Tăng cường bảo mật khi thanh toán qua ngân hàng điện tử

        Trong bối cảnh hiện nay, tấn công mạng đã trở thành vấn đề an ninh phi truyền thống mang tính toàn cầu và là mối quan tâm chung của các quốc gia trên thế giới. Hệ thống tài chính, ngân hàng, trong đó xương sống là hệ thống thanh toán là hệ thống rất quan trọng và nhạy cảm của nền kinh tế, đã và đang là đích ngắm hàng đầu của các đối tượng phạm tội công nghệ cao trên toàn thế giới, trong đó có cả ở Việt Nam.

       Trên thế giới, gian lận rủi ro trong hoạt động thanh toán có thể xảy ra ở bất cứ quốc gia nào, kể cả những quốc gia có nền kinh tế, khoa học công nghệ phát triển như Mỹ, Anh, Đức, Nhật Bản... Đối với các tổ chức thẻ quốc tế lớn như Visa hay MasterCard..., vấn đề an ninh, an toàn bảo mật nhằm hạn chế gian lận trong giao dịch thẻ cũng được đặt lên hàng đầu trong quá trình nghiên cứu, phát triển và cung ứng các sản phẩm, dịch vụ thẻ. Tuy vậy, tổng kết hàng năm về tình hình gian lận thẻ vẫn là vấn đề nổi cộm đối với các tổ chức này khi xu hướng phạm tội vẫn tiếp tục phát sinh, bất chấp việc áp dụng các giải pháp công nghệ bảo mật mới nhất.

- Call center: Đây là loại hình dịch vụ rất linh hoạt, nó giúp cung cấp thông tin và trả lời những thắc mắc của khách hàng.

- Phone banking: Tương tự như loại hình call banking, thông qua loại hình dịch vụ này khách hàng có thể được cung cấp thông tin theo yêu cầu.

 - Mobile banking: Loại hình dịch vụ này là hình thức dịch vụ thông qua mạng điện thoại di động nó nhằm giải quyết các nhu cầu thanh toán các giao dịch có giá trị nhỏ hay những dịch vụ tự động không có người phục vụ.

-  Home banking (P/C): Để tiết kiệm thời gian cho khách hàng, chỉ cần một máy vi tính thông qua việc kết nối mạng với hệ thống mạng của ngân hàng, khách hàng cũng có thể giao dịch trực tuyến trên mạng mà không cần phải đi đến ngân hàng.

 - Internet banking: Đây là kênh phân phối rộng, khách hàng chỉ cần truy cập vào Internet là có thể giao dịch và truy vấn thông tin cần thiết.

- Dịch vụ thẻ: Thẻ ngân hàng là một phương tiện thanh toán không dùng tiền mặt.

2.1. Những mối đe doạ lớn nhất trong việc bảo mật mạng

* Phishing:

       Phishing là một thủ đoạn của hacker nhằm lấy thông tin cá nhân của quý khách bằng cách dùng email giả danh các tổ chức tài chính. Cách này rất hay được những tên trộm ảo sử dụng.

       Các email tự xưng là các ngân hàng hoặc tổ chức hợp pháp thường được gởi số lượng lớn. Nó yêu cầu người nhận cung cấp các thông tin khá nhạy cảm như tên truy cập, mật khẩu, mã đăng ký hoặc số PIN bằng cách dẫn đến một đường link tới một website nhìn có vẻ hợp pháp, điều đó giúp cho tên trộm có thể thu thập được những thông tin của quý khách để tiến hành các giao dịch bất hợp pháp sau đó.

* Spyware và Adware:

       Spyware là một loại phần mềm bí mật thu thập thông tin của người sử dụng trên internet.

        Adware là một dạng phần mềm mà các nhà kinh doanh qua mạng rất thích dùng để theo dõi những thói quen và mối quan tâm của người dùng Internet với mục đích tùy biến các mục quảng cáo sau này. Adware theo dõi thông tin như các loại trang được xem, các chủ đề được đọc, các loại banner quảng cáo mà người sử dụng click vào. Thông tin này sau đó được sử dụng để tạo nên các mục quảng cáo thu hút khách hàng, hoăc có thể được bán lại cho bên thứ ba vì mục đích tương tự.

* Virut và Worms:

          Virut máy tính là phần mềm được đính kèm với các chương trình khác. Giống như một virus sinh học, nó phải tự bám vào các chương trình khác để sinh trưởng và phát triển. Không giống với trojans hoạt động độc lập, virus chỉ có thể hoạt động nếu như chương trình chứa nó đang hoạt động. Trong quá trình hoạt động, virus tự sinh sôi và lan truyền sang các chương trình khác. Nó có thể tấn công các nguồn như ổ đĩa hoặc bộ nhớ hay bất kỳ khu vực nào trên máy tính.

