng cũng không thể kiểm soát hết được vì phụ thuộc vào ý thức bảo mật, mức độ cảnh giác của từng khách hàng. Chính vì vậy, nhiều chiêu thức lừa đảo dù đã cũ nhưng vẫn nhiều khách hàng bị sập bẫy. Chính vì vậy, bên cạnh việc ngân hàng thường xuyên phải tăng cường bảo mật, mỗi khách hàng phải luôn ý thức bảo vệ thông tin cá nhân của mình.
Trước tình trạng trên, các cơ quan chức năng cũng thường xuyên cảnh báo tới khách hành nhằm tăng cường an ninh, bảo mật. Đầu năm 2022, Bộ Công an đã phát ra cảnh báo với người dân về hiện tượng các đối tượng tội phạm thực hiện thủ đoạn lừa chiếm đoạt quyền sử dụng sim điện thoại cá nhân, từ đó chiếm đoạt mật khẩu tài khoản ngân hàng, ví điện tử... để chiếm đoạt tài sản. Trước đó, Cục Cạnh tranh và Bảo vệ người tiêu dùng cũng khuyến cáo người dân nêu cao tinh thần cảnh giác, thực hiện các biện pháp phòng tránh, ngăn ngừa, như kiểm tra thông tin, không truy cập các đường dẫn lạ. Đồng thời, tăng cường bảo mật cho sim điện thoại của mình, có thể bằng cách cài đặt mã PIN cho sim điện thoại theo hướng dẫn của nhà mạng, liên hệ tổng đài khóa sim ngay khi phát hiện thẻ sim trên máy điện thoại của mình bị vô hiệu hóa, nghi ngờ do bị chiếm đoạt quyền kiểm soát sim...
Phía ngành Ngân hàng cũng liên tục cảnh bảo tới khách hàng cảnh giác và tuân thủ các quy định về an toàn, bảo mật tài khoản. Cùng với đó, các tổ chức tín dụng (TCTD) cũng tăng cường an ninh, bảo mật hệ thống thông tin, dữ liệu khách hàng và coi việc đảm bảo an toàn cho các hệ thống CNTT cung cấp dịch vụ ngân hàng là nhiệm vụ thường xuyên và liên tục.
Về phía Ngân hàng Nhà nước Việt Nam (NHNN), đã rà soát, ban hành mới hoặc sửa đổi nhiều văn bản quy phạm pháp luật hướng dẫn các TCTD trong việc triển khai các dịch vụ ngân hàng điện tử đảm bảo an toàn bảo mật. Đồng thời, NHNN chủ động theo dõi và nắm bắt tình hình an ninh mạng trong Ngành và là đầu mối thường xuyên tiếp nhận các cảnh báo về lỗ hổng bảo mật, nguy cơ mất an toàn CNTT từ các đơn vị, đối tác và cảnh báo các đơn vị trong Ngành kịp thời cập nhật các lỗ hổng bảo mật và sẵn sàng các biện pháp để phát hiện, ngăn chặn và xử lý kịp thời các sự cố (nếu có phát sinh).
Hằng năm, NHNN tổ chức kiểm tra tuân thủ các quy định về an toàn bảo mật tại các TCTD, tổ chức trung gian thanh toán để đánh giá, phát hiện và xử lý sớm các rủi ro, sai phạm cũng như khuyến nghị, chấn chỉnh kịp thời những tồn tại, hạn chế về an ninh, bảo mật tại các TCTD.
Đối với giao dịch ngân hàng điện tử, NHNN đã thường xuyên theo dõi, nắm bắt tình hình và có những văn bản cảnh báo tới các TCTD, yêu cầu các đơn vị triển khai thực hiện đầy đủ các công việc nhằm đảm bảo an toàn hệ thống website và các dịch vụ ngân hàng cung cấp trên mạng Internet, cũng như tăng cường truyền thông cho khách hàng về các rủi ro mất an toàn thông tin và hướng dẫn khách hàng thực hiện giao dịch điện tử an toàn, bảo mật.
Bên cạnh đó, NHNN đã triển khai giáo dục tài chính cho người dân, với các chương trình như “Tiền khéo, tiền khôn”, “Tay hòm chìa khóa”... nhằm nâng cao kiến thức, kỹ năng cho khách hàng trong sử dụng dịch vụ ngân hàng, giúp giảm thiểu rủi ro, đảm bảo an toàn thông tin tài khoản khách hàng.
