Hiện nay, thanh toán không dùng tiền mặt phát triển mạnh với nhiều tiện ích, nhưng khách hàng cũng cần cảnh giác trước các thủ đoạn của tội phạm công nghệ và các hành vi giao dịch bằng thẻ thông qua quẹt máy POS, mPOS trái phép.
Cảnh giác trước thủ đoạn lừa đảo qua website giả mạo
Gần đây, một số ngân hàng thương mại (NHTM) đã có thông báo tới khách hàng cần cảnh giác trước tình trạng một số đối tượng lập giả nhiều website ngân hàng, dịch vụ chuyển tiền từ nước ngoài về để lừa đảo, đánh cắp mã OTP ngân hàng sau đó sử dụng để đăng nhập rút tiền.
Các đối tượng này thành lập nhiều trang Facebook ảo, tham gia các diễn đàn, hội nhóm tìm kiếm thông tin của những người bán hàng online rồi nhắn tin trò chuyện mua hàng, đồng thời thiết kế, tạo ra nhiều website giả mạo ngân hàng, website giả mạo dịch vụ chuyển tiền trung gian từ nước ngoài về Việt Nam.
Thủ đoạn của các đối tượng là giả vờ mua hàng, lấy lý do đang ở nước ngoài và đề nghị được thanh toán qua các dịch vụ chuyển tiền trung gian. Từ đó, nhóm lừa đảo yêu cầu người bán hàng truy cập vào website do chúng cung cấp, nhập thông tin user, mật khẩu, mã OTP để làm thủ tục nhận tiền. Ngay khi người bị hại nhập mã OTP thì các mã này sẽ được gửi qua địa chỉ email do các đối tượng này quản lý. Chúng dùng thông tin của nạn nhân đăng nhập vào website của các ngân hàng rồi chuyển toàn bộ số tiền trong tài khoản nạn nhân đến tài khoản của mình.
Để phòng ngừa những hành động lừa đảo, gian lận đó, Ngân hàng Nhà nước (NHNN) đã ban hành các văn bản quy phạm pháp luật (VBQPPL) quy định về an toàn hệ thống thông tin trong hoạt động ngân hàng, trong đó có các quy định về biện pháp bảo đảm an toàn thông tin cho trang web cung cấp dịch vụ trực tuyến, cụ thể:
(i) Điểm d Khoản 1 Điều 24 Thông tư số 18/2018/TT-NHNN ngày 21/8/2018 quy định “Trang thông tin điện tử giao dịch trực tuyến phải được áp dụng các biện pháp chứng thực chống giả mạo và ngăn chặn, chống sửa đổi trái phép”;
(ii) Khoản 1 Điều 13 Thông tư 35/2016/TT-NHNN ngày 29/12/2016 quy định “Có biện pháp phòng, chống, dò tìm phát hiện các thay đổi của website, ứng dụng Internet Banking”.
Bên cạnh đó, các VBQPPL nêu trên cũng yêu cầu các ngân hàng phải thực hiện truyền thông nâng cao nhận thức an toàn thông tin cho khách hàng, cụ thể:
(i) Khoản 4 Điều 24 Thông tư số 18/2018/TT-NHNN ngày 21/8/2018 quy định “Tổ chức hướng dẫn các biện pháp bảo đảm an toàn thông tin và cảnh báo rủi ro cho khách hàng trước khi tham gia sử dụng dịch vụ giao dịch trực tuyến và theo định kỳ”;
(ii) Khoản 2 Điều 18 Thông tư 35/2016/TT-NHNN ngày 21/8/2018 quy định các ngân hàng phải hướng dẫn khách hàng thực hiện các biện pháp đảm bảo an toàn, bảo mật khi sử dụng dịch vụ Internet Banking.
NHNN cũng thường xuyên theo dõi, tiếp nhận thông tin về các rủi ro an toàn thông tin, bao gồm cả thông tin về các website giả mạo ngân hàng để cảnh báo các ngân hàng thực hiện các biện pháp kỹ thuật xử lý và thông báo đến khách hàng phòng tránh.
Về phía các ngân hàng, tất cả các ngân hàng đều đã triển khai giải pháp chứng thực điện tử cho các website Internet Banking (sử dụng chứng chỉ số SSL cho dịch vụ HTTPS của dịch vụ Internet Banking), đồng thời thường xuyên tổ chức công tác truyền thông đến khách hàng các nội dung về thực hiện giao dịch an toàn và phòng ngừa các giao dịch gian lận, giả mạo.