         Virus qua email là hình thức mới nhất của virus máy tính. Nó xâm nhập vào tất cả các thư, và thường xuyên nhân bản để phát tán virus đến tất cả những người trong danh bạ. Worm cũng giống như virus. Nó lợi dụng những máy tính đang nối mạng để xâm nhập vào những lỗ hổng bảo mật. Khi đã tìm thấy lỗ hổng bảo mật, nó sẽ xâm nhập một cách nhanh chóng từ máy này sang máy khác. Nó có sức phá hủy tương đương với virut.

* Trojans:

         Trojan là một chương trình mang mục đích phá hủy núp dưới dạng một ứng dụng vô hại. Không giống với virus, trojan không phải bản sao của bất kỳ loại nào và nó cũng không cần gắn với chương trình nào cả.

         Người sử dụng hiện vẫn để máy tính của họ chứa trojan bởi họ cho rằng nó vô hại, thậm chí là có ích. Một vài loại trojan tự xưng là sẽ loại bỏ những virus khác trên máy tính hoặc các chương trình có hại khác nhưng thay vào đó nó lại sinh ra những virus khác tạo điều kiện cho hacker tấn công.

2.2.Vấn đề bảo mật trong ngân hàng hiện nay tại Việt Nam

         Bảo vệ quyền lợi người dùng là điều cốt lõi tạo nên giá trị lâu bền với mọi ngân hàng, nâng cao nhận thức cho khách hàng là việc mà nhà nước và các ngân hàng luôn quan tâm. Thế nhưng, việc đảm bảo sự an toàn trong giao dịch hay vấn đề bảo mật ngân hàng chưa thực sự tốt. Thực tế cho thấy, các ngân hàng nói riêng và các tổ chức tại Việt Nam nói chung chưa thực sự sẵn sàng đầu tư lớn cho việc bảo mật hệ thống, nâng cấp an ninh, website, phần mềm.

         Các vụ việc mất tiền liên quan tới các ngân hàng khác nhau không chỉ xảy ra 1 năm, 2 năm mà xảy ra thường xuyên. Mức độ ảnh hưởng ngày càng lớn hơn, số tiền của khách hàng bị kẻ xấu đánh cắp ngày càng lớn, chiêu trò tấn công của hacker ngày càng nguy hiểm. Hàng loạt vụ mất tài khoản ngân hàng “ liên tiếp xảy ra ” trong năm 2016. Cụ thể như:

         * Vụ việc tại ngân hàng TMCP Việt Nam Thịnh Vượng (VPBank) – Tháng 7 năm 2015: Vào tháng 7 năm 2015, bà Trần Thị Thanh Xuân, Giám đốc Công ty TNHH MTV Đầu tư và Phát triển Quang Huân (trụ sở ở Củ Chi) đến rút tiền tại Ngân hàng TMCP Việt Nam Thịnh Vượng (VPBank) thì bị mất 26 tỷ đồng trong tài khoản, và số dư chỉ còn lại vài trăm ngàn đồng.

        * Vụ lỗ hổng bảo mật ngân hàng tháng 8 năm 2016: Tài khoản của chị Hoàng Thị Lan Hương ở Hà Nội đã bị chuyển đi 500 triệu đồng tại ngân hàng Vietcombank.

        * Vụ việc đầu tháng 9 năm 2016: Vào đầu tháng 9 năm 2016, bà Trần Thị Thanh Phúc ở Nguyễn Khuyến, Hà Nội đã bị mất 4 tỉ đồng và đã tố cáo Ngân hàng Cổ phần Thương Mại Sài Gòn chuyển 4 tỷ không đúng quy định.

