Nâng cao mức độ an toàn đối với các dịch vụ ngân hàng trên kênh số nhờ “lá chắn số” SIMO

Ảnh minh họa (Nguồn: Internet)

Ngân hàng một trong những ngành tiên phong trong chuyển đổi số và đã đạt được những kết quả sức ấn tượng. Điều này được thể hiện qua những con số tăng trưởng đáng ghi nhận về giao dịch, người dùng và những dịch vụ thanh toán, ngân hàng số đã trở thành một phần quen thuộc trong cuộc sống của người dân, doanh nghiệp. Tuy nhiên, chuyển đổi số ngân hàng vẫn còn nhiều thách thức như: Dữ liệu còn phân mảnh, thiếu tính liên thông, chưa có sự đồng bộ và chuẩn hóa của cơ sở hạ tầng giữa các ngành, lĩnh vực để tạo điều kiện thuận tiện nhất cho việc kết nối, tích hợp tạo lập hệ sinh thái số; thiếu nguồn nhân lực chất lượng cao, có kinh nghiệm, có kiến thức về nghiệp vụ và công nghệ phục vụ chuyển đổi số; đặc biệt xu hướng gia tăng tội phạm công nghệ với những thủ đoạn mới ngày càng tinh vi, khó lường, gia tăng rủi ro an ninh mạng và vẫn còn một bộ phận người dân còn e ngại khi tiếp cận và sử dụng các dịch vụ thanh toán trên nền tảng số…

Nhận diện các chiêu trò lừa đảo trực tuyến trong lĩnh vực ngân hàng

Thực tế, tình hình tội phạm sử dụng công nghệ cao ngày càng diễn biến phức tạp, có xu hướng gia tăng với những phương thức, thủ đoạn ngày càng tinh vi, biến đổi khó lường khi sử dụng các công nghệ mới, trí tuệ nhân tạo (AI) để tiếp cận và chiếm đoạt tài sản của người dân. Theo các chuyên gia, hành vi của các đối tượng này thường tập trung dưới một số hình thức như sau:

Lừa đảo chiếm quyền sử dụng điện thoại di động: Tội phạm sử dụng các hình thức lừa đảo nhằm điều khiển điện thoại, sau đó lấy cắp mật khẩu đăng nhập tài khoản ngân hàng và mã OTP giao dịch, thực hiện các lệnh chuyển tiền, các hình thức lừa đảo phổ biến như: (i) Mạo danh nhân viên nhà mạng đề nghị hỗ trợ chuyển sim 3G thành 4G miễn phí và chiếm đoạt quyền sở hữu số điện thoại để nhận mã OTP kết hợp với thông tin định danh đã thu thập được của khách hàng để kích hoạt lại dịch vụ ngân hàng điện tử, có quyền truy cập thực hiện các giao dịch chiếm đoạt tiền; (ii) Hướng dẫn cài đặt các ứng dụng giả mạo các ứng dụng chính thức của cơ quan nhà nước (như VssID, VNeID, eTaxMobile…) để lừa đảo, chiếm quyền điều khiển điện thoại nhằm chiếm đoạt tài sản của người dân.

Lừa đảo thông qua chiếm đoạt thông tin đăng nhập và xác thực: Dẫn dụ khách hàng truy cập vào các đường link giả trên website, email để lấy cắp, thu thập trái phép dữ liệu của khách hàng (thông tin tài khoản, mật khẩu/PIN/OTP, thông tin thẻ…), sau đó thực hiện hành vi chiếm đoạt tài sản: (i) Giả mạo tin nhắn thông báo của ngân hàng (SMS Brandname): Sử dụng thiết bị giả trạm thu phát sóng di động (BTS) phát tin nhắn giả mạo thương hiệu ngân hàng, gửi thông báo kèm theo đường link giả để lừa đảo khách hàng nhập thông tin; (ii) Giả mạo trang thông tin điện tử chính thống: Giả mạo các trang thông tin điện tử để lừa đảo thu thập thông tin tài khoản, thẻ, đăng nhập ứng dụng của người dùng; (iii) Giả mạo website chuyển/nhận tiền từ nước ngoài: Gửi Email/SMS chứa link truy cập Website giả mạo của dịch vụ chuyển/nhận tiền từ nước ngoài để người dùng nhập thông tin đăng nhập Internet Banking hoặc thông tin thẻ; (iv) Giả mạo tổ chức để đánh cắp thông tin: Mạo danh các tổ chức yêu cầu khách hàng cung cấp thông tin, thẻ, mật khẩu/PIN/OTP để thực hiện giao dịch chiếm đoạt tiền bất hợp pháp; (v) Cài cắm ứng dụng link quảng cáo cờ bạc, cá độ, tín dụng đen: Các đối tượng gài bẫy quảng cáo, ứng dụng cho vay. Nạn nhân sau khi cài đặt ứng dụng và cấp quyền cho ứng dụng truy cập điện thoại sẽ bị kẻ gian chiếm đoạt thông tin cá nhân; (vi) Gửi bưu phẩm tới nhà thông qua shipper, bên trong có thông báo trúng thưởng chứa mã QR để quét, truy cập vào đường link có chứa mã độc nhằm chiếm quyền điều khiển thiết bị, đánh cắp thông tin người dùng.

