Tóm tắt: Ngân hàng trực tuyến (Internet Banking) ứng dụng những công nghệ quan trọng, phổ biến với nhiều tính năng mới được cập nhật liên tục nhằm tạo ra sự thuận tiện cho người dùng. Hiện nay, hầu hết các ngân hàng đều đã cung cấp các ứng dụng trực tuyến về dịch vụ, sản phẩm cho khách hàng. Tuy nhiên, đi kèm với nó là rủi ro đối với ngân hàng và khách hàng vì sự đổi mới mà công nghệ có thể mang lại những lỗ hổng bảo mật. Bài viết cung cấp một số mối đe dọa và các biện pháp bảo vệ dữ liệu, thông tin, quyền riêng tư trong hệ thống Internet Banking.
Từ khóa: Bảo mật ngân hàng trực tuyến, công nghệ bảo mật, lỗ hổng bảo mật.
SECURITY VULNERABILITIES IN INTERNET BANKING AND MOBILE BANKING
Abstract: Mobile banking and Internet Banking are essential and popular technologies with many new features that are constantly updated to create convenience for users. Therefore, most financial companies provide applications for services and products to customers. However, it may bring risks for banks and users because of technology’s innovations in terms of security holes. The article provides some threats and measures to protect data, information, and privacy in Internet banking and Mobile banking systems.
Keywords: Internet banking security, security technologies, security vulnerabilities
1. Giới thiệu về Internet Banking
Internet Banking là một hệ thống thanh toán điện tử cho phép khách hàng của ngân hàng hoặc tổ chức tài chính thực hiện một loạt các giao dịch tài chính trực tuyến, thông qua các trang web của tổ chức tài chính. Hệ thống Internet Banking thường là một phần của hệ thống ngân hàng cốt lõi hoặc kết nối với hệ thống ngân hàng cốt lõi. Điều này trái ngược với ngân hàng chi nhánh vốn là cách truyền thống mà khách hàng tiếp cận với dịch vụ ngân hàng.
Sự phát triển của công nghệ di động và Internet Banking là một giải pháp quan trọng cho ngành Ngân hàng để khắc phục các nhược điểm cồng kềnh của hệ thống cũ, sự phát triển của ngân hàng di động và Internet Banking tăng tương đương với tốc độ phát triển của công nghệ.
Internet Banking giúp khách hàng quản lí tài khoản ngân hàng thông qua Internet bằng máy tính hoặc điện thoại di động. Với giải pháp này, khi thực hiện các giao dịch thanh toán, khách hàng không cần đến trực tiếp các chi nhánh ngân hàng. Thậm chí, Internet Banking luôn hoạt động kể cả ngoài giờ làm việc của ngân hàng.
Internet Banking được tích hợp các công nghệ hiện đại và tối ưu. Chúng giúp người dùng tiết kiệm thời gian và chi phí giao dịch. Phần lớn dịch vụ của ngân hàng truyền thống đều được áp dụng trên hệ thống của Internet Banking, điển hình như: Chuyển khoản, thanh toán hóa đơn, gửi tiền, xác minh giao dịch, kiểm tra số dư tài khoản... Nền tảng này có phiên bản tương thích với cả máy tính và các thiết bị di động. Do đó, chỉ cần một chiếc smartphone là khách hàng có thể giao dịch mọi lúc, mọi nơi.
Khách hàng có thể truy cập tài khoản của mình thông qua Internet trên máy tính hoặc thiết bị di động. So với ngân hàng truyền thống, khách hàng sẽ không gặp nhân viên ngân hàng trực tiếp nhưng vẫn có thể tiếp cận tài khoản của mình bất cứ lúc nào. Để đăng nhập vào tài khoản Internet Banking, khách hàng cần có ID và password đã đăng kí trước đó.
Dịch vụ Internet Banking được cung ứng khá sớm ở các nước trên thế giới, năm 1980 dịch vụ này được cung ứng bởi một ngân hàng ở Scotland. Tuy nhiên, dịch vụ này chính thức được cung ứng bởi các ngân hàng vào năm 1990 và ngày càng mở rộng, phát triển tại Mỹ, châu Âu, Anh, châu Á - Thái Bình Dương. Hiện nay, Internet Banking đã và đang trở thành xu hướng chính của các ngân hàng trên toàn thế giới.
