Thời gian gần đây, ngày càng xuất hiện nhiều hơn tình trạng tội phạm sử dụng các loại mã độc đánh cắp thông tin, mã hóa dữ liệu của người dùng để chiếm đoạt tài sản. Các chuyên gia bảo mật cảnh báo, sau khi xâm nhập, các mã độc này có thể "nằm vùng" như một gián điệp, thu thập thông tin, điều khiển các ứng dụng ngân hàng, đánh cắp tài khoản, mật khẩu và mã OTP của nạn nhân để thực hiện các hành vi vi phạm pháp luật.
Ảnh minh họa (Nguồn: Internet)
Ngày nay, công nghệ phát triển nhanh, các đối tượng xấu lợi dụng để hình thành hệ thống tổ chức lừa đảo ngày càng tinh vi. Trong khi đó, người dân chưa đủ kĩ năng để nhận diện dấu hiệu lừa đảo, từ đó dễ dàng trở thành đối tượng để các nhóm lừa đảo tài chính trực tuyến tập trung vào. Do nắm giữ các dữ liệu và thông tin quan trọng, điện thoại di động liên tục là đích nhắm của tội phạm mạng, đặc biệt là hình thức gửi các mã độc, link độc, từ đó chiếm dụng thông tin cá nhân, chiếm đoạt tiền trong tài khoản ngân hàng.
Lừa đảo qua mã độc đánh cắp thông tin ngân hàng
Theo Cục An toàn thông tin (Bộ Thông tin và Truyền thông), trước đây, nhiều trường hợp người dùng sau khi quét mã QR trên các website hoặc email đã bị điều hướng sang một trang lừa đảo, bị lấy cắp thông tin tài khoản hoặc dẫn dụ để tải mã độc về thiết bị di động.
Mới đây, nhiều người dùng Facebook chia sẻ thông tin cảnh báo về một hình thức lừa đảo mới. Đó là đối tượng xấu gửi bưu phẩm tới nhà dân thông qua shipper (người vận chuyển hàng hóa), bên trong có thông báo trúng thưởng chứa mã QR nhằm chiếm quyền điều khiển thiết bị, đánh cắp thông tin người dùng và chiếm đoạt tài sản.
Người dân sau khi nhận được bưu phẩm từ shipper, khi mở ra bên trong có phiếu cào trúng thưởng. Trên phiếu cào, khi cào ra có giải thưởng, để được nhận thưởng, người dân phải truy cập đường link trên mã QR và cung cấp thông tin cá nhân để làm thủ tục nhận thưởng. Đây là hình thức lừa đảo chiếm đoạt tài sản mới rất nguy hiểm.
Với thực trạng đã từng diễn ra của hình thức lừa đảo này, khả năng mã QR được in trong phiếu quà tặng để lừa người dân truy cập vào website giả mạo hòng chiếm đoạt thông tin, tài sản là điều hoàn toàn có thể xảy ra. Cục An toàn thông tin khuyến nghị người dân cần thận trọng khi quét mã, nhất là các mã sử dụng ở nơi công cộng hoặc chia sẻ qua mạng xã hội hay email. Người dùng cũng cần xác định, kiểm tra kĩ thông tin tài khoản người chuyển mã QR, cũng như nội dung trang web mà mã QR đưa tới; kiểm tra đường link xem có bắt đầu với "https" và có phải tên miền quen thuộc hay không. Ngoài ra, với hình thức lừa đảo QR mới trên, người dân tuyệt đối không nhận bưu phẩm mà mình không đặt, không biết rõ nguồn gốc. Khi phát hiện có trường hợp lừa đảo hình thức trên, cần kịp thời báo cho cơ quan công an gần nhất.
Không những thế, nhiều người dân còn bị lừa cài các ứng dụng giả mạo của Chính phủ, Tổng cục Thuế, Tổng cục Quản lý đất đai… để các đối tượng lừa đảo chiếm quyền điều khiển điện thoại nhằm chiếm đoạt tài sản của người dân.