Về phía các ngân hàng thương mại (NHTM), để đảm bảo an toàn bảo mật cho giao dịch ngân hàng và thông tin, tài khoản khách hàng trước nguy cơ tấn công mạng, các NHTM đã tăng cường phối hợp với NHNN để thực hiện các chính sách đã ban hành về CNTT trong lĩnh vực ngân hàng. Đồng thời, các NHTM cũng đầu tư cho công nghệ bảo mật, chủ động trong việc giám sát hoạt động hệ thống CNTT và xử lý các sự cố phát sinh; tăng cường các biện pháp giám sát, theo dõi hoạt động và nhật ký của các hệ thống thông tin quan trọng, các cổng, trang tin điện tử, hệ thống Internet Banking để kịp thời phát hiện và xử lý sự kiện nghi ngờ là hành động tấn công; thực hiện sao lưu và lưu trữ đầy đủ dữ liệu cũng như sẵn sàng kịch bản và phương án đảm bảo hoạt động liên tục cho các hệ thống thông tin quan trọng, các cổng, trang tin điện tử, hệ thống Internet Banking.
Tuy nhiên, tình hình tội phạm công nghệ cao ngày càng phức tạp, tinh vi, có phạm vi toàn cầu, vấn đề an ninh, bảo mật thông tin tài khoản ngân hàng của khách hàng và ngân hàng đang là thách thức với ngành Ngân hàng.
Tăng cường các giải pháp bảo vệ thông tin khách hàng, đẩy mạnh truyền thông, giáo dục tài chính
Về phía các cơ quan quản lý, trong thời gian tới, NHNN cần tiếp tục rà soát và ban hành các chính sách đẩy mạnh ứng dụng chữ ký số và các giải pháp xác thực mạnh trong các loại hình dịch vụ điện tử. NHNN tiếp tục phối hợp Bộ Công an triển khai Đề án phát triển thanh toán không dùng tiền mặt (Quyết định số 1813/QĐ-TTg ngày 28/10/2021 của Thủ tướng Chính phủ về việc phê duyệt Đề án phát triển thanh toán không dùng tiền mặt tại Việt Nam giai đoạn 2021 - 2025), Quyết định số 06/QĐ-TTg ngày 06/01/2022 của Thủ tướng Chính phê duyệt Đề án phát triển ứng dụng dữ liệu về dân cư, định danh và xác thực điện tử phục vụ chuyển đổi số quốc gia giai đoạn 2022 - 2025, tầm nhìn đến năm 2030; tập trung xây dựng cơ chế kết nối cơ sở dữ liệu quốc gia về dân cư, hệ thống định danh và xác thực điện tử phục vụ công tác quản lý Nhà nước và cung ứng dịch vụ trên môi trường điện tử.
Đối với dự thảo Luật Giao dịch điện tử (sửa đổi), Ban soạn thảo cần rà soát lại các quy định của pháp luật về đầu tư, quy định tại Bộ luật Dân sự, Luật Công chứng và các vấn đề liên quan để đảm bảo các nội dung thống nhất, phù hợp với quy định pháp luật và thực tiễn hoạt động hiện nay.
Đồng thời, các bộ, ngành liên quan như Bộ Công an, Bộ Thông tin và Truyền thông, NHNN cần phối hợp chặt chẽ trong việc thanh tra, giám sát, phát hiện, xử lý kịp thời những trường hợp lừa đảo nhắm vào lĩnh vực tài chính - ngân hàng. Để hạn chế cho rủi ro cho người dùng, không chỉ ngân hàng mà cả các doanh nghiệp viễn thông cũng cần siết lại quy trình bảo mật chặt chẽ hơn.
Về phía các NHTM, cần tiếp tục đầu tư cho công nghệ và chú trọng các giải pháp bảo mật thông tin khách hàng và dữ liệu của ngân hàng.
Theo đó, các NHTM cần tăng cường quản lý quyền truy cập vào dịch vụ và dữ liệu. Trong đó, cần đầu tư nâng cấp hệ thống hạ tầng bảo mật đảm bảo mức độ an toàn cao nhất với các hệ thống tường lửa, hệ thống ngăn chặn xâm nhập IPS1, hệ thống chống tấn công từ chối dịch vụ DDoS2, áp dụng các phương thức xác thực đa yếu tố để đảm bảo nhân viên ngân hàng và khách hàng truy cập vào các dịch vụ ngân hàng an toàn và không bị gián đoạn. Đồng thời, các ngân hàng cần thiết lập chính sách an ninh thông tin tuân thủ các tiêu chuẩn quốc tế và Việt Nam như hệ thống quản lý an toàn bảo mật thông tin theo tiêu chuẩn ISO 27001, áp dụng tiêu chuẩn an ninh dữ liệu thẻ PCI DSS3, áp dụng “Khung tiêu chuẩn bảo mật khách hàng - Customer Security Framework” của SWIFT (Hiệp hội Viễn thông Tài chính Liên ngân hàng toàn cầu), tuân thủ các quy định về giữ bí mật, cung cấp thông tin khách hàng của tổ chức tín dụng, chi nhánh ngân hàng nước ngoài và các Thông tư của NHNN. Hệ thống dữ liệu và ứng dụng trong các ngân hàng cần mã hóa các dữ liệu, thông tin liên quan đến khách hàng theo các tiêu chuẩn mã hóa của quốc tế khi lưu trữ và giao dịch với khách hàng để bảo vệ dữ liệu.
