Hai bài toán đặt ra cho hệ thống ngân hàng Việt sau vụ khách bị mất tiền

18/08/2016 09:48
Mai Anh
(GDVN) - Theo TS. Nguyễn Trí Hiếu, nâng cao bảo mật và lấy lại niềm tin cho khách hàng đang là hai bài toán đặt ra cho hệ thống ngân hàng Việt Nam.

Sau vụ việc khách hàng Vietcombank báo mất tiền trong tài khoản vì vô tình truy cập vào một trang web giả mạo qua máy điện thoại cá nhân, liên tục những ngày qua, báo chí nhận được phản ánh của người dân về những chiêu thức lừa lấy mã OTP, rút tiền trong tài khoản của khách hàng. 

Trên thực tế, việc lộ bí mật thông tin cá nhân tài khoản trong quá trình giao dịch hay bị kẻ xấu lắp thiết bị lấy cắp thông tin thẻ tại trụ ATM, đồng thời lắp camera quay lén mật mã thẻ, sau đó chế tạo thẻ giả để rút trộm tiền... là những chiêu thức không mới của tội phạm mạng nhằm chiếm đoạt tài sản của chủ thẻ ATM.

Chống lại chiêu trò rút trộm tiền bằng thẻ giả, các ngân hàng đã thực hiện xác thực OTP (One-Time-Password), tạm dịch là mật khẩu dùng một lần.

Sau sự cố khách hàng mất tiền do truy cập vào trang web lạ, Vietcombank đưa ra hàng loạt khuyến cáo phòng tránh rủi ro và bảo mật giao dịch ngân hàng điện tử. Ảnh nguồn: Vietcombank.
Sau sự cố khách hàng mất tiền do truy cập vào trang web lạ, Vietcombank đưa ra hàng loạt khuyến cáo phòng tránh rủi ro và bảo mật giao dịch ngân hàng điện tử. Ảnh nguồn: Vietcombank.

Theo đó, khi thực hiện giao dịch tiền mặt, khách hàng ngoài thao tác nhập mã PIN thông thường cần phải xác nhận mã OTP được hệ thống ngân hàng gửi đến người dùng qua email, SMS vào bước cuối cùng của giao dịch nhằm mục đích để hệ thống nhận diện người chủ tài khoản thật, bảo vệ người dùng.

Tưởng rằng bằng việc sử dụng mã xác thực OTP, tài khoản của khách hàng sẽ được đảm bảo. Tuy nhiên, thực tế có trường hợp khách hàng do vô tình truy cập vào website lạ dẫn đến các thông tin và mật khẩu bị đánh cắp, tự động kích hoạt dịch vụ Smart OTP - cho phép lấy mã xác thực bằng thiết bị di động khác, không nhất thiết phải mang số điện thoại người dùng đăng ký với ngân hàng.

Hai bài toán đặt ra cho hệ thống ngân hàng Việt sau vụ khách bị mất tiền ảnh 2

Vietcombank thay đổi dịch vụ kích hoạt Smart OTP sau sự cố khách mất tiền

(GDVN) - Vietcombank cũng đề nghị khách hàng đến các điểm giao dịch của Vietcombank để thực hiện việc đăng ký dịch vụ.

Ngoài trường hợp Smart OTP đã nhắc đến ở trên, các chuyên gia giải thích OTP còn có thể bị lộ khi điện thoại của người sử dụng bị cài mã độc đánh cắp dữ liệu.

Khi mã độc xâm nhập kẻ xấu có thể lấy thông tin tài khoản và mật khẩu của người dùng, thực hiện lệnh chuyển tiền qua Internet Banking, sau đó đọc và xóa SMS chứa OTP, người dùng bị mất tiền mà không còn dấu vết truy vấn.

Và đã có khách hàng bị mất tiền dù không xác nhận mã OTP hay không nhận được tin nhắn về mã OTP nào trong thời gian qua khiến ngành ngân hàng đau đầu, còn người dân lo lắng hoang mang.

Từ sự cố khách hàng Vietcombank mất tiền vừa qua, ở góc cạnh chuyên gia tài chính – ngân hàng, TS. Nguyễn Trí Hiếu cho rằng lúc này vấn đề nâng cao bảo mật và lấy lại niềm tin cho khách hàng là hai bài toán đặt ra cho hệ thống ngân hàng Việt Nam.

Theo TS. Nguyễn Trí Hiếu, dưới góc nhìng của người trong ngành tài chính, khách hàng bị mất tiền trong tài khoản do bị tội phạm mạng tấn công là sự cố... hết sức bình thường, "có thể xảy ra trong bất kỳ nền tài chính nào".

TS. Nguyễn Trí Hiếu cho rằng, khi các ngân hàng Việt Nam phát triển lớn mạnh, số lượng khách hàng ngày một nhiều sẽ đi cùng với việc bảo mật ngày một phức tạp hơn. Nhất là khi tội phạm mạng luôn chạy trước, đón đầu về công nghệ thông tin.