Thủ đoạn của những đối tượng lừa đảo này là tạo ra những ứng dụng có giao diện giống với những ứng dụng chính thức của Chính phủ, Tổng cục Thuế, Tổng cục Quản lý đất đai... Sau đó, để tạo uy tín thực hiện hành vi lừa đảo, chúng giả danh công chức, viên chức nhà nước, liên hệ với người dùng qua nhiều hình thức như gọi điện, nhắn tin hoặc kết bạn qua các trang mạng xã hội. Chúng lấy các lí do hỗ trợ quyết toán thuế, cập nhật thông tin khai thuế, hỗ trợ thủ tục hoàn thuế, cập nhật thông tin về đất đai... để lừa người dân cài đặt ứng dụng giả mạo về điện thoại.
Thậm chí, đối tượng còn giả danh công an phường và đề nghị người dân lên phường để cập nhật số điện thoại chính chủ cho căn cước công dân (CCCD) hoặc cập nhật thông tin cá nhân trên hệ thống VNeID. Tiếp đó, đối tượng hướng dẫn người dân truy cập vào đường link có đuôi “.gov.vn” để tải ứng dụng của Bộ Công an. Vì tin tưởng đường link là của cơ quan nhà nước, không ít người dân đã thực hiện theo yêu cầu và tạo cơ hội cho đối tượng cài mã độc vào thiết bị.
Có thể thấy, các đối tượng lừa đảo đã sử dụng những câu chuyện được ngụy trang một cách hợp lí và bài bản, từ đó dẫn dụ nạn nhân cài đặt ứng dụng có chứa mã độc. Đáng nói, kẻ gian đã lợi dụng lỗ hổng trên một số trang web có đuôi “.gov.vn” hay “.com.vn” để cài ứng dụng chứa mã độc. Mục đích là để nạn nhân tải về và chiếm quyền điều khiển trên thiết bị. Mã độc này có thể chứa các tính năng không cho phép người dùng gỡ cài đặt nó. Trong một số trường hợp, để có thể loại bỏ mã độc này, nạn nhân sẽ phải khôi phục cài đặt gốc cho điện thoại của mình.
Sau khi đã lừa được nạn nhân tải ứng dụng chứa mã độc về điện thoại, đối tượng lừa đảo sẽ thuyết phục người dùng cho phép truy cập vào thiết bị để hoạt động, trong đó có quyền truy cập dữ liệu, quyền chụp ảnh màn hình, đọc tin nhắn, đặc biệt là quyền trợ năng để chiếm quyền điều khiển điện thoại. Sau khi chiếm được quyền điều khiển điện thoại, chúng lấy cắp mật khẩu đăng nhập tài khoản ngân hàng và mã OTP giao dịch, thực hiện các lệnh chuyển tiền, hòng chiếm đoạt tài sản.
Đảm bảo an toàn thông tin và tài khoản khách hàng là nhiệm vụ quan trọng của ngân hàng
Về phía ngành Ngân hàng, việc đảm bảo an toàn thông tin, dữ liệu và tài khoản của khách hàng là nhiệm vụ quan trọng hàng đầu được ngành Ngân hàng triển khai thường xuyên, liên tục, qua đó đảm bảo an toàn cho chính ngân hàng và an ninh tiền tệ quốc gia.
Thời quan qua, NHNN đã ban hành nhiều văn bản chỉ đạo các đơn vị trong Ngành triển khai công tác bảo đảm an ninh an toàn thông tin, mới đây nhất là Công văn số 9976/NHNN-CNTT ngày 27/12/2023 gửi các tổ chức tín dụng (TCTD), chi nhánh ngân hàng nước ngoài, các tổ chức cung ứng dịch vụ trung gian thanh toán cùng một số đơn vị khác hướng dẫn về bảo đảm an ninh, an toàn thông tin giai đoạn quyết toán năm 2023 và Tết Nguyên đán Giáp Thìn; Chỉ thị số 02/CT-NHNN ngày 15/01/2023 của Thống đốc NHNN về việc đẩy mạnh chuyển đổi số và bảo đảm an ninh, an toàn thông tin trong hoạt động ngân hàng.
