Với nhiều thủ đoạn ngày càng tinh vi, tội phạm công nghệ cao đã thực hiện các hành vi lừa đảo, lấy cắp thông tin tài khoản ngân hàng và chiếm đoạt tiền trong tài khoản, thẻ ngân hàng của khách hàng. Phía các ngân hàng cũng liên tục đưa ra khuyến cáo với khách hàng. Tuy nhiên, bên cạnh sự đầu tư về hạ tầng kỹ thuật và công nghệ bảo mật, nguồn lao động kỹ thuật công nghệ có tay nghề cao từ phía ngân hàng thì sự phối hợp của khách hàng cũng rất quan trọng.
 

Thực tế hiện nay, hoạt động thanh toán vẫn còn tồn tại những nguy cơ rủi ro, gian lận với một số phương thức, thủ đoạn của tội phạm có ứng dụng công nghệ cao như: Thủ đoạn phishing để lấy thông tin nhằm chiếm đoạt tiền trên tài khoản của khách hàng; cài đặt phần mềm, mã độc lấy cắp thông tin tài khoản của khách hàng khi khách hàng giao dịch thanh toán, mua sắm trực tuyến; lắp đặt thiết bị để sao chép, trộm cắp dữ liệu thẻ ngân hàng (thiết bị skimming) tại các ATM nhằm lấy cắp thông tin thẻ và mã PIN; mua, thuê người hoặc sử dụng giấy tờ giả mở tài khoản để nhận, chuyển tiền lừa đảo, cá độ trực tuyến, rửa tiền...; cung cấp dịch vụ, chấp nhận thanh toán thẻ tại các cửa hàng phục vụ khách du lịch nước ngoài trái quy định (sử dụng POS, QR Code của ngân hàng nước ngoài để thanh toán tại Việt Nam);...
 

Mới đây, các ngân hàng lại đưa ra khuyến cáo về thủ đoạn mà các đối tượng lừa đảo, tội phạm công nghệ cao lợi dụng dịch Covid-19 để lừa đảo. Thủ đoạn phổ biến là giả mạo các cơ quan nhà nước, cơ quan chức năng phòng chống dịch bệnh, Ban Chỉ đạo phòng chống dịch quốc gia, Bộ Y tế... để gửi thư điện tử (email) có chủ đề liên quan Covid-19 như “Cập nhật thông tin về Covid-19”, “Bán bộ kit test nhanh Covid-19” hoặc “Khai báo y tế liên quan đến Covid-19”... Những email này được đính kèm tệp tin chứa virus, mã độc hoặc đường link dẫn tới địa chỉ website, ứng dụng có lưu trữ các tệp tin chứa virus, mã độc. Khi người nhận email mở tệp tin hoặc truy cập vào đường link hay tải ứng dụng theo đường link, virus, mã độc sẽ lập tức được tải tự động và cài đặt trên thiết bị cá nhân của người nhận email, đánh cắp thông tin để thực hiện các giao dịch chiếm đoạt tài sản sau đó.
 

Một thủ đoạn cũng được các đối tượng lừa đảo hay dùng là gửi các tin nhắn lừa đảo. Theo đó, tội phạm sẽ gửi tin nhắn văn bản, tin nhắn đa phương tiện có chứa đường link liên kết đến trang website giả mạo có tên địa chỉ truy cập và hình thức gần giống với website chính thức của ngân hàng, tổ chức tài chính, trung gian thanh toán,... yêu cầu người nhận thực hiện cung cấp thông tin và tội phạm đánh cắp để thực hiện các giao dịch chiếm đoạt tài sản.
 

Các đối tượng lừa đảo cũng có thể lợi dụng các website quyên góp từ thiện liên quan đến dịch Covid-19 để cài mã độc lấy cắp thông tin và chiếm đoạt tài sản.
 

Ngoài ra, các đối tượng lừa đảo thường áp dụng là thực hiện các cuộc gọi lừa đảo. Cụ thể, kẻ gian có thể lợi dụng việc giãn cách xã hội và nhiều trường hợp làm việc từ xa để gọi điện giả mạo dưới phương thức là bộ phận hỗ trợ công nghệ cho những người phải làm việc từ xa, từ đó, lừa người dân cung cấp thông tin dịch vụ ngân hàng điện tử nhằm đánh cắp thông tin và thực hiện giao dịch lấy cắp tiền trên tài khoản.
 