2. Phát triển Internet Banking tại Việt Nam
Tại Việt Nam, kể từ khi xuất hiện chính thức năm 2004 cho đến nay, dịch vụ Internet Banking ngày càng phổ biến, số lượng ngân hàng cung ứng và khách hàng sử dụng ngày càng gia tăng. Dịch vụ Internet Banking lúc mới triển khai ở Việt Nam chỉ có 03 ngân hàng, sau đó tăng dần, năm 2008, con số này đã lên đến 20 ngân hàng và đến năm 2015, hầu hết các ngân hàng thương mại (NHTM) đều cung cấp dịch vụ Internet Banking. Các ngân hàng đều đã cung cấp được các tính năng cơ bản sau đây cho dịch vụ Internet Banking: Truy vấn tài khoản, in sao kê, thanh toán, chuyển tiền, gửi tiền, cho vay... hướng tới sự tiện lợi nhất cho khách hàng trong các giao dịch với ngân hàng.
Triển khai Đề án phát triển thanh toán không dùng tiền mặt (TTKDTM) giai đoạn 2021 - 2025 ban hành kèm theo Quyết định số 1813/QĐ-TTg ngày 28/10/2021 của Thủ tướng Chính phủ, ngày 17/12/2021, Thống đốc Ngân hàng Nhà nước Việt Nam (NHNN) ban hành Quyết định số 2006/QĐ-NHNN về Kế hoạch triển khai thực hiện Quyết định số 1813/QĐ-TTg với mục tiêu tạo sự chuyển biến sâu, rộng về TTKDTM trong nền kinh tế, thúc đẩy sử dụng các phương tiện, dịch vụ TTKDTM và đã đạt được nhiều kết quả tích cực trong triển khai thực hiện.
Theo Vụ Thanh toán, NHNN, kết quả 11 tháng đầu năm 2022, TTKDTM trong nền kinh tế đạt hơn 6,6 tỉ giao dịch với giá trị hơn 192,38 triệu tỉ đồng (tăng 85,6% về số lượng và 31,39% về giá trị); qua kênh Internet đạt hơn 1.192 triệu giao dịch với giá trị hơn 45,4 triệu tỉ đồng (tăng 89,36% về số lượng và 40,55% về giá trị); qua kênh điện thoại di động đạt hơn 3.94 triệu giao dịch với giá trị đạt gần 39,4 triệu tỉ đồng (tăng 116,1% về số lượng và 92,3% về giá trị); qua phương thức QR Code đạt hơn 59,6 triệu giao dịch với giá trị hơn 58,4 nghìn tỉ đồng (tăng 182,5% về số lượng và 210,6% về giá trị); qua POS đạt hơn 564,5 triệu giao dịch, với giá trị đạt hơn 933 nghìn tỉ đồng (tăng tương ứng 53,57% và 48,78% so với năm 2021). Đến cuối năm 2022, đã có hơn 18,8 triệu tài khoản và thẻ được mở bằng eKYC, 20 ngân hàng báo cáo triển khai chính thức về mở thẻ ngân hàng bằng phương thức điện tử với hơn 13,2 triệu thẻ đang lưu hành.