Lừa đảo chiếm đoạt trực tiếp tiền của khách hàng: (i) Giả danh công an, viện kiểm sát, tòa án: Gọi điện đe dọa khách hàng có liên quan đến vụ án, đường dây tội phạm, yêu cầu khách hàng chuyển tiền đến các tài khoản chỉ định để phục vụ điều tra; (ii) Giả danh nhân viên y tế báo người thân đang cấp cứu: Gọi điện thoại thông báo người thân đang nằm cấp cứu trong bệnh viện, yêu cầu chuyển tiền mổ gấp; (iii) Chuyển nhầm tiền vào tài khoản ngân hàng: Lừa đảo chuyển nhầm tiền vào tài khoản ngân hàng và giả danh người thu hồi nợ để yêu cầu trả lại số tiền; (iv) Cuộc gọi video Deepfake, Deepvoice: Các đối tượng sử dụng công nghệ AI để tạo ra những video hoặc hình ảnh giả, sao chép chân dung nhằm tạo ra các đoạn video giả người thân, bạn bè để thực hiện các cuộc gọi lừa đảo trực tuyến; (v) Giả mạo biên lai chuyển tiền thành công: Các đối tượng lừa nạn nhân mua hàng số lượng lớn trên mạng xã hội, làm giả biên lai chuyển tiền thành công bằng phần mềm; (vi) Combo du lịch giá rẻ: Lừa đảo chiếm đoạt tiền bạc, thông tin cá nhân qua các hình thức bẫy mua dịch vụ du lịch trọn gói; (vii) Chiếm quyền/giả mạo tài khoản mạng xã hội: Hack tài khoản mạng xã hội của các cá nhân và gửi tin nhắn lừa đảo nhờ chuyển khoản, mua thẻ điện thoại, vay mượn tiền đến danh sách bạn bè, người thân để chiếm đoạt tiền.

Ngoài ra, tội phạm sử dụng một số phương thức, thủ đoạn khác như: Cắt ghép hình ảnh, video nhạy cảm nhằm mục đích lừa đảo, tống tiền; thông qua hoạt động tuyển dụng việc làm online, tuyển cộng tác viên bán hàng online... để lừa nạn nhân thanh toán tiền cọc hay tiền hàng rồi chiếm đoạt hay thủ đoạn bẫy tình, tặng quà có giá trị để lừa đảo chiếm tài sản…

Đồng bộ các giải pháp đảm bảo an toàn cho các giao dịch ngân hàng trên môi trường mạng

Về phía ngành Ngân hàng, công tác an ninh, an toàn thông tin, bảo mật dữ liệu là nhiệm vụ quan trọng hàng đầu nhằm đảm bảo an toàn cho chính ngân hàng và đảm bảo quyền lợi khách hàng. Thời gian qua, ngành Ngân hàng đã và đang triển khai nhiều giải pháp mang tính tổng thể, đồng bộ.

Về hành lang pháp lý, Ngân hàng Nhà nước Việt Nam (NHNN) đã xây dựng các cơ chế, chính sách, pháp luật thúc đẩy thanh toán không dùng tiền mặt, chuyển đổi số, đồng thời tăng cường an ninh, bảo mật thông tin ngân hàng và an toàn trong hoạt động thanh toán. Bên cạnh các Nghị định, Chỉ thị của Chính phủ, NHNN đã ban hành nhiều Thông tư quy định chi tiết, hướng dẫn thi hành Luật Các tổ chức tín dụng (TCTD), Nghị định quy định về thanh toán không dùng tiền mặt; yêu cầu các TCTD thực hiện nghiêm các quy định về an ninh, bảo mật.