        * Vụ việc mất tiền khi giao dịch ngân hàng chỉ trong “ 2 phút “ ngày 12/10/2016: Anh Nguyễn Tấn Thạnh sống ở chi nhánh quận Bình Thạnh, thành phố Hồ Chí Minh đã bị bất ngờ rút mất 20 triệu đồng chỉ trong vòng 2 phút  khi mở thẻ tại ngân hàng DONGA Bank

       * Vụ chiếm đoạt 50 tỷ đồng do bà Nguyễn Thị Lam gây ra: Gần 50 tỷ đồng của các khách hàng gửi tại ngân hàng Eximbank Nghệ An, người mất tiền ít nhất là 350 triệu đồng, còng người mất tiền nhiều nhất là 31 tỉ đồng nhưng đây là vụ việc do 1 nhân viên của ngân hàng Eximbank gây ra.Với chiêu trò tự ý đưa ra lãi suất tiền gửi cao hơn so với mức quy định, tặng thưởng thêm cho người gửi có số tiền lớn, nhiều người đã giao dịch với bà Nguyễn Thị Lam mà không đến ngân hàng. Bà đã đưa giấy tờ khống cho khách hàng ký và nói rằng : để hoàn tất thủ tục nhận quà, nhận lãi, cần phải có giấy của chữ ký thật. Từ đó, Lam đề thêm nội dung rút tiền hoặc chuyển khoản rồi trình cấp trên ký giấy tờ hoàn tất.Sau 5 tháng, bà Nguyễn Thị Lam đã chiếm đoạt được 50 tỉ đồng.

         Các vụ việc mất tiền trong ngân hàng xảy ra không chỉ trong ngân hàng nhỏ mà còn ngay cả ngân hàng lớn như  Eximbank, vietcombank, BIDV. Như vậy, trong 3 tháng liên tiếp xảy đã ra nhiều vụ mất tiền tại các ngân hàng khác nhau hoặc không giao dịch cũng bị mất. Có vụ việc chỉ mất vài chục triệu, cũng có vụ là trăm triệu, hàng tỉ,thậm chí vài chục tỉ đồng trong  tài khoản ngân hàng của khách hàng.

        Nguyên nhân chính là do người sử dụng chủ quan, không quan tâm đến sự bảo mật thẻ ngân hàng của mình vì sự vội vã, hoặc chỉ biết 1 số tính năng cơ bản mà không quan tâm loại thẻ đó có những đặc điểm gì, tính năng ngoài khác hay không. Lợi dụng điều này, những kẻ xấu có thể quan sát hành động của bạn, lấy cắp mật khẩu rồi sau đó chế tạo thẻ giống hệt vậy, hoặc gắn thiết bị nhỏ bên ngoài hoặc bên trong cây ATM và theo dõi mọi hành vi của bạn. Đôi lúc, trang thiết bị tinh vi ăn cắp tài khoản có thể được gắn ngay bên trong cây ATM, giống như 1 bộ phận của cây, nó có thể nhận được những tín hiệu khi bạn bấm mật khẩu. Nguyên nhân nữa là do hệ thống bảo mật của ngân hàng yếu kém, hệ thống chưa được nâng cấp.

3. Xu hướng tăng cường bảo mật khi thanh toán qua ngân hàng điện tử

* Sử dụng token cứng của ngân hàng:

     Để giao dịch online trên website ngân hàng, thường thì bạn sẽ cần đến một mật khẩu OTP (One Time Password). Mật khẩu này có thể được nhắn qua số điện thoại, dùng một app tạo OTP trên smartphone do ngân hàng cung cấp, hoặc sử dụng một thiết bị phần cứng riêng có hình dáng hơi giống một cái máy tính bỏ túi siêu nhỏ.

     Giải pháp sử dụng token cứng có thể xem là an toàn hơn vì thiết bị đó rất khó bị sao chép và can thiệp từ ngoài. Nếu bạn dùng SMS, kẻ xấu có thể bằng cách nào đó chiếm lấy số điện thoại của bạn nhờ vào những cách thức đánh lừa giao dịch viên của mạng di động. Cách thức sử dụng app tạo OTP trên smartphone có thể xem an toàn hơn một chút, tuy nhiên nó chỉ thật sự an toàn khi ngân hàng có quy trình chặt chẽ để quản lý và cho phép sử dụng mà thôi.

      Nếu để quên thiết bị này ở nhà thì xem như bạn không thể thực hiện giao dịch online trên website ngân hàng. Thiết bị cũng hơi bất tiện hơn so với việc dùng SMS và app OTP. Bù lại, tính an toàn cao hơn. Token này có một số ngân hàng phát free ở thời điểm mở tài khoản, sau đó nếu lỡ làm mất thì phải nộp phí mua lại.

* Cảnh giác khi vào link qua email:

       Chuyện làm ra một website giả mạo có giao diện giống hệt như website của ngân hàng, hay việc giả tên miền cho hơi giống giống không quá phức tạp.

      Thực tế đã có rất nhiều hacker làm như vậy với mong muốn đánh cắp thông tin đăng nhập của người dùng. Khi bạn đã vào website giả mạo, khi vô tình nhập username / password vào đó sẽ mất thông tin đăng nhập ngay.