Ngành Ngân hàng đã triển khai ba nhóm giải pháp nhằm đảm bảo an toàn thông tin, dữ liệu và tài khoản của khách hàng, cụ thể như sau:
Nhóm giải pháp truyền thông
Về các giải pháp đảm bảo an ninh, an toàn tài khoản và thông tin cá nhân của khách hàng thì giải pháp truyền thông, nâng cao kiến thức, kĩ năng sử dụng dịch vụ trực tuyến của khách hàng là giải pháp chính bên cạnh các giải pháp kĩ thuật của ngành Ngân hàng, do tội phạm tấn công trực tiếp vào đối tượng yếu thế là người sử dụng dịch vụ.
Theo đó, NHNN đã có nhiều chỉ đạo các đơn vị trong Ngành triển khai đồng bộ nhiều giải pháp để nâng cao nhận thức về an toàn thông tin cho toàn thể cán bộ ngành Ngân hàng và khách hàng; tăng cường công tác cảnh báo đến khách hàng. NHNN đã phối hợp với Truyền hình Việt Nam (VTV) tổ chức các chương trình truyền thông, trong đó lồng ghép các nội dung nâng cao nhận thức về an toàn thông tin cho người dân khi sử dụng các dịch vụ ngân hàng điện tử, trong sử dụng thẻ. Bên cạnh đó, ngành Ngân hàng cũng phối hợp với các đơn vị báo chí, truyền thông tổ chức các hội thảo, xây dựng các bài viết truyền thông đến người dân về bảo đảm an toàn trong giao dịch ngân hàng trực tuyến.
Về phía các TCTD cũng đã thường xuyên thực hiện công tác truyền thông về an toàn thông tin, kĩ năng khi sử dụng các dịch vụ ngân hàng điện tử qua website, ứng dụng Internet Banking/Mobile Banking, email, tin nhắn SMS, banner, poster tại các điểm giao dịch.
Nhóm giải pháp kĩ thuật
NHNN đã ban hành các văn bản quy định về an toàn bảo mật khi cung cấp các dịch vụ ngân hàng trực tuyến trên Internet, trong đó yêu cầu các TCTD triển khai các giải pháp kĩ thuật như: Giải pháp xác thực khách hàng giao dịch Internet Banking theo mức độ rủi ro của giao dịch (loại giao dịch, số tiền giao dịch); giải pháp giám sát, cảnh báo về các giao dịch đáng ngờ dựa vào các tiêu chí tối thiểu gồm: Thời gian giao dịch, địa điểm giao dịch (vị trí địa lí, địa chỉ IP mạng), tần suất giao dịch, số tiền giao dịch, số lần xác thực sai quy định để có biện pháp ngăn chặn, cảnh báo đến khách hàng.
Triển khai Quyết định số 06/QĐ-TTg ngày 06/01/2022 của Thủ tướng Chính phủ phê duyệt Đề án phát triển ứng dụng dữ liệu về dân cư, định danh và xác thực điện tử phục vụ chuyển đổi số quốc gia giai đoạn 2022 - 2025, tầm nhìn đến năm 2030 (Đề án số 06), Thống đốc NHNN đã ban hành Quyết định số 2345/QĐ-NHNN ngày 18/12/2023 về triển khai các giải pháp an toàn, bảo mật trong thanh toán trực tuyến và thanh toán thẻ ngân hàng có hiệu lực từ 01/7/2024. Theo quy định này, các TCTD, trung gian thanh toán (TGTT) phải triển khai xác thực sinh trắc học từ nguồn Cơ sở dữ liệu quốc gia về dân cư (CSDLQGvDC) (thông qua CCCD gắn chíp, VNeID) để xác minh, nhận biết chính xác khách hàng khi khách hàng cá nhân thực hiện các giao dịch trực tuyến có giá trị > 10 triệu VND).