Trong đó, NHNN đã bổ sung hàng loạt các quy định về việc đảm bảo định danh chính chủ khi thực hiện các giao dịch thanh toán trực tuyến, trong đó quy định: (i) Khách hàng chỉ được thực hiện rút tiền, thanh toán điện tử trên tài khoản thanh toán sau khi đã đối chiếu khớp đúng giấy tờ tùy thân và thông tin sinh trắc học của chủ tài khoản hoặc người đại diện; đồng thời phải gặp mặt trực tiếp và xác thực sinh trắc học đối với khách hàng cá nhân hoặc người đại diện hợp pháp của tổ chức, trừ một số trường hợp theo quy định; (ii) Yêu cầu áp dụng giải pháp xác thực sinh trắc học đối với các giao dịch trực tuyến¹; (iii) Xử phạt vi phạm hành chính trong lĩnh vực tiền tệ và ngân hàng quy định xử phạt đối với hành vi lợi dụng tài khoản thanh toán/ví điện tử để thực hiện những hành vi vi phạm pháp luật.

Bên cạnh đó, NHNN thường xuyên kiểm tra tuân thủ việc thực hiện các văn bản, chính sách về an ninh, an toàn thông tin.

Về công nghệ, ngành Ngân hàng đã áp dụng các giải pháp công nghệ hiện đại về an toàn, bảo mật khi cung cấp dịch vụ trực tuyến như áp dụng nhiều biện pháp kỹ thuật trong đó nổi bật là áp dụng thành công giải pháp đối khớp thông tin sinh trắc học, tích hợp hệ thống định danh và xác thực điện tử (VNeID) để nhận biết chính xác khách hàng đăng ký và sử dụng dịch vụ ngân hàng; làm sạch dữ liệu khách hàng, loại bỏ tài khoản thanh toán, ví điện tử sử dụng thông tin giả, không chính chủ (được mua bán) để sử dụng cho các hoạt động bất hợp pháp. Theo đó, ngành Ngân hàng triển khai tích cực việc làm sạch dữ liệu, nhận biết, xác minh chính xác thông tin khách hàng. Tính đến hết ngày 20/3/2026, cả ngành Ngân hàng đã có hơn 151,4 triệu hồ sơ khách hàng cá nhân; hơn 1,82 triệu hồ sơ khách hàng tổ chức đã được đối chiếu thông tin sinh trắc học qua căn cước công dân (CCCD) gắn chíp hoặc ứng dụng VNeID, góp phần nâng cao hiệu quả quản lý và bảo đảm an toàn giao dịch.

Đồng thời, hệ thống SIMO do NHNN triển khai cho phép các tổ chức thành viên tham gia thực hiện báo cáo thông tin về các tài khoản đáng ngờ khi phát hiện và chia sẻ thông tin tới các thành viên khác. Trên cơ sở nguồn dữ liệu tập trung của hệ thống SIMO, các TCTD có thể đưa ra các quyết định thực hiện ngăn chặn giao dịch ngay lập tức hoặc yêu cầu xác thực, định danh tài khoản trước khi thực hiện giao dịch trực tuyến, qua đó góp phần giúp giảm thiểu tình trạng gian lận, lừa đảo, bảo vệ an toàn tài khoản của khách hàng. Đây là công cụ hỗ trợ hiệu quả trong công tác quản lý rủi ro, phòng, chống gian lận, đồng thời góp phần nâng cao mức độ an toàn và niềm tin của người dân, doanh nghiệp đối với các dịch vụ thanh toán trên kênh số nói riêng và hoạt động ngân hàng nói chung.

Tính đến ngày 23/3/2026, hệ thống SIMO đã triển khai đến 149 đơn vị (gồm 99 TCTD và 50 tổ chức trung gian thanh toán) với tổng số hơn 688 nghìn bản ghi tài khoản thanh toán/ví điện tử/thẻ ngân hàng/đơn vị chấp nhận thanh toán có dấu hiệu nghi ngờ gian lận, lừa đảo, vi phạm pháp luật. Đồng thời, hệ thống đã hỗ trợ cảnh báo đến 3,5 triệu lượt khách hàng, trong đó có hơn 1,1 triệu lượt khách hàng đã tạm dừng/hủy bỏ giao dịch sau khi nhận được cảnh báo, với tổng số tiền giao dịch tương ứng là hơn 3,99 nghìn tỉ đồng).

Ngoài ra, ngành Ngân hàng cũng tích cực hợp tác quốc tế, phối hợp liên ngành về phòng, chống tội phạm sử dụng công nghệ cao trong lĩnh vực ngân hàng tại Việt Nam. Từ năm 2022, NHNN đã tham gia Mạng lưới chia sẻ thông tin và tăng cường an ninh mạng (CRISP) của ngân hàng trung ương các nước ASEAN. Định kỳ hằng năm, Mạng lưới CRISP họp tối thiểu 2 lần (trực tiếp hoặc trực tuyến), trao đổi và thảo luận các vấn đề về an toàn, an ninh thông tin xảy ra tại các nước liên quan đến lĩnh vực ngân hàng.