Trong năm 2022, các tổ chức tín dụng, tổ chức trung gian thanh toán đã chú trọng phát triển mạnh hệ sinh thái số với các sản phẩm, dịch vụ, phương thức thanh toán mới, an toàn, tiện lợi, đem lại lợi ích thiết thực cho người dân, doanh nghiệp; nhiều dịch vụ, phương thức thanh toán mới như mở tài khoản/mở thẻ bằng eKYC, thanh toán/rút tiền tại ATM bằng QR Code, thanh toán thẻ chíp phi tiếp xúc (contactless chip), xác thực thanh toán sinh trắc học, mã hóa thông tin thẻ (tokenization) đã được các ngân hàng, tổ chức trung gian thanh toán tích hợp vào trong sản phẩm, dịch vụ để nâng cao tiện ích, an toàn, bảo mật, qua đó góp phần phổ biến TTKDTM đến với người dân. Trong tháng 11/2022, NHNN và Ngân hàng Trung ương Thái Lan đã tổ chức Lễ công bố kết nối thanh toán bán lẻ song phương sử dụng QR Code giữa Việt Nam và Thái Lan. Về phía Việt Nam, một số NHTM tham gia như NHTM cổ phần Tiên Phong, NHTM cổ phần Đầu tư và Phát triển Việt Nam, NHTM cổ phần Sài Gòn Thương Tín. Việc hợp tác hiệu quả giữa cơ quan quản lí, doanh nghiệp và hệ thống NHTM hai nước góp phần thúc đẩy giao thương, du lịch và đặc biệt là khuyến khích sử dụng đồng bản tệ mỗi nước.
3. Các vấn đề về an ninh, bảo mật cho Internet Banking
Bên cạnh các lợi ích do Internet Banking mang lại, các ngân hàng phải đối mặt với nhiều khó khăn liên quan đến vấn đề bảo mật.
Với sự phát triển của công nghệ và Internet, các cuộc tấn công mạng vào hệ thống Internet Banking và ngân hàng di động ngày càng tinh vi và phức tạp hơn. Các hacker có thể sử dụng các kĩ thuật tấn công như mã độc, tấn công giả mạo (Phishing) hoặc tấn công từ chối dịch vụ (DDoS) để tấn công vào hệ thống và chiếm quyền điều khiển các tài khoản của khách hàng.
Bảo mật trong hệ thống Internet Banking là rất quan trọng bởi vì ngân hàng là nơi lưu trữ và xử lí các thông tin tài chính nhạy cảm của khách hàng. Nếu thông tin này bị lộ ra ngoài hoặc bị truy cập trái phép, có thể gây ra các hậu quả nghiêm trọng như mất tiền hoặc các rủi ro do hoạt động gian lận tài chính khác. Do đó, để đảm bảo tính an toàn và bảo mật cho khách hàng, ngân hàng cần thực hiện các biện pháp bảo mật như mã hóa dữ liệu, xác thực khách hàng, giám sát và phát hiện các hoạt động bất thường, nâng cao nhận thức của khách hàng về các mối đe dọa bảo mật. Các công ty tài chính cần xác định các lỗ hổng bảo mật khác nhau để thực hiện các biện pháp xử lí phù hợp. Công ty dữ liệu quốc tế - IDC dự đoán rằng, các ngân hàng đang cố gắng tạo niềm tin cho khách hàng của họ với chi phí cho các phương pháp xác thực bảo mật thế hệ tiếp theo tăng 20%.
Khi đối phó với các cuộc tấn công Internet Banking, cần phải xem xét đó là loại đe dọa nào, các cuộc tấn công có thể chia làm ba nhóm: Tấn công vào thiết bị, mạng và trung tâm dữ liệu. Hiện nay, vấn đề bảo mật an toàn thông tin trong hệ thống ngân hàng vẫn đang tồn tại nhiều rủi ro và thách thức. Có thể kể đến:
- Lừa đảo qua xã hội, cộng đồng: Đây là loại lừa đảo được sử dụng phổ biến. Các đối tượng có thể tự nhận mình là đại diện ngân hàng hoặc quản trị viên hệ thống để lấy cắp thông tin nhạy cảm từ người dùng.
- Máy quét cổng Port Scanners: Kẻ tấn công dùng máy quét này để thu thập thông tin về phần cứng và phần mềm mà hệ thống đang chạy để phát triển một kế hoạch tấn công.
- Gói nghe lén Packet Sniffers: Kết nối giữa máy tính người dùng và máy chủ web để dò tìm, thu thập dữ liệu về thông tin thẻ tín dụng và mật khẩu của người dùng. Vì thế, người dùng nên sử dụng kết nối một lớp cổng bảo mật để ngăn chặn các cuộc tấn công này.