Đặc biệt, việc đảm bảo an ninh, an toàn và hoạt động liên tục của các hệ thống thông tin ngân hàng là một trong những mục tiêu chính tại Quyết định số 488/QĐ-NHNN ngày 27/3/2017 ban hành Kế hoạch ứng dụng công nghệ thông tin (CNTT) của các tổ chức tín dụng (TCTD) giai đoạn 2017-2020, trong đó có đề ra các nhiệm vụ và mục tiêu cụ thể như: (i) Trang bị các giải pháp kỹ thuật đảm bảo việc ứng dụng CNTT hỗ trợ tích cực cho việc triển khai chiến lược phát triển của ngành Ngân hàng, đồng thời đổi mới công nghệ, đa dạng hóa các dịch vụ sản phẩm mới trên nền tảng không gian mạng để mở rộng phạm vi, thời gian, đối tượng tiếp cận và sử dụng dịch vụ ngân hàng; (ii) Chuẩn hóa hạ tầng CNTT theo các tiêu chuẩn công nghệ trong nước, quốc tế và tối ưu hiệu quả đầu tư hạ tầng CNTT. Áp dụng các tiêu chuẩn an toàn thông tin phổ biến như bộ tiêu chuẩn ISO/IEC 27000, tiêu chuẩn PCI-DSS (Payment Card Industry Data Security Standard) nhằm xác định các rủi ro CNTT, thiết lập các quy trình kiểm soát để hệ thống hoạt động an toàn, liên tục và bảo đảm an toàn cho dữ liệu thẻ; (iii) Xây dựng nguồn nhân lực CNTT đủ về số lượng và chất lượng, thực hiện tốt việc tiếp nhận chuyển giao công nghệ và chủ động trong đảm bảo hoạt động của hệ thống thông tin. Kiện toàn bộ máy chuyên trách CNTT các cấp, thực hiện tốt công tác đào tạo, đặc biệt đào tạo đội ngũ chuyên gia trong các lĩnh vực để kịp thời nắm bắt, cập nhật kiến thức công nghệ, yêu cầu kỹ thuật và nghiệp vụ mới, chủ động trong việc đảm bảo hoạt động liên tục, an toàn của hạ tầng CNTT.
Bên cạnh các biện pháp quyết liệt của ngành Ngân hàng, khách hàng có vai trò quan trọng trong việc phòng chống các website giả mạo ngân hàng. Theo đó, khách hàng khi sử dụng dịch vụ ngân hàng điện tử cần thực hiện theo đúng hướng dẫn của ngân hàng về giao dịch an toàn; chỉ thực hiện giao dịch trên website Internet Banking của ngân hàng (có địa chỉ website cụ thể đã được ngân hàng thông báo, có dấu hiệu chứng thực điện tử).
Tương tự như với các tài khoản khác trên Internet, người dùng cần kiểm tra kỹ đường dẫn và tên miền của website trước khi nhập thông tin tài khoản và mật khẩu đăng nhập. Việc giả mạo các website đăng nhập vào hệ thống ngân hàng hay Gmail, Facebook... để lừa nạn nhân đăng nhập đã trở nên rất phổ biến.
Người dùng cũng cần thường xuyên cập nhật các phần mềm diệt virus mới nhất trên máy tính và điện thoại di động của mình. Khi máy tính/điện thoại bị nhiễm virus, các phần mềm nghe lén có thể ghi lại mọi thao tác bàn phím của nạn nhân, bao gồm cả tên đăng nhập, mật khẩu, website đăng nhập... Khi có các dữ liệu này, bọn tội phạm công nghệ cao có thể dễ dàng chiếm tài khoản của nạn nhân.
Đồng thời, khách hàng cần bảo mật tin nhắn cá nhân trên điện thoại di động. Việc nâng cao ý thức bảo mật luôn là điều cần thiết. Khi nhận được tin nhắn từ ngân hàng gửi tới điện thoại, người dùng cần cảnh giác và kiểm tra ngay tài khoản của mình chứ không nên bỏ qua.
Lưu ý trong giao dịch tại thanh toán thẻ và qua POS
Không ít vụ mất tiền trong tài khoản thẻ do chủ thẻ sơ suất, mất cảnh giác để lộ thông tin và bị kẻ gian lợi dụng; bất cẩn trong thực hiện giao dịch thương mại điện tử, thanh toán trực tuyến... Trong một số ít trường hợp, có thể nguyên nhân từ việc ATM của ngân hàng bị tội phạm công nghệ cao cài đặt trái phép thiết bị sao chép, trộm thông tin thẻ (skimming card) để làm thẻ giả rút tiền.