Ngoài ra, các đơn vị trong ngành Ngân hàng thường xuyên cập nhật, nắm bắt các thủ đoạn tấn công, lừa đảo đồng thời tăng cường các biện pháp giám sát, theo dõi hoạt động của các hệ thống quan trọng và các Core Banking, ATM, các cổng, trang tin điện tử, hệ thống Internet Banking để kịp thời phát hiện và chủ động xử lí, đồng thời thực hiện dò quét đánh giá về an ninh các ứng dụng cung cấp trên mạng Internet của đơn vị để phát hiện, khắc phục các lỗ hổng bảo mật.
Nhóm giải pháp phối hợp với các cơ quan chức năng điều tra, xử lí tội phạm: Các đơn vị trong ngành Ngân hàng đã phối hợp tích cực với các cơ quan chức năng của Bộ Công an trong công tác điều tra, truy bắt tội phạm công nghệ cao, lừa đảo.
Phối hợp ngăn chặn, xử lí tội phạm công nghệ và lừa đảo, bảo đảm quyền lợi người tiêu dùng tài chính
Các chuyên gia cho rằng, thời gian tới, tình hình tội phạm công nghệ, lừa đảo diễn biến ngày càng tinh vi, phức tạp, trên quy mô toàn cầu, điều đó đặt ra thách thức không nhỏ không chỉ với ngành Ngân hàng mà cả hệ thống tài chính - tiền tệ quốc gia. Do đó, cần sự phối hợp của các bộ, ngành liên quan trong việc bảo vệ dữ liệu cá nhân, trong điều tra và xử lí tội phạm nhằm đảm bảo an toàn thông tin, dữ liệu, tài khoản và quyền lợi hợp pháp của người tiêu dùng tài chính.
Về phía NHNN, tiếp tục triển khai các giải pháp sau:
(i) Tăng cường công tác xây dựng hệ thống văn bản quy phạm pháp luật, nghiên cứu, áp dụng các bộ tiêu chuẩn quốc tế và các tiêu chuẩn, quy chuẩn của Việt Nam trong quá trình xây dựng, ban hành văn bản quy phạm pháp luật điều chỉnh hoạt động ứng dụng công nghệ thông tin (CNTT) của các TCTD.
(ii) Đẩy mạnh hoạt động của mạng lưới ứng cứu sự cố an ninh CNTT ngành Ngân hàng. Theo đó cần từng bước kiện toàn nguồn nhân lực cùng với cơ sở vật chất phục vụ diễn tập, giám sát sự kiện an ninh mạng; đào tạo chuyên sâu về an ninh thông tin trong ngành Ngân hàng theo hình thức phối hợp giữa các TCTD và NHNN triển khai các khóa đào tạo theo yêu cầu; xây dựng diễn đàn trao đổi thông tin riêng cho các thành viên mạng lưới...
(iii) Phối hợp với các cơ quan chức năng của Bộ Thông tin và Truyền thông, Bộ Công an, Ban Cơ yếu Chính phủ và các tổ chức cung cấp dịch vụ hạ tầng CNTT... để chia sẻ thông tin và hỗ trợ hoạt động đảm bảo an toàn, an ninh mạng của ngành Ngân hàng, trong đấu tranh và xử lí tội phạm công nghệ, lừa đảo.
(iv) Triển khai các chương trình đào tạo, truyền thông giáo dục tài chính nhằm nâng cao nhận thức của cán bộ, nhân viên trong ngành Ngân hàng và người dân trong việc nhận diện các rủi ro và các các biện pháp phòng ngừa của hoạt động ngân hàng trên môi trường mạng.