- Bẻ khóa mật khẩu Brute Force: Là một trong những phương án bẻ khóa mật khẩu hiệu quả. Các phương pháp phá khóa khác sử dụng bảng băm để giải mã các tệp mã hóa.
- Mã độc và virus Trojan: Về bảo mật thương mại điện tử, Trojan được coi là hình thức tấn công nguy hại nhất. Trojan có thể được cài đặt để theo dõi e-mail, SMS, truyền thông cơ sở dữ liệu và nhiều dịch vụ khác. Người tấn công có thể sử dụng các phần mềm độc hại để tấn công vào hệ thống Internet Banking và ngân hàng di động. Mã độc và virus có thể lây lan từ một thiết bị đến thiết bị khác thông qua các kết nối mạng và gây ra các tác hại như đánh cắp thông tin, tài khoản ngân hàng và tiền của người dùng.
-Tấn công Phishing: Đây là kĩ thuật lừa đảo thông qua việc gửi email giả mạo hoặc thông báo sai sự thật để đánh lừa người dùng cung cấp thông tin cá nhân hoặc tài khoản ngân hàng của họ. Đây là một trong những hình thức tấn công phổ biến nhất và gây ra nhiều thiệt hại cho người dùng và các tổ chức ngân hàng.
- Tấn công tương tác: Các tấn công tương tác có thể xảy ra thông qua các trang web giả mạo, trong đó người dùng bị yêu cầu cung cấp thông tin cá nhân hoặc tài khoản ngân hàng của họ. Điều này có thể dẫn đến việc tấn công Phishing hoặc tấn công mã độc.
- Thiết bị không an toàn: Người dùng có thể sử dụng các thiết bị không an toàn để truy cập vào hệ thống Internet Banking. Điều này có thể gây ra rủi ro bảo mật thông tin khi một thiết bị bị nhiễm virus hoặc bị chiếm quyền điều khiển từ xa.
- Quản lí tài khoản không an toàn: Người dùng có thể không tuân thủ các quy trình an toàn khi quản lí tài khoản của họ, chẳng hạn như sử dụng mật khẩu yếu hoặc chia sẻ thông tin cá nhân với người khác. Điều này có thể gây ra rủi ro bảo mật và bị tấn công.
4. Giải pháp bảo mật cho Internet Banking
4.1. Các tiêu chí về bảo mật
Để bảo vệ khách hàng khi sử dụng Internet Banking, các ngân hàng cần đảm bảo các tiêu chí sau:
- Chứng chỉ về mã hóa số: Các ngân hàng cần nâng cấp từ chứng chỉ công nghệ bảo mật, truyền thông mã hóa giữa máy chủ và trình duyệt (Secure Sockets Layer - SSL) chuẩn lên chứng chỉ SSL xác thực mở rộng để cung cấp một giải pháp thay thế tốt hơn cho khách hàng.
- Nhật kí thông tin: Các ngân hàng cần cung cấp tin tức hằng ngày như nhật kí đăng nhập và đăng xuất, giao dịch... điều này rất quan trọng để bảo mật thông tin.
- Yêu cầu đăng nhập: Ngoài ID người dùng và mật khẩu, phép thử tự động (CAPTCHA), xác thực hai yếu tố, sinh trắc học vân tay, mống mắt, gương mặt... cần được các ngân hàng cung cấp để bổ sung các biện pháp bảo mật cho khách hàng.
- Sử dụng bàn phím ảo: Sử dụng bàn phím ảo giúp người dùng đăng nhập bằng mật khẩu và thay đổi vị trí của các chữ cái và số trong mỗi quá trình nhập dữ liệu, điều này làm giảm nguy cơ tiềm ẩn đối với các cuộc tấn công Keylogger (công cụ được thiết kế để theo dõi các thao tác trên bàn phím).