Liên quan đến việc tăng cường an toàn, bảo mật trong hoạt động thanh toán, NHNN đã đề ra một số giải pháp và chỉ đạo các NHTM:
Thứ nhất, tăng cường đầu tư cơ sở hạ tầng, áp dụng các giải pháp công nghệ thanh toán tiên tiến và các tiêu chuẩn quốc tế về an ninh, bảo mật cho hệ thống CNTT, đặc biệt cho hệ thống thanh toán thẻ; chủ động, nghiêm túc tổ chức triển khai áp dụng tiêu chuẩn cơ sở về thẻ chip nội địa theo lộ trình chuyển đổi quy định tại Thông tư số 41/2018/TT-NHNN ngày 28/12/2018.
Thứ hai, kiểm tra, rà soát, đánh giá lại việc thực hiện các quy trình, thủ tục nội bộ, việc hợp tác, kết nối với các tổ chức TGTT đảm bảo tuân thủ quy định pháp luật và chủ động phát hiện, xử lý kịp thời những vi phạm trong thanh toán.
Thứ ba, có biện pháp giám sát, kiểm tra, quản lý chặt chẽ các đơn vị chấp nhận thẻ (ĐVCNT), trường hợp phát hiện ĐVCNT thực hiện giao dịch thanh toán không đúng quy định cần thực hiện ngay các biện pháp xử lý theo đúng quy định pháp luật.
Thứ tư, nâng cao cảnh giác trước các phương thức thủ đoạn tội phạm, tăng cường phối hợp, trao đổi thông tin để nhận biết và có các biện pháp phòng ngừa kịp thời, hiệu quả, đảm bảo an ninh, an toàn, bảo mật trong thanh toán, đặc biệt trong thanh toán thẻ.
Thứ năm, tăng cường phổ biến, tuyên truyền cho khách hàng về các sản phẩm, dịch vụ thanh toán thẻ và các nguy cơ, rủi ro tiềm ẩn cũng như các biện pháp phòng, chống rủi ro.
Ngoài ra, đối với thanh toán qua POS hay mPOS, gần đây, tình trạng khách nước ngoài vào Việt Nam giao dịch bằng thẻ thông qua quẹt máy POS, mPOS đã gây thất thoát nguồn tiền thuế khi giao dịch tại Việt Nam và còn có thể làm lộ bí mật thông tin của cá nhân, tổ chức chấp nhận thanh toán từ loại hình này.
Máy POS là thiết bị dùng để thanh toán tiền khi không giao dịch bằng tiền mặt mà dùng thẻ để quẹt thanh toán khi mua bán hàng. Còn máy mPOS là loại máy có thể sử dụng ở bất kỳ vị trí nào chỉ với một chiếc sim điện thoại 3G kết nối Internet. Thông thường thủ đoạn mà các đối tượng sử dụng là tội phạm người nước ngoài móc nối với người Việt Nam để thanh toán khống qua máy quẹt thẻ. Mới đây, cơ quan chức năng Bộ Công an đã đưa ra cảnh báo các ngân hàng về thủ đoạn trục lợi thông qua các máy thanh toán quẹt thẻ để người dân tránh.
Theo lực lượng Cảnh sát phòng chống tội phạm sử dụng công nghệ cao - Công an Thành phố Hà Nội cho biết: “Ngoài việc ăn cắp thông tin thẻ ATM, có hiện tượng nhiều đối tượng người Trung Quốc nhập cảnh vào Việt Nam, móc nối với các đơn vị chấp nhận thẻ, làm giả thẻ, thanh toán “khống” qua mPOS để chiếm đoạt hàng tỷ đồng của ngân hàng và chủ thẻ. Hoạt động của tội phạm này ngày càng tinh vi, chia thành nhiều công đoạn”.
Từ nhiều vụ việc mà cơ quan Công an phát hiện cho thấy, nhóm người Trung Quốc có nhiệm vụ chuyên móc nối với người Việt để thỏa thuận về việc thanh toán “khống” qua máy mPOS hoặc tìm các đối tượng người Việt Nam có quen biết từ trước dưới danh nghĩa đầu tư làm ăn tại Việt Nam để yêu cầu thành lập công ty, ký hợp đồng làm ăn. Các đối tượng này ký hợp đồng lắp POS không dây nhưng sau đó đưa cho người quen mượn để thanh toán, sau đó nhận hoa hồng do sử dụng mPOS số tiền hàng trăm triệu đồng.