TS. Nguyễn Trí Hiếu cho rằng nâng cao bảo mật và lấy lại niềm tin cho khách hàng đang là hai bài toán đặt ra cho hệ thống ngân hàng Việt Nam lúc này - ảnh: H.Lực
TS. Nguyễn Trí Hiếu cho rằng nâng cao bảo mật và lấy lại niềm tin cho khách hàng đang là hai bài toán đặt ra cho hệ thống ngân hàng Việt Nam lúc này - ảnh: H.Lực

“Sự cố khách hàng mất tiền đã cho thấy, bảo mật của hệ thống ngân hàng Việt Nam còn nhiều lỗ hổng. Tuy vậy nếu nhìn nhận tích cực, việc khách hàng mất tiền sẽ giúp thức tỉnh các ngân hàng trong hệ thống ngân hàng Việt Nam, để ngân hàng nhìn thấy lỗ hổng và khắc phục”, TS. Hiếu cho hay. 

Đưa ra đề xuất nhằm giúp khách hàng giải bài toán bảo mật thời gian tới, theo TS. Nguyễn Trí Hiếu các ngân hàng cần thực hiện đồng thời hai việc: Thứ nhất, nâng cao công nghệ thông tin bằng việc tuyển chọn nhân sự có trình độ cao làm việc trong bộ máy hoặc thuê các đơn vị chuyên nghiệp đứng ra thực hiện bảo mật.

Thứ hai, các ngân hàng cần thực hiện thăm dò về hệ thống bảo mật của mình bằng cách có thể thuê đơn vị chuyên nghiệp tấn công vào chính hệ thống bảo mật của ngân hàng. Qua việc tấn công này các ngân hàng tự nhìn ra lỗ hổng và kịp thời khắc phục.

Cũng theo TS. Hiếu, bên cạnh chủ động nâng cao công nghệ thông tin, các ngân hàng cần tuyên truyền nâng cao nhận thức của khách hàng về việc bảo mật thông tin bao gồm cả việc bảo mật mã PIN, bảo mật mã OTP, bảo mật điện thoại.

Cụ thể, với khách hàng đăng ký gửi xác nhận mã OTP bằng tin nhắn điện thoại hay Email cần phải lưu ý bảo mật điện thoại. Không cho người lạ mượn điện thoại đồng thời không dùng điện thoại tuy cập vào trang web lạ.

Cùng với đó truy xuất thư điện tử email khi không sử dụng để tránh bị kẻ xấu ăn cắp mật khẩu email xác nhận mã OTP qua email…

Dùng thẻ ngân hàng thế nào để không bị mất tiền?

+ Tuyệt đối bảo vệ bí mật thẻ và PIN của mình, không được đưa thẻ cho người khác sử dụng

+ Quan sát các thiết bị lạ gắn trên ATM, đặc biệt khu vực phía trước bàn phím xem có camera hay không (vị trí này ngân hàng quản lý ATM không bao giờ gắn camera)

+ Khi giao dịch tại ATM, nếu như ATM chưa được trang bị thiết bị che bàn phím, khách hàng nên dùng tay che bàn phím khi nhập PIN để rút tiền nằm tránh việc kẻ xấu quay camera để trộm dữ liệu.

Trong trường hợp phát hiện các thiết bị lạ tại máy ATM, khuyến nghị khách hàng thông báo ngay với ngân hàng đặt máy ATM để có thể xử lý kịp thời kiểm tra, xử lý.

+ Khách hàng nên sử dụng các dịch vụ hỗ trợ như internet banking và mobile banking để có thể kiểm tra số dư và truy vấn giao dịch nhanh chóng mà không cần đến điểm giao dịch của ngân hàng.

Khi phát hiện có dấu hiệu lừa đảo hoặc bị ăn cắp thông tin, cần báo ngay cho ngân hàng.

+ Khi thanh toán thẻ, chủ thẻ lưu ý không để nhân viên thanh toán cầm thẻ ra khỏi tầm kiểm soát của mình.

Đồng thời yêu cầu nhân viên thanh toán thực hiện hủy ngay giao dịch nếu chủ thẻ cảm thấy nghi ngờ về các thao tác thanh toán đồng thời liên hệ với ngân hàng để xác nhận tình trạng giao dịch vừa thực hiện.

+ Chủ thẻ chỉ nên kích hoạt tính năng thanh toán internet khi chủ thẻ có nhu cầu sử dụng và đóng chức năng này khi không còn nhu cầu thanh toán.

Ngoài ra, nên lựa chọn phát hành thẻ tại ngân hàng phát hành thẻ quốc tế có bảo mật OTP khi thanh toán qua internet và ngân hàng có hệ thống giám sát giao dịch gian lận (fraud Detection) để giảm nguy cơ thiệt hại khi thẻ bị đánh cắp dữ liệu.

+ Không cung cấp thông tin về thẻ như: số thẻ, thời gian hiệu lực của thẻ, số CVV2 của thẻ, … qua email, web qua các không tin không đủ độ tin cậy được gửi đến cho chủ thẻ.

Mai Anh