Các ngân hàng cần định kỳ đánh giá rủi ro đối với cơ sở hạ tầng CNTT. Thông tin thu thập được trong quá trình đánh giá rủi ro có thể giúp phân tích và đánh giá mức độ bảo mật hiện tại đối với dữ liệu quan trọng cũng như nhanh chóng phát hiện các điểm yếu và lỗ hổng an ninh. Bên cạnh đó, các ngân hàng cần thường xuyên theo dõi các giao dịch của người dùng với ngân hàng để có thể phát hiện các sự kiện đáng ngờ thông qua công nghệ trí tuệ nhân tạo (Artifical Intelligence - AI) và gửi cảnh báo tới khách hàng; cần giám sát và quản lý chặt chẽ quyền truy cập của đối tác vào dữ liệu khách hàng, đảm bảo rằng các đối tác cũng tuân thủ các tiêu chuẩn và quy định về an ninh mạng giống như ngân hàng.
Bên cạnh đó, các TCTD cần phối hợp chặt chẽ với các cơ quan chức năng trong việc ngăn ngừa, đấu tranh với tội phạm lừa đảo, chiếm đoạt tài sản trên không gian mạng, báo cáo kịp thời NHNN về những vấn đề phát sinh mất an ninh, an toàn trong quá trình cung ứng dịch vụ.
Công tác truyền thông, giáo dục tài chính có vai trò quan trọng nhằm nâng cao kiến thức, kỹ năng cho người tiêu dùng dịch vụ tài chính ngân hàng, do đó cần được đẩy mạnh trên toàn hệ thống TCTD. Hình thức thể hiện cần đa dạng, dễ hiểu, dễ nhớ, dễ vận dụng, cùng với ứng dụng công nghệ mới nhằm tăng sự tương tác và lan tỏa tới khách hàng, đặc biệt hướng tới người dân khu vực nông thôn, vùng sâu vùng xa, người yếu thế, giới trẻ... qua đó, hướng dẫn và nâng cao kỹ năng cho khách hàng khi mở và sử dụng tài khoản ngân hàng cũng như thực hiện các giao dịch tài chính được an toàn.
Quan trọng hơn cả, giải pháp hữu hiệu để phòng tránh lừa đảo, là người dùng cần ý thức về việc cung cấp thông tin cá nhân cho người khác khi trao đổi trên mạng. Theo các chuyên gia, người dùng cần áp dụng triệt để nguyên tắc: “Không tin tưởng, luôn xác minh lại”. Theo đó, mỗi khi nhận được các cuộc gọi, tin nhắn, email từ phía ngân hàng, nhà mạng hay bất kỳ đơn vị nào thì cũng không vội tin ngay mà phải kiểm tra lại số điện thoại đó có phải của ngân hàng, nhà mạng... hay không, không nên vội vàng làm theo hướng dẫn khi nhận được điện thoại.
Để đảm bảo an ninh, bảo mật thông tin tài khoản, an toàn trong hoạt động thanh toán, chuyển tiền, người sử dụng dịch vụ cần lưu ý bảo mật thông tin cá nhân, thông tin tài khoản… để tránh bị đánh cắp, lợi dụng (không cung cấp tài khoản đăng nhập, mật khẩu, mã OTP trong bất kỳ trường hợp nào yêu cầu để nhận/nạp tiền; không sử dụng mã PIN gắn liền với các thông tin cá nhân như số di động, số chứng minh thư, ngày sinh, ghi số PIN bỏ vào ví; không nạp/chuyển tiền theo yêu cầu của người lạ khi nhận được các cuộc gọi lạ...). Khách hàng không mở hộ thẻ/tài khoản cho người khác, kể cả cho mượn hoặc bán. Khi tham gia các giao dịch mua sắm, thanh toán trực tuyến, người dùng chỉ nên thực hiện giao dịch tại các trang thương mại điện tử uy tín để đảm bảo không bị đánh cắp thông tin tài khoản ngân hàng, tài khoản thẻ tín dụng.