NHNN đã phối hợp với Bộ Công an ban hành Kế hoạch phối hợp 01/KHPH-BCA-NHNNVN ngày 24/4/2023, trong đó bao gồm các nội dung về khai thác, kết nối Cơ sở dữ liệu quốc gia về dân cư, CCCD gắn chíp, ứng dụng tài khoản VNeID để làm sạch dữ liệu, nhận biết, xác minh chính xác khách hàng nhằm phòng, chống, ngăn ngừa việc tội phạm mạo danh, sử dụng giấy tờ tùy thân giả mạo đăng ký sử dụng dịch vụ ngân hàng cho mục đích bất hợp pháp.

Triển khai Công điện số 29/CĐ-TTg ngày 03/4/2025 của Thủ tướng Chính phủ về tăng cường phòng ngừa, xử lý tội phạm lừa đảo công nghệ cao, NHNN đang phối hợp với Bộ Công an, Bộ Khoa học và Công nghệ và các đơn vị liên quan thực hiện đối chiếu thông tin chủ thuê bao di động sử dụng Mobile Banking với thông tin chủ tài khoản thanh toán; đồng thời triển khai tổng rà soát tài khoản thanh toán và sim điện thoại nhằm tăng cường quản lý nhà nước và phòng ngừa lừa đảo trực tuyến. Tính đến tháng 11/2025, Bộ Khoa học và Công nghệ đã phối hợp với Bộ Công an đối soát hơn 125 triệu thuê bao di động, trong đó chuẩn hóa 11 triệu và chặn 6 triệu thuê bao không chính chủ.

Thời gian tới, trước diễn biến phức tạp của gian lận trực tuyến, tội phạm sử dụng công nghệ cao ngày càng tinh vi với nhiều chiêu trò lừa đảo chiếm đoạt tiền trong tài khoản của khách hàng, để tiếp tục phát huy kết quả đạt được và ứng phó với những diễn biến, ngành Ngân hàng cần tiếp tục tập trung vào các giải pháp đồng bộ sau:

Về phía NHNN, tiếp tục nghiên cứu, rà soát, sửa đổi, bổ sung quy định pháp lý đảm bảo an ninh, an toàn thông tin và hoạt động thanh toán. Đồng thời, NHNN tiếp tục: (i) Phối hợp với Bộ Công an chỉ đạo các TCTD đẩy mạnh triển khai Kế hoạch 01 về triển khai Đề án 06 để làm sạch dữ liệu, xác thực khách hàng và ứng dụng, triển khai các hoạt động nghiệp vụ ngân hàng; (ii) Phối hợp với Bộ Khoa học và Công nghệ, Bộ Công an làm sạch và đồng bộ thông tin chủ thuê bao với Cơ sở dữ liệu quốc gia về dân cư để thực hiện đối khớp thông tin chủ thuê bao với chủ tài khoản thanh toán, góp phần đấu tranh hiệu quả với tội phạm sử dụng công nghệ cao lừa đảo, chiếm đoạt tài sản trên không gian mạng.

Về phía các TCTD, cần ưu tiên nguồn lực cho an toàn thông tin, ứng dụng công nghệ bảo mật hiện đại; đồng thời đẩy mạnh triển khai các giải pháp phòng, chống, phát hiện các hành vi can thiệp trái phép vào ứng dụng Mobile Banking đã cài đặt trong thiết bị di động của khách hàng. Khi phát hiện các dấu hiệu: (i) Có trình gỡ lỗi được gắn vào hoặc môi trường có trình gỡ lỗi đang hoạt động; hoặc khi ứng dụng bị chạy trong môi trường giả lập/máy ảo/thiết bị giả lập; hoặc hoạt động ở chế độ cho phép máy tính giao tiếp trực tiếp với thiết bị Android; (ii) Phần mềm ứng dụng bị chèn mã bên ngoài ứng dụng khi đang chạy, thực hiện các hành vi như theo dõi các hàm được chạy, ghi lại log dữ liệu truyền qua các hàm, ứng dụng lập trình ứng dụng (API)...; hoặc phần mềm ứng dụng bị can thiệp, đóng gói lại; (iii) Thiết bị đã bị phá khóa, hoặc bị mở khóa cơ chế bảo vệ, giải pháp buộc ứng dụng Mobile Banking phải tự động thoát hoặc dừng hoạt động.