Tình trạng khách du lịch Trung Quốc sang Việt Nam thực hiện các giao dịch bằng thẻ ngân hàng nội địa do ngân hàng Trung Quốc phát hành tại các máy chấp nhận thanh toán thẻ không dây mPOS của Trung Quốc vận chuyển lậu vào Việt Nam gia tăng và khó kiểm soát. Các máy mPOS chỉ cần sử dụng sim điện thoại 3G kết nối mạng internet về hệ thống của Trung Quốc nhằm thực hiện xác thực các giao dịch thanh toán. Ngoài ra, công nghệ thanh toán hiện nay đã cho phép khách hàng thanh toán không cần sử dụng máy POS, mPOS, chỉ cần sử dụng các ứng dụng ví điện tử như: Alipay, Wechatpay... được cài đặt trên thiết bị điện thoại di động thông minh smartphone thực hiện qua mã phản hồi nhanh QR code tại cơ sở kinh doanh. Các giao dịch thanh toán này sẽ được chuyển về hệ thống xử lý thanh toán trong lãnh thổ Trung Quốc không qua hệ thống ngân hàng và trung gian thanh toán tại Việt Nam. Chủ cơ sở kinh doanh chỉ cần có tài khoản ngân hàng tại Trung Quốc là có thể nhận tiền hoặc chuyển trái phép từ Việt Nam sang Trung Quốc và ngược lại mà không bị bất cứ cơ quan chức năng nào kiểm soát.
Liên quan đến hoạt động chấp nhận thanh toán không đúng quy định của pháp luật tại các cửa hàng phục vụ khách du lịch nước ngoài (là khâu cuối cùng trong chuỗi các bước khép kín của tour du lịch giá rẻ), về phía NHNN đã tích cực và chủ động phối hợp với các Bộ, ngành, đơn vị nghiên cứu và đề xuất các biện pháp xử lý vấn đề thuộc phạm vi chức năng, nhiệm vụ của từng ngành.
Bên cạnh đó, NHNN cũng đã chỉ đạo NHNN chi nhánh các tỉnh, thành phố báo cáo Ủy ban nhân dân các tỉnh, thành phố trực thuộc Trung ương chỉ đạo các đơn vị chức năng liên quan trên địa bàn (Du lịch, Công an, Quản lý thị trường, Thuế,...) phối hợp với NHNN chi nhánh tỉnh, thành phố để tiến hành thanh tra, kiểm tra hoạt động của hệ thống cửa hàng này để xử lý triệt để vấn đề. Đối với lĩnh vực ngân hàng, NHNN chi nhánh các tỉnh, thành phố thực hiện kiểm tra, phát hiện và xử lý các vi phạm liên quan đến hoạt động quản lý ngoại hối và hoạt động thanh toán thẻ ngân hàng theo quy định tại Nghị định số 96/2014/NĐ-CP ngày 17/10/2014 của Chính phủ quy định xử phạt vi phạm hành chính trong lĩnh vực tiền tệ và ngân hàng.
Đây là các vấn đề liên quan đến vai trò, chức năng của nhiều Bộ, ngành, đơn vị; đặc biệt cần sự quản lý, thanh tra và giám sát trực tiếp của các cơ quan chức năng tại địa phương để xử lý triệt để, đảm bảo hoạt động kinh doanh của các cửa hàng này tuân thủ các quy định của pháp luật, tránh được nguy cơ thất thu về thuế cho Nhà nước…
Một số khuyến cáo tới khách hàng
- Khách hàng cần tuân thủ các hướng dẫn của ngân hàng trong quá trình sử dụng thẻ, cần lưu số điện thoại đường dây nóng của ngân hàng để được hỗ trợ xử lý kịp thời, đặc biệt cần nâng cao cảnh giác với những thủ đoạn của tội phạm trên mạng; đối với các giao dịch thanh toán trực tuyến nên thực hiện giao dịch với các doanh nghiệp cung ứng dịch vụ có uy tín trên thị trường.
- Khách hàng cần bảo mật thông tin cá nhân, thông tin tài khoản, mật mã... để tránh bị lợi dụng; không mở hộ thẻ/tài khoản cho người khác.
- Khách hàng cần chú ý che chắn, không để người khác quan sát thao tác khi giao dịch tại ATM; định kỳ thay đổi mật khẩu thẻ và tuyệt đối không lấy theo năm sinh, chứng minh nhân dân, biển số xe, số nhà...
- Khi giao dịch tại các đại lý thanh toán qua POS, cần theo dõi thao tác của nhân viên, nếu có dấu hiệu bất thường nên dừng giao dịch và lựa chọn hình thức thanh toán khác; không tham gia vào các hành vi giao dịch thanh toán không được phép (qua POS, mPOS lậu)... vì có thể vi phạm quy định tại Nghị định 96 về xử phạt vi phạm hành chính trong lĩnh vực tiền tệ và ngân hàng.
Phạm Linh Trang
Vụ Truyền thông - NHNN
Chuyên đề Công nghệ và Ngân hàng số, số 07/2020