Tăng cường an ninh, bảo mật cần sự phối hợp từ nhiều phía
 

Về phía ngành Ngân hàng
 

Thời gian qua, ngành Ngân hàng đã triển khai các biện pháp nhằm đảm bảo an ninh, an toàn trong hoạt động thanh toán để tránh tình trạng mất tiền trong tài khoản cũng như bảo vệ quyền lợi cho khách hàng. NHNN đã ban hành nhiều văn bản quy phạm pháp luật nhằm hoàn thiện khuôn khổ pháp lý về hoạt động thanh toán, trong đó tăng cường quy định về an toàn, bảo mật trong hoạt động thanh toán, như:
 

+ Ban hành Thông tư 36/2012/TT-NHNN ngày 28/12/2012 quy định về trang bị, quản lý, vận hành và đảm bảo an toàn hoạt động của máy giao dịch tự động (được sửa đổi, bổ sung bởi Thông tư 20/2016/TT-NHNN ngày 30/6/2016 và Thông tư 30/2016/TT-NHNN ngày 14/10/2016);
 

+ Quy định về mở và sử dụng tài khoản thanh toán tại tổ chức cung ứng dịch vụ thanh toán tại Thông tư 23/2014/TT-NHNN ngày 19/8/2014 (được sửa đổi, bổ sung bởi Thông tư 32/2016/TT-NHNN ngày 26/12/2016, Thông tư 02/2018/TT-NHNN, Thông tư 02/2019/TT-NHNN); 
 

+ Quy định về dịch vụ trung gian thanh toán (Thông tư 39/2014/TT-NHNN ngày 11/12/2014 hướng dẫn về dịch vụ trung gian thanh toán (được sửa đổi, bổ sung bởi Thông tư 20/2016/TT-NHNN ngày 30/6/2016 và Thông tư 30/2016/TT-NHNN ngày 14/10/2016 và Thông tư 23/2019/TT-NHNN ngày 22/11/2019);
 

+ Quy định về đảm bảo an toàn, bảo mật hệ thống công nghệ thông tin trong hoạt động ngân hàng tại Thông tư 31/2015/TT-NHNN ngày 28/12/2015;
 

+ Quy định về hoạt động thẻ ngân hàng tại Thông tư 19/2016/TT-NHNN ngày 30/6/2016 (được sửa đổi, bổ sung bởi Thông tư 30/2016/TT-NHNN ngày 14/10/2016 và Thông tư số 26/2017/TT-NHNN ngày 29/12/2017...);
 

+ Quy định về an toàn, bảo mật cho việc cung cấp dịch vụ ngân hàng trên Internet (Thông tư số 35/2016/TT-NHNN ngày 29/12/2016);
 

+ Quyết định số 630/QĐ-NHNN ngày 31/3/2017 về việc ban hành Kế hoạch áp dụng các giải pháp về an toàn, bảo mật trong thanh toán trực tuyến và thanh toán thẻ ngân hàng.

Bên cạnh đó, NHNN tiếp tục nghiên cứu, xây dựng và hoàn thiện cơ sở pháp lý liên quan, tăng cường đảm bảo an ninh, an toàn trong hoạt động thanh toán. NHNN đã trình Chính phủ Dự thảo Nghị định thay thế Nghị định 101/2012/NĐ-CP về thanh toán không dùng tiền mặt. Đồng thời, triển khai các văn bản hướng dẫn về lĩnh vực thanh toán và an ninh, an toàn trong hoạt động thanh toán như: Quy định về giám sát các hệ thống thanh toán tại Việt Nam; quy định về Bộ tiêu chuẩn thẻ chíp nội địa; quy định về tiêu chuẩn cơ sở đặc tả kỹ thuật QR-Code trong lĩnh vực thanh toán tại Việt Nam;...
 

Ngoài ra, NHNN cũng yêu cầu NHNN chi nhánh các tỉnh, thành phố cần chủ động theo dõi, nắm bắt tình hình trên địa bàn chỉ đạo các NHTM trên địa bàn tuân thủ các quy định pháp luật hiện hành và tăng cường các biện pháp đảm bảo an ninh, an toàn, bảo mật trong hoạt động thanh toán; chủ động báo cáo UBND các tỉnh, thành phố chỉ đạo các đơn vị chức năng; thường xuyên phối hợp chặt chẽ với các cơ quan liên quan thanh tra, kiểm tra và xử lý các vụ việc, vi phạm trên địa bàn.
 