Đối với các TCTD
(i) Giải pháp về chính sách, quy trình: Tiếp tục rà soát, hoàn thiện và tổ chức triển khai chính sách về an ninh bảo mật CNTT, chính sách về quản lí rủi ro CNTT tuân thủ các văn bản pháp luật của Nhà nước và các quy định của NHNN; xây dựng lộ trình triển khai áp dụng các tiêu chuẩn quốc tế về an ninh bảo mật cho hệ thống CNTT cũng như các dịch vụ thanh toán trực tuyến, thanh toán thẻ (ISO 27001, PCI/DSS); rà soát chặt chẽ các quy trình đăng kí, kích hoạt sử dụng dịch vụ ngân hàng điện tử đảm bảo cung cấp dịch vụ cho đúng khách hàng.
(ii) Giải pháp về công nghệ:
Triển khai các nội dung về rà soát, đánh giá rủi ro và triển khai các giải pháp an ninh bảo mật cho toàn bộ vòng đời của một hệ thống thông tin.
Trang bị các hệ thống hỗ trợ giám sát giao dịch điện tử, điều tra gian lận, từng bước tổng hợp, phân tích dữ liệu của khách hàng và xây dựng bộ quy tắc để phát hiện và ngăn chặn sớm các gian lận; xây dựng các tiêu chí và phần mềm để xác định các giao dịch bất thường dựa vào thời gian, vị trí địa lí, tần suất giao dịch, số tiền giao dịch, số lần đăng nhập sai quá quy định hoặc các dấu hiệu bất thường khác.
Xây dựng trung tâm điều hành an ninh mạng để theo dõi, giám sát và ngăn chặn kịp thời các hành vi xâm nhập, tấn công mạng.
Thường xuyên định kì đánh giá các điểm yếu, lỗ hổng của hệ thống CNTT. Xây dựng và triển khai diễn tập các quy trình, kịch bản ứng phó với các sự cố an toàn thông tin mạng.
(iii) Các giải pháp về tổ chức, nguồn nhân lực: Kiện toàn bộ máy CNTT các cấp theo hướng chuyên môn hóa, làm chủ công nghệ, hạn chế sự phụ thuộc vào các đối tác bên ngoài. Xây dựng đội ngũ cán bộ chuyên trách về an toàn thông tin; đào tạo, huấn luyện nâng cao kĩ năng xử lí rủi ro cho nhân viên; tăng cường công tác kiểm toán nội bộ đảm bảo an toàn các hoạt động nghiệp vụ và hạ tầng CNTT; tăng cường công tác truyền thông đến khách hàng về các thủ đoạn của tội phạm mạng và các biện pháp bảo vệ thông tin cá nhân trong việc sử dụng các dịch vụ ngân hàng điện tử và thanh toán thẻ; xây dựng quy trình xử lí khủng hoảng truyền thông một cách chặt chẽ, khoa học và chuyên nghiệp.
Đối với người sử dụng dịch vụ tài chính, ngân hàng, cần lưu ý các khuyến nghị sau:
Tuân thủ các quy định, hướng dẫn của các ngân hàng cung cấp dịch vụ giao dịch trực tuyến. Thường xuyên theo dõi, cập nhật các cảnh báo về an toàn bảo mật trong thanh toán trực tuyến từ các ngân hàng cung cấp dịch vụ, từ các phương tiện truyền thông đại chúng.
Đối với mật khẩu truy cập dịch vụ giao dịch trực tuyến cần đặt mật khẩu khó đoán, đảm bảo quy tắc an toàn, thay đổi mật khẩu thường xuyên và không sử dụng các tính năng lưu mật khẩu để đăng nhập tự động.
Không cung cấp tên, mật khẩu đăng nhập ngân hàng trực tuyến, mã xác thực (mã OTP) qua điện thoại, email, mạng xã hội, web… cho bất cứ ai, kể cả nhân viên ngân hàng. Các ngân hàng cho biết, ngân hàng tuyệt đối không yêu cầu khách hàng cung cấp thông tin số thẻ, số CVV2/CVC2 (3 số bảo mật ở mặt sau của thẻ tín dụng) hoặc bất kì thông tin bảo mật cá nhân nào khác của khách hàng qua zalo, số điện thoại không định danh.