- Yêu cầu về mật khẩu: Bao gồm độ khó của mật khẩu, yêu cầu sử dụng kết hợp cả chữ hoa, con số và kí tự đặc biệt. Cho phép giới hạn số lần nhập sai mật khẩu và tạm thời đóng băng tài khoản trong trường hợp nhập quá lần sai. Đây là một phương pháp hiệu quả cho các cuộc tấn công bẻ khóa (Brute Force).
- Quản lí phiên Session management: Đó là việc các ngân hàng bảo mật thông tin phiên giao dịch của người dùng. Điều quan trọng đối với việc quản lí phiên giao dịch là các Cookie (tệp do trang web người sử dụng truy cập tạo ra) đã được làm sạch chưa và các ngân hàng có sử dụng thông tin phiên giao dịch cho mục đích thống kê hay không?
- Xác thực hai yếu tố: Được các ngân hàng sử dụng để truy cập vào các ứng dụng ngân hàng, thanh toán hoặc chuyển tiền. Trong xác thực hai yếu tố, một mã xác minh được tạo ngẫu nhiên sẽ được gửi đến điện thoại di động của người dùng dưới dạng tin nhắn văn bản SMS hoặc qua địa chỉ email.
- Bảo vệ thông tin cá nhân và tài khoản của khách hàng: Thông tin cá nhân và tài khoản của khách hàng là tài sản quý giá của họ. Nếu như không được bảo vệ tốt, thông tin này có thể bị đánh cắp, sử dụng sai mục đích hoặc bị tấn công bởi những kẻ xấu. Vì vậy, hệ thống bảo mật trong Internet Banking cần phải được đảm bảo để bảo vệ thông tin của khách hàng.
- Ngăn chặn các hình thức tấn công mạng: Hiện nay, các hình thức tấn công mạng như virus Trojan, phần mềm độc hại, tấn công DDoS, Phishing... ngày càng tinh vi và phức tạp hơn. Việc bảo mật trong hệ thống Internet Banking có vai trò quan trọng trong việc ngăn chặn các hình thức tấn công này, đảm bảo an toàn cho khách hàng và ngân hàng.
- Đảm bảo tính toàn vẹn và sẵn sàng của hệ thống: Tính toàn vẹn và sẵn sàng của hệ thống là yếu tố quan trọng trong hoạt động của ngân hàng. Việc bảo mật trong hệ thống Internet Banking và ngân hàng di động giúp đảm bảo tính toàn vẹn của dữ liệu, tránh tình trạng bị tấn công và làm gián đoạn hoạt động của ngân hàng.
- Tuân thủ các quy định pháp luật: Ngành Ngân hàng là một trong những Ngành được quy định chặt chẽ bởi pháp luật. Việc bảo mật trong hệ thống Internet Banking đồng nghĩa với tuân thủ các quy định pháp luật.
4.2. Một số giải pháp an ninh, bảo mật cho Internet Banking
Để đảm bảo an ninh, bảo mật cho Internet Banking, tác giả đưa ra một số giải pháp cho các ngân hàng và khách hàng như sau:
- Bảo vệ trình duyệt: Bảo vệ cấp trình duyệt Internet được sử dụng để truy cập hệ thống ngân hàng và một phần bộ nhớ trình duyệt để phát hiện phần mềm độc hại, ngăn chặn việc bị đánh cắp thông tin nhạy cảm.
- Đăng kí thiết bị: Cần đăng kí các thiết bị để truy cập vào Internet Banking; mật khẩu chi tiết và thông tin đăng nhập được yêu cầu khi ghép nối các thiết bị khác nhau. Đăng nhập ứng dụng ngân hàng bằng vân tay, gương mặt, mống mắt cũng có thể được sử dụng như một phương pháp bảo mật bổ sung.
- Nhận dạng chủ động: Người dùng cần nhập một số thông tin bí mật, chuỗi khóa, PIN, địa chỉ xác minh… mà chỉ người đó biết để xác thực.
- Giám sát giao dịch: Phát hiện, cảnh báo và ngăn chặn gian lận được thực hiện bằng phân tích lịch sử giao dịch với các ứng dụng trí tuệ nhân tạo.
- Chứng chỉ số: Có thể được quản lí từ xa hoặc có thể được sử dụng đồng thời bởi nhiều người dùng.