Trước những nguy cơ rủi ro có thể xảy ra khi tham gia, sử dụng các dịch vụ ngân hàng, NHNN cũng yêu cầu các NHTM, NHNN Chi nhánh tỉnh, thành phố trực thuộc trung ương và các đơn vị liên quan, khi triển khai công tác truyền thông, phổ biến kiến thức và phối hợp phòng, chống tội phạm công nghệ cao trong lĩnh vực ngân hàng, cần khuyến cáo, cảnh báo đối với khách hàng/người sử dụng không nên sơ suất, mất cảnh giác để lộ thông tin và bị kẻ gian lợi dụng lừa đảo; bất cẩn trong thực hiện giao dịch thương mại điện tử, thanh toán trực tuyến; không thực hiện đúng hướng dẫn của các ngân hàng nhằm phát hiện kịp thời các giao dịch có dấu hiệu lừa đảo, gian lận; không cho thuê, cho mượn tài khoản...
 

NHNN yêu cầu các NHTM cần tăng cường các biện pháp phòng, chống tội phạm công nghệ cao trong hoạt động thanh toán như:
 

+ Thực hiện nghiêm các quy định về phòng, chống rửa tiền, tăng cường kiểm tra, rà soát việc thực hiện quy trình, thủ tục nhận biết khách hàng, xác minh và cập nhật thông tin khách hàng, ngăn ngừa việc lợi dụng sử dụng dịch vụ thanh toán, dịch vụ trung gian thanh toán cho các hoạt động bất hợp pháp;

+ Thực hiện chuyển đổi thẻ ngân hàng từ thẻ từ sang thẻ gắn vi mạch điện tử (thẻ chip) theo lộ trình quy định [1]; 

+ Áp dụng các giải pháp công nghệ xác thực và áp dụng các tiêu chuẩn quốc tế về an ninh, bảo mật; 

+ Xử lý kịp thời các vụ việc rủi ro, gian lận xảy ra và các yêu cầu tra soát khiếu nại đảm bảo quyền và lợi ích hợp pháp của khách hàng [2];

+ Đẩy mạnh việc nâng cao năng lực của bộ máy quản trị, điều hành và phát triển các hệ thống quản trị rủi ro và công nghệ thông tin; tăng cường hiệu lực, hiệu quả công tác tự kiểm tra, kiểm soát nội bộ của ngân hàng mình;

+ Phối hợp chặt chẽ, hiệu quả với các cơ quan chức năng bảo vệ pháp luật, tăng cường các biện pháp đảm bảo an ninh, an toàn cho các hệ thống thanh toán, dịch vụ thanh toán mới;

+ Đẩy mạnh công tác truyền thông, phổ biến kiến thức và phối hợp phòng, chống tội phạm công nghệ cao trong lĩnh vực ngân hàng; cảnh báo kịp thời những phương thức và thủ đoạn mới của tội phạm để có biện pháp phòng, chống hiệu quả. Xây dựng chương trình truyền thông nhằm nâng cao nhận thức của khách hàng về an toàn thông tin.
 

Thời gian gần đây, nhằm tăng cường an toàn bảo mật trong cung ứng dịch vụ và tuân thủ quy định của NHNN tại Quyết định số 630/QĐ-NHNN ngày 31/3/2017 về việc ban hành Kế hoạch áp dụng các giải pháp về an toàn, bảo mật trong thanh toán trực tuyến và thanh toán thẻ ngân hàng, nhiều ngân hàng đã thông báo chuyển đổi phương thức xác thực mới đối với dịch vụ ngân hàng điện tử.
 

Cụ thể, các khách hàng là các tổ chức của Ngân hàng TMCP Ngoại thương Việt Nam (Vietcombank) đang dùng phương thức xác thực OTP (One-Time Password: mã xác thực một lần) qua tin nhắn SMS (SMS-OTP) tại cấp duyệt lệnh cao nhất sẽ chuyển đổi sang phương thức khác mà ngân hàng đang cung cấp, bao gồm VCB m-Token, EVM-OTP, eToken. Đối với khách hàng cá nhân, bắt đầu từ ngày 1/7/2019, để sử dụng hạn mức giao dịch lớn hơn 100 triệu đồng/giao dịch và 100 triệu đồng/ngày, khách hàng phải đăng ký sử dụng phương thức xác thực Vietcombank Smart OTP - một ứng dụng trên điện thoại di động. Bên cạnh đó, Vietcombank cũng cho biết để đảm bảo tính an toàn bảo mật cho giao dịch qua hai ứng dụng ngân hàng điện tử trên thiết bị di động là VCB-Mobile B@nking và VCBPAY, ngân hàng sẽ ngừng cung cấp dịch vụ đối với các khách hàng đang sử dụng thiết bị di động có hệ điều hành thấp hơn 8.0 với iOS và 6.0 đối với Android kể từ ngày 15/7/2019.