Ngành Ngân hàng cần tiếp tục mở rộng kết nối Cơ sở dữ liệu quốc gia về dân cư, tài khoản VNeID ứng dụng CCCD gắn chíp, triển khai đối chiếu, kiểm tra thông tin số điện thoại đăng ký giao dịch và cập nhật, triển khai các công nghệ mới trong bảo mật, xác thực khách hàng. Tiếp tục đẩy nhanh thực hiện triển khai, vận hành hệ thống SIMO, trong đó triển khai dịch vụ truy vấn cảnh báo khách hàng về tài khoản, ví điện tử nghi ngờ có dấu hiệu lừa đảo, gian lận. Đồng thời, tiếp tục đẩy mạnh truyền thông, thông tin đến các khách hàng dưới nhiều hình thức để hướng dẫn, nâng cao nhận thức, hiểu biết của khách hàng sử dụng dịch vụ thanh toán an toàn.

Về phía người sử dụng dịch vụ, để đảm bảo an ninh, bảo mật, tránh bị lộ lọt thông tin tài khoản và tránh bị mất tiền trong tài khoản, người sử dụng nâng cao ý thức bảo mật thông tin và chủ động phòng ngừa rủi ro. Theo đó, người dùng cần lưu ý:

Thứ nhất, bảo mật tuyệt đối thông tin cá nhân và thông tin tài khoản; không cung cấp tên đăng nhập, mật khẩu, mã OTP, thông tin thẻ cho bất kỳ tổ chức, cá nhân nào dưới mọi hình thức, kể cả trong trường hợp người liên hệ có giọng nói, hình ảnh giống với người quen hoặc nhân viên ngân hàng.

Thứ hai, chỉ sử dụng các kênh giao dịch chính thức của ngân hàng, cài đặt ứng dụng từ nguồn tin cậy, đồng thời hạn chế đăng nhập tài khoản trên thiết bị lạ hoặc mạng wi-fi công cộng, không truy cập các đường link gửi trong các tin nhắn hoặc email được gửi đến từ ngân hàng vì đây là các tin nhắn, email mạo danh ngân hàng.

Thứ ba, nâng cao cảnh giác trước các hành vi, chiêu trò lừa đảo trên không gian mạng, đặc biệt là các cuộc gọi, tin nhắn, đường link giả mạo yêu cầu cung cấp thông tin hoặc chuyển tiền, các tình huống tạo áp lực, khẩn cấp (ví dụ: Yêu cầu chuyển tiền ngay để “xử lý sự cố”, “bảo vệ tài khoản”, “hỗ trợ người thân gặp nạn”), các tình huống mạo danh tạo áp lực như giả danh cơ quan công an, viện kiểm sát, nhân viên y tế, hoặc giả mạo người thân qua cuộc gọi, video (Deepfake) để yêu cầu chuyển tiền khẩn cấp.

Thứ tư, thường xuyên theo dõi biến động số dư và kiểm tra giao dịch, kịp thời phát hiện và xử lý các dấu hiệu bất thường.

Thứ năm, khi phát hiện rủi ro hoặc nghi ngờ bị lộ thông tin, cần chủ động khóa tài khoản, liên hệ ngay với ngân hàng hoặc cơ quan chức năng để được hỗ trợ kịp thời

Tài liệu tham khảo

1. Quyết định 06/QĐ-TTg ngày 06/01/2022 của Thủ tướng Chính phủ phê duyệt Đề án phát triển ứng dụng dữ liệu về dân cư, định danh và xác thực điện tử phục vụ chuyển đổi số quốc gia giai đoạn 2022 - 2025, tầm nhìn đến năm 2030 (Đề án 06).

2. Thông tư số 07/2024/TT-NHNN ngày 21/6/2024 của Thống đốc NHNN quy định về hoạt động đại lý thanh toán.

3. Thông tư số 08/2024/TT-NHNN ngày 25/6/2024 của Thống đốc NHNN quy định về việc quản lý, vận hành và sử dụng Hệ thống thanh toán điện tử liên ngân hàng Quốc gia.

4. Thông tư số 15/2024/TT-NHNN ngày 28/6/2024 của Thống đốc NHNN quy định về cung ứng dịch vụ thanh toán không dùng tiền mặt.

5. Thông tư số 17/2024/TT-NHNN ngày 28/6/2024 của Thống đốc NHNN quy định việc mở và sử dụng tài khoản thanh toán tại tổ chức cung ứng dịch vụ thanh toán.

6. Thông tư số 18/2024/TT-NHNN ngày 28/6/2024 của Thống đốc NHNN quy định về hoạt động thẻ ngân hàng.