- Phần mềm chống virus phải được cài đặt và cập nhật: Thực hiện quét virus trên cả thiết bị người dùng và máy chủ Internet thường xuyên.
- Không được vào các liên kết không an toàn và thông tin cá nhân để tránh bị lừa đảo: Các liên kết giả mạo có thể được hiển thị dưới dạng quảng cáo, đặc biệt là trên phương tiện truyền thông mạng xã hội. Hạn chế kết nối mạng không bảo mật như các địa chỉ wifi miễn phí, địa chỉ wifi cộng đồng hoặc không xác định danh tính IP.
- Các ứng dụng ngân hàng, chỉ nên tải xuống thông qua kho ứng dụng chính thức như từ Apple, Amazon, Google… vì nó đã được sàng lọc các lỗi bảo mật.
- Số dư tài khoản nên được kiểm tra thường xuyên.
- Sử dụng mật khẩu một lần (OTP) và các tính năng sinh trắc học như nhận dạng vân tay, giọng nói, mống mắt hoặc khuôn mặt: Hệ thống nhận dạng sinh trắc học được phát triển cho các thiết bị di động đang được tích hợp và sử dụng trong các ứng dụng Internet Banking, do đó, cùng với sự phát triển của công nghệ thông tin và điện tử truyền thông, sẽ có nhiều tính năng bảo mật di động ra đời, ví dụ như công nghệ Lidar cho phép quét vật thể đa chiều thay vì nhận dạng gương mặt hai chiều như hiện tại (có thể bị hack bởi hình ảnh hoặc video của chủ tài khoản).
5. Kết luận
Trong khi các ngân hàng tiếp tục thực hiện các biện pháp bảo mật mới và mạnh mẽ hơn dành cho các ứng dụng Internet Banking thì các lỗ hổng bảo mật vẫn được tin tặc tìm kiếm bằng nhiều phương pháp khác nhau. Vì lí do này, các ngân hàng bắt buộc phải thường xuyên kiểm định mức độ an toàn từ giai đoạn đầu khi phát triển phần mềm, đặc biệt là các thử nghiệm thâm nhập. Mọi tính năng mới được phát triển có thể gây ra lỗ hổng bảo mật khác nhau, do đó các điểm yếu trong các hệ thống hiện có phải được phân tích kĩ lưỡng để thiết kế hệ thống xác thực tốt và phù hợp thực tế hơn.
Việc bảo mật trong hệ thống Internet Banking cũng giúp ngăn chặn các loại tấn công phá hoại, thay đổi thông tin trên tài khoản và các hoạt động lừa đảo khác nhau. Hệ thống bảo mật cũng bao gồm việc sử dụng các mã hóa mạnh để bảo vệ thông tin trong quá trình chuyển tải và lưu trữ dữ liệu, giúp đảm bảo tính bảo mật và ngăn chặn những người không có quyền truy cập thông tin nhạy cảm.
Internet Banking đã trở thành một phần không thể thiếu trong cuộc sống hiện đại, mang lại nhiều tiện ích và thuận lợi cho người dùng. Tuy nhiên, với sự phát triển của công nghệ thông tin, mối đe dọa về an ninh thông tin cũng tăng lên đáng kể. Nếu hệ thống bảo mật không được đảm bảo đủ tốt, thông tin cá nhân và tài khoản ngân hàng của khách hàng có thể bị đánh cắp hoặc lộ ra ngoài. Vì vậy, việc bảo mật trong hệ thống Internet Banking là cực kì quan trọng để giữ cho thông tin cá nhân và tài khoản ngân hàng của khách hàng được an toàn và bảo vệ khỏi những mối đe dọa từ các tấn công mạng và hoạt động lừa đảo trực tuyến.
ThS. Lý Thu Trang (Trường Đại học Công nghệ thông tin và Truyền thông, Đại học Thái Nguyên)
ThS. Hoàng Thị Hường (Trường Đại học Kinh tế - Kĩ thuật Công nghiệp)
https://tapchinganhang.gov.vn