QR Pay tạo ra cuộc cách mạng mới trong thanh toán di động
 

Ngân hàng TMCP Công thương Việt Nam (VietinBank) cũng đã triển khai giải pháp bảo mật, xác thực mới trên iPay Mobile mang tên Soft OTP. Với giải pháp này, mã OTP được hệ thống sinh ngẫu nhiên theo thời gian rồi tự động được điền vào tại màn hình xác thực giao dịch trên iPay Mobile, rút ngắn thời gian thao tác giao dịch. Mã OTP trong giải pháp Soft OTP có độ bảo mật cao, được sinh từ một hệ thống sinh mã độc lập, theo thuật toán riêng, không thể làm giả, hoặc can thiệp thay đổi nội dung mã và chỉ có hiệu lực trong vòng 30 giây. Trường hợp người sử dụng cố ý chỉnh sửa hoặc nhập sai mã Soft OTP quá 5 lần, dịch vụ Soft OTP sẽ tự động bị khóa trong vòng 24 giờ.
 

Để giúp khách hàng gia tăng bảo mật tài khoản và hoàn toàn yên tâm khi sử dụng các phương thức thanh toán trực tuyến, Ngân hàng TMCP Hàng Hải (MSB) đã chủ động đầu tư các phương thức bảo mật công nghệ cao nhằm bảo vệ tài khoản, thông tin và những giao dịch của khách hàng. Từ tháng 6/2019, MSB đã đưa vào sử dụng hai phương thức xác thực bảo mật mới hiện đại, đặc biệt an toàn và hoàn toàn miễn phí: Xác thực bằng sinh trắc học và Soft Token. Trong đó, phương thức đăng nhập và xác thực sinh trắc học là công nghệ sử dụng nhận diện vân tay hoặc khuôn mặt để đăng nhập hoặc xác thực các giao dịch trên ứng dụng Mobile Banking (ứng dụng ngân hàng điện tử trên điện thoại). Với tính năng này, khách hàng chỉ mất vài giây để thao tác, bỏ qua công đoạn nhập mật khẩu cũng như không cần phải nhớ mật khẩu. Tính năng này không chỉ tiện lợi mà còn rất an toàn bởi chỉ có vân tay hoặc khuôn mặt của chính người dùng mới đăng nhập và giao dịch trên Mobile Banking của MSB.
 

Với tính năng bảo mật bằng Soft Token, phương thức bảo mật an toàn vượt trội khi thanh toán trực tuyến trên ngân hàng điện tử, đặc biệt là các giao dịch có giá trị cao bởi được bảo vệ bằng công nghệ bảo mật 3 lớp. Khách hàng sử dụng Soft Token không cần phải ghi nhớ mã OTP được gửi qua tin nhắn SMS hay Token (thiết bị bảo mật điện tử được các ngân hàng cung cấp), không mất thời gian chuyển đổi giữa 2 ứng dụng để lấy mã xác nhận và hạn chế tình trạng nhận mã xác nhận chậm do mạng di động chập chờn...
 

Nhằm bảo vệ chủ thẻ trước những rủi ro có thể phát sinh, Agribank cũng đã cung cấp dịch vụ xác thực chủ thẻ 3D-Secure để tăng cường bảo mật cho chủ thẻ quốc tế. 3D-Secure là một lớp bảo vệ tăng cường cho các chủ thẻ của Agribank khi giao dịch trực tuyến. Với phương thức này, khi thực hiện các giao dịch trên các website thương mại điện tử, bên cạnh các bước xác thực thông thường, Agribank sẽ gửi thêm mật khẩu giao dịch một lần (OTP) qua tin nhắn hoặc Email để khách hàng nhập và hoàn hành giao dịch. 3D-Secure đảm bảo rằng chỉ có khách hàng, với tư cách là chủ thẻ mới có mật khẩu để hoàn thành giao dịch đó. Dịch vụ 3D-Secure của Agribank bao gồm Verified by Visa và MasterCard SecureCode là giải pháp bảo mật mang tính toàn cầu nhằm tăng cường an ninh, đảm bảo an toàn, bảo mật thông tin chủ thẻ khi thực hiện các giao dịch thanh toán hàng hóa/dịch vụ qua Internet.
 