Trong trường hợp bị lộ hoặc nghi ngờ bị lộ tên đăng nhập/mật khẩu khách hàng cần nhanh chóng thông báo tới ngân hàng để được hỗ trợ kịp thời; trường hợp mất thẻ cần khóa thẻ trên ứng dụng ngân hàng điện tử hoặc thông báo tới ngân hàng càng sớm càng tốt, tránh nguy cơ mất tiền trong thẻ.
Hạn chế dùng máy tính công cộng, mạng không dây công cộng khi truy cập vào hệ thống ngân hàng điện tử. Gõ trực tiếp địa chỉ các trang web ngân hàng điện tử thay vì chọn đường link có sẵn, chỉ đăng nhập tại website chính thức của ngân hàng. Tiến hành mua sắm, thanh toán trực tuyến tại các trang mạng uy tín, được cấp phép hoạt động, có thông tin liên lạc rõ ràng.
Khách hàng cần hết sức cảnh giác với các yêu cầu quét mã QR hoặc truy cập đường link lạ. Nâng cao cảnh giác với các cuộc gọi lạ, mạo danh cán bộ nhà nước yêu cầu cài đặt ứng dụng, phần mềm. Tuyệt đối không làm theo hướng dẫn của đối tượng và liên hệ ngay với các cơ quan chức năng có thẩm quyền để xác minh thông tin. Cảnh giác với các ứng dụng, phần mềm, website có hình thức quảng cáo lừa đảo. Tuyệt đối không cài đặt ứng dụng, nhấn vào link nếu không rõ nguồn gốc. Chỉ cài đặt các ứng dụng từ các cửa hàng chính thức như Google Play và App Store. Khi cài đặt ứng dụng vào thiết bị cần kiểm tra thông tin nhà phát triển ứng dụng, xem xét kĩ quyền hạn của các ứng dụng. Thường xuyên cập nhật hệ điều hành của thiết bị để thiết bị nhận được các bản vá bảo mật mới nhất của hãng sản xuất. Người dùng cần cảnh giác với những yêu cầu cài đặt phần mềm, đặc biệt là phần mềm trên Android. Tuyệt đối không cấp quyền hỗ trợ (Accessibility), bởi tất cả các ứng dụng của ngân hàng, thuế hay bất kì cơ quan nào khác đều không yêu cầu người dùng quyền này. Trường hợp nghi vấn, phải kiểm chứng thông tin bằng cách liên lạc lại với cơ quan chức năng thông qua số điện thoại chính thức được công bố.
Khi có bất kì thông tin nào về lừa đảo trực tuyến, người dùng cần lập tức thông báo đến cơ quan công an nơi gần nhất hoặc hệ thống tiếp nhận thông tin phản ánh Cổng không gian mạng quốc gia, Tổng đài 156 mà Bộ Thông tin và Truyền thông đang vận hành. Từ đó, giúp các cơ quan chức năng sớm biết được thông tin về những vụ lừa đảo trực tuyến để có biện pháp xử lí, ngăn chặn các đối tượng lừa đảo.
Khách hàng có thể nhận biết một số dấu hiệu khi thiết bị di động bị nhiễm mã độc: Thiết bị có dấu hiệu nhanh hết pin khi sử dụng và hiệu suất hoạt động kém hơn do mã độc chạy ngầm; thiết bị chạy chậm, hoạt động không ổn định, không sử dụng được; thiết bị có dấu hiệu bị mất thông báo đặc biệt là các thông báo tin nhắn và cuộc gọi; thiết bị liên tục nhận được các cảnh báo giả, quảng cáo hiển thị trên màn hình.
Tài liệu tham khảo:
1. https://bocongan.gov.vn
2. https://sbv.gov.vn
3. https://mic.gov.vn
Phạm Thu Trang
Hà Nội