       Nếu bạn nhận được một email nào đó từ ngân hàng và có đường link, hãy hạn chế việc click vào trừ khi bạn chắc chắn 100% đây chính là email chính thức từ ngân hàng. Bạn có thể truy cập qua trình duyệt web sẽ an toàn hơn. Với những thông tin cảnh báo hay quảng cáo, ngân hàng đều có sẽ link trên website của họ và bạn không nhất thiết phải click vào trong email.

        Ngoài email, tin tặc đôi khi cũng sẽ gửi tin lừa đảo thông qua SMS, Facebook Messeger và các phương tiện thông tin mới khác.

        Hiện nay, tất cả ngân hàng đều sử dụng giao thức HTTPS cho các trang web giao dịch của mình. Giao thức này sẽ mã hóa dữ liệu được gửi đi từ máy bạn lên máy chủ của ngân hàng. Nói cách khác, đây là giải pháp để tránh bị đánh cắp dữ liệu trong quá trình truyền tải. Một số website giả mạo ngân hàng sẽ không dùng HTTPS mà chỉ dùng HTTP thôi, khi đó bạn sẽ không thấy biểu tượng ổ khóa trên trình duyệt. Hãy cẩn thận với những web HTTP đó.

* Đăng kí SMS Banking để cập nhật tài khoản:

       Rất nhiều người không đăng kí SMS Banking cho tài khoản của họ. SMS Banking sẽ nhắn tin cho bạn biết mỗi khi tài khoản của bạn có thay đổi gì đó, có thể là về số tiền, về thông tin chủ thẻ hay một giao dịch nào đó sắp diễn ra. Nếu bạn không đăng kí SMS Banking, nếu như có ai đó hack thành công vào tài khoản của bạn thì bạn sẽ không cách nào biết được.

* Quan tâm tới các tin nhắn, email tài khoản:

     Mỗi khi bạn thực hiện giao dịch, tin nhắn và email thường sẽ được gửi cho bạn. Do phải nhận quá nhiều email mỗi ngày nên nhiều người có thể bỏ qua những thông tin này, và để mặc cho hacker thoải mái tung hoành trong tài khoản cho đến khi tiền đã bị rút sạch chuyển sang nơi khác. Nếuphát hiện sớm, bạn có thể yêu cầu ngân hàng vô hiệu hóa việc giao dịch online. Những trường hợp như vậy khiếu kiện cũng nhanh và dễ hơn so với việc để mặc cho tài khoản bị rút mà không hay biết.

      Nếu dùng Gmail, bạn có thể sử dụng email Primary. Email này sẽ được app Gmail trên các thiết bị di động thông báo ngay khi có email, đảm bảo không bỏ lỡ bất kì email quan trọng nào từ ngân hàng.

      Nếu dùng app Inbox thì cũng tương tự, dùng app Outlook của Microsoft thì hộp thư đó được gọi là "Focus" và cũng sẽ thông báo khi có thư đến ngay lập tức.

* Không vào tài khoản ngân hàng khi dùng mạng công cộng:

      Có hàng tá cách dò thông tin của bạn khi đang sử dụng các mạng Wi-Fi công cộng, từ việc can thiệp vào đường truyền để đánh cắp các gói thông tin cho đến những giải pháp tinh vi hơn để đảo ngược việc mã hóa thông tin. Tốt nhất, bạn không nên truy cập vào tài khoản ngân hàng của mình khi đang ở nơi công cộng.

* Chọn mật khẩu khó đoán, bảo mật username:

       Các website ngân hàng online đều khuyến cáo đặt mật khẩu khó để tránh bị đoán. Một mật khẩu có thể xem là khó khi nó kết hợp chữ hoa, chữ thường, số và các kí tự đặc biệt như !@#^&*(. Bạn nên đổi password của mình nếu nó đang không có đủ tất cả những yếu tố này, bởi nguy cơ bị đoán ra password khi đó cao hơn.

       Username của nhiều ngân hàng không cho bạn tự chọn, thay vào đó nó là dạng chuỗi kí tự như A6760776P. Nhiều người chọn cách ghi nó ra mảnh giấy rồi dán lên tường hay trong phòng làm việc! Cách này rất là nguy hiểm vì nó để lộ thông tin tối mật của bạn cho người khác xem. Ghi nhớ là cách dễ nhất, hoặc lưu vào một trình note nào đó hỗ trợ mã hóa bằng password.