Về phía khách hàng
 

Trước các diễn biến phức tạp về thủ đoạn chiếm đoạt tài khoản ngày càng tinh vi, các ngân hàng khuyến nghị khách hàng cần thực hiện đúng các hướng dẫn giao dịch an toàn, tuyệt đối bảo vệ thông tin cá nhân. Dưới đây là một số lưu ý với khách hàng để tránh các nguy cơ mất tiền trong tài khoản khi giao dịch ngân hàng điện tử:
 

+ Tương tự như với các tài khoản khác trên Internet, người dùng cần kiểm tra kỹ đường dẫn và tên miền của website trước khi nhập thông tin tài khoản và mật khẩu đăng nhập. Việc giả mạo các website đăng nhập vào hệ thống ngân hàng hay Gmail, Facebook... để lừa nạn nhân đăng nhập đã trở nên rất phổ biến;
 

+ Khách hàng cần thận trọng rà soát và kiểm tra kỹ thông tin trước khi thực hiện các giao dịch chuyển tiền như: Kiểm tra chính xác thông tin về đơn vị nhận tiền (tên đơn vị nhận tiền, tài khoản của đơn vị nhận tiền, ngân hàng nhận tiền); giữ liên lạc và thông báo kịp thời với người nhận tiền về việc đã chuyển tiền thành công bằng các kênh thông tin phù hợp khác như điện thoại, tin nhắn, email...;
 

+ Người dùng cũng cần thường xuyên cập nhật các phần mềm diệt virus mới nhất trên máy tính và điện thoại di động của mình. Khi máy tính/điện thoại bị nhiễm virus, các phần mềm nghe lén có thể ghi lại mọi thao tác bàn phím của nạn nhân, bao gồm cả tên đăng nhập, mật khẩu, website đăng nhập... Khi có các dữ liệu này, có thể dễ dàng chiếm tài khoản của nạn nhân;

+ Bảo mật tin nhắn cá nhân trên điện thoại di động;
 

+ Ngoài ra, việc nâng cao ý thức bảo mật luôn là điều cần thiết. Khi nhận được tin nhắn lạ từ ngân hàng gửi tới điện thoại, người dùng cần cảnh giác và kiểm tra ngay tài khoản của mình chứ không nên bỏ qua;
 

+ Khi phát hiện dấu hiệu rủi ro, gian lận, khách hàng cần thực hiện ngay các biện pháp khẩn cấp như yêu cầu ngân hàng phong toả tài khoản và khóa các dịch vụ liên quan;
 

+ Trong quá trình sử dụng dịch vụ, khách hàng/người sử dụng thẻ cần tuân thủ theo các hướng dẫn của ngân hàng, cần lưu số điện thoại đường dây nóng để khi gặp sự cố có thể liên hệ ngay với ngân hàng để được hỗ trợ xử lý kịp thời. Đồng thời, khách hàng cần bình tĩnh phối hợp với các ngân hàng để giải quyết; đặc biệt cần nâng cao cảnh giác với những thủ đoạn của tội phạm trên mạng, đối với các giao dịch thanh toán trực tuyến nên thực hiện giao dịch với các doanh nghiệp cung ứng dịch vụ có uy tín trên thị trường;
 

+ Ngoài ra, khách hàng/người sử dụng thẻ cần bảo mật thông tin cá nhân, thông tin tài khoản, mật mã... để tránh bị lợi dụng (không cung cấp tài khoản đăng nhập, mật khẩu, OTP trong bất kỳ trường hợp nào yêu cầu để nhận/nạp tiền; không sử dụng mã PIN gắn liền với các thông tin cá nhân như số di động, số chứng minh thư, ngày sinh, ghi số PIN bỏ vào ví; không nạp/chuyển tiền theo yêu cầu của người lạ khi nhận được các cuộc gọi lạ...). Khách hàng không mở hộ thẻ/tài khoản cho người khác, kể cả cho mượn hoặc bán.

______________
 

[1] Thông tư 41/2018/TT-NHNN ngày 28/12/2018 sửa đổi, bổ sung một số điều của Thông tư 19/2016/TT-NHNN ngày 30/6/2016 quy định về hoạt động thẻ ngân hàng.
 

[2]  Thông tư 30/2016/TT-NHNN phần về xử lý kết quả tra soát, khiếu nại của khách hàng…

Tài liệu tham khảo:
 

- Quyết định số 630/QĐ-NHNN ngày 31/3/2017 về việc ban hành Kế hoạch áp dụng các giải pháp về an toàn, bảo mật trong thanh toán trực tuyến và thanh toán thẻ ngân hàng;

- Thông tư số 35/2016/TT-NHNN ngày 29/12/2016 quy định về an toàn, bảo mật cho việc cung cấp dịch vụ ngân hàng trên Internet;

- www.vietcombank.com.vn;

- www.msb.com.vn;

- www.vietinbank.vn;

- www.agribank.com.vn.

Lưu Hà Loan

Theo Chuyên đề CN và NHS số 4/2020