Hạn chế dùng máy tính công cộng, thiết bị di động kết nối với mạng không dây (Wifi) công cộng để truy cập vào hệ thống ngân hàng điện tử. Khách hàng nên gõ trực tiếp địa chỉ các trang web ngân hàng điện tử thay vì chọn đường link có sẵn, chỉ đăng nhập tại website chính thức của ngân hàng; luôn đăng xuất khỏi các website đã nhập thông tin cá nhân.
Đối với mật khẩu truy cập dịch vụ giao dịch trực tuyến, cần đặt mật khẩu khó đoán, thay đổi mật khẩu thường xuyên và không sử dụng các tính năng lưu mật khẩu để đăng nhập tự động. Không cung cấp tên, mật khẩu đăng nhập ngân hàng trực tuyến, mã OTP, cũng như số thẻ ngân hàng qua điện thoại, email, mạng xã hội, website.
Trong trường hợp bị lộ hoặc nghi ngờ bị lộ Tên đăng nhập/Mật khẩu, khách hàng cần nhanh chóng thông báo tới ngân hàng để được hỗ trợ kịp thời; trường hợp bị mất thẻ cần khóa thẻ trên ứng dụng ngân hàng điện tử càng sớm càng tốt, tránh nguy cơ bị mất tiền trong tài khoản thẻ.
Khi mở và sử dụng tài khoản ngân hàng, khách hàng cần lưu ý:
Tuyệt đối không thuê, cho thuê, mượn, cho mượn tài khoản ngân hàng, tuyệt đối không mua, bán thông tin tài khoản ngân hàng. Đây là hành vi bất hợp pháp, sẽ bị xử phạt theo quy định của pháp luật.
Không sử dụng giấy tờ tùy thân của mình để mở hộ hoặc bán tài khoản thanh toán thẻ cho người khác. Việc cho mượn tên, giấy tờ để làm thẻ, mở tài khoản có thể là hình thức tiếp tay cho kẻ lừa đảo.
Trường hợp đã từng mở tài khoản ngân hàng sau đó chuyển cho người khác sử dụng, người dân cần mang giấy tờ cá nhân đến ngân hàng để làm thủ tục đóng tài khoản đó nhằm bảo vệ mình, đồng thời ngăn chặn các đối tượng sử dụng tài khoản làm công cụ phạm tội. Song song đó, người dân không cung cấp thông tin cá nhân, mật khẩu của các tài khoản mạng xã hội, ngân hàng, ví điện tử và mã OTP cho những người lạ hoặc chuyển tiền cho tổ chức, cá nhân mạo danh cán bộ, cơ quan nhà nước để giải quyết các thủ tục pháp lý, từ đó đối tượng dễ dàng chiếm đoạt tài sản...
Chủ động giữ kín các thông tin cá nhân/thông tin tài khoản, không tiết lộ cho bất kỳ ai để tránh các trường hợp chủ quan, bị lợi dụng gây mất tiền, tài sản.
Nếu phát hiện đối tượng có hành vi nhờ mở tài khoản ngân hàng, mở thẻ hoặc mua bán tài khoản ngân hàng với số lượng lớn thì cần kịp thời báo cơ quan Công an nơi gần nhất để xử lý.
1 IPS (Intrusion Prevention Systems - Hệ thống ngăn ngừa xâm nhập) là hệ thống theo dõi, ngăn ngừa kịp thời các hoạt động xâm nhập không mong muốn.
2 Một cuộc tấn công từ chối dịch vụ (DoS là viết tắt của từ Denial-of-Service) hay tấn công từ chối dịch vụ phân tán (DDoS là viết tắt của Distributed Denial-of-Service) là một nỗ lực làm cho những người dùng không thể sử dụng tài nguyên của một máy tính.
3 PCI DSS viết tắt cho Payment Card Industry Data Security Standard là một tiêu chuẩn an ninh thông tin bắt buộc dành cho các doanh nghiệp lưu trữ, truyền tải và xử lý thẻ thanh toán quản lý bởi 05 tổ chức thanh toán quốc tế như Visa, MasterCard, American Express, Discover và JCB.
Tài liệu tham khảo:
1. https://mic.gov.vn
2. https://vi.wikipedia.org
3. https://viettelidc.com.vn
Thanh Thảo
Ngân hàng Nhà nước Việt Nam
https://tapchinganhang.gov.vn
