Lỗ hổng bảo mật

Thanh toán không cần tiếp xúc thông qua thẻ tín dụng, thẻ ghi nợ rất nhanh chóng, dễ dàng và đã tỏ ra đặc biệt hữu ích trong thời kỳ đại dịch hiện nay. Để tăng cường bảo mật, thông thường người dùng phải nhập mã PIN, mã OTP được gửi về số điện thoại đăng ký trên thẻ để giao dịch một số tiền nhất định. Tuy nhiên, dù được các tổ chức phát hành thẻ, trung gian khẳng định bảo mật thẻ 2 lớp, công nghệ hiện đại bậc nhất bảo đảm an toàn, nhưng trên thực tế vẫn xuất hiện nhiều trường hợp thẻ bị “hack”, tự động trừ tiền trên thẻ với các giao dịch online. Nếu hạn mức tín dụng cao có thể dẫn đến thiệt hại tài sản lớn với chủ thẻ.

Những trường hợp bất ngờ “bốc hơi” mất một khoản tiền trong thẻ tín dụng không phải là hiếm trong thời gian qua. Chia sẻ với báo chí, chị N.T.T.L tại Hà Nội cho biết, sáng 30/5, chị nhận được hàng loạt tin nhắn trừ tiền trong tài khoản thẻ Vietcombank MasterCard, thời gian từ 1h16 đến 1h33 sáng, có tất cả 7 giao dịch thành công bị trừ tiền, trong đó 3 giao dịch trừ 1 USD/lần và 4 giao dịch trừ 6 triệu đồng/lần. Mặc dù thẻ không bị mất và chị cũng không thực hiện giao dịch nào nhưng hơn 24 triệu đồng trong tài khoản đã không cánh mà bay. Đặc biệt, tất cả giao dịch này đều thanh toán cho dịch vụ quảng cáo trên Facebook mà không yêu cầu nhập mã OTP.

Sau khi mất tiền, chị L. đã gọi đến tổng đài Vietcombank và được hướng dẫn khiếu nại. Song chị L. không khỏi băn khoăn khi thẻ tín dụng được cất giữ cẩn thận nhưng vẫn bị lộ thông tin.

Một trường hợp khác là anh N.M.H cũng bị trừ tiền tại thẻ MSB Creditcard. Theo đó, năm trước anh H. có mua một dịch vụ trên internet và thanh toán bằng thẻ, sau một năm dịch vụ này tự động gia hạn mà không có thông báo với khách hàng, đồng thời trừ tiền trên thẻ cũng không yêu cầu mã OTP. Số tiền anh H. bị trừ mất 200 USD, tương đương hơn 4 triệu đồng. Anh H. đã liên hệ với ngân hàng MSB để làm rõ giao dịch thì được trả lời là do anh không tắt chức năng gia hạn nên đến “hẹn” tài khoản sẽ tự động khấu trừ.

Giải thích về việc vì sao không cần mã OTP mà thẻ vẫn bị trừ tiền, phía ngân hàng cho biết, đây là do thoả thuận giữa nhà thanh toán với các đối tác bán hàng chứ không nằm ở phía ngân hàng.

“Sau khi nghe ngân hàng phân tích, tôi đã chấp nhận mất số tiền hơn 4 triệu đồng vì không thể đề nghị bồi hoàn. Nhưng sau đó, tôi cũng yêu cầu đóng thẻ vì cảm thấy quá rủi ro khi tài khoản cứ tự động trừ tiền cho những dịch vụ mình không sử dụng, không mong muốn, thậm chí là có thể bị mất dữ liệu về sau.”, anh H chia sẻ.

Theo một chuyên gia phân tích, có 3 “thủ đoạn” để hack thẻ hiện nay, đó là:

Thứ nhất, hack trang web mua bán: Hackers công nghệ có thể lấy thông tin người dùng bằng cách hack trang web mua sắm, dịch vụ,… nơi khách hàng hay sử dụng thẻ tín dụng thanh toán. Một khi kẻ gian đã hack trang web thì tất cả thông tin trong web đó sẽ bị lấy đi, có nghĩa là có thể hàng trăm, hàng ngàn thông tin thẻ tín dụng đều bị ảnh hưởng.

Thứ hai, sử dụng máy quét dữ liệu thẻ (Skimming). Hình thức này ở nước ngoài rất phổ biến, nhất là khi tới nhà hàng, khách sạn, trong lúc đưa thẻ thanh toán đã bị đặt thiết bị quét dữ liệu mà người thanh toán không hề hay biết.

Thứ ba, kẻ gian sẽ đặt máy MP3 tại cây ATM, với máy MP3 này, khi khách hàng thực hiện giao dịch trên cây ATM, mọi tiếng động gõ phím sẽ được ghi lại và chuyển hóa thành các bộ số chính và mã pin thẻ của khách hàng.

“Lỗ hổng về bảo mật mà khách hàng hay gặp phải nhất đó là bị lộ số CVV/CVC2 là mã số bảo mật của thẻ tín dụng dùng trong thanh toán quốc tế, để xác minh quyền sở hữu thẻ của người dùng. Mã CVV/CVC gồm 3 chữ số được in ở phần dưới dải băng đen do ngân hàng phát hành thẻ cấp và quản lý giao dịch mỗi khi người dùng thanh toán hoặc chi tiêu trên thẻ. Cũng không loại trừ trường hợp, ngân hàng làm lộ thông tin của khách hàng, như trường hợp tại ngân hàng MSB làm lộ thông tin 2 triệu tài khoản khách hàng trước đây”, vị chuyên gia phân tích.

Đi tìm giải pháp

Thời gian vừa qua, rất nhiều ngân hàng đã áp dụng phương thức 3D-Secure (3DS) là một lớp bảo vệ tăng cường cho các chủ thẻ khi giao dịch trực tuyến. Với phương thức này, khi thực hiện các giao dịch trên các website thương mại điện tử, bên cạnh các bước xác thực thông thường, ngân hàng sẽ gửi thêm mật khẩu giao dịch một lần (OTP) qua tin nhắn hoặc email để khách hàng nhập và hoàn tất giao dịch.

3DS đảm bảo rằng chỉ có khách hàng, với tư cách là chủ thẻ, sẽ có mật khẩu để hoàn tất giao dịch đó. 3DS được các tổ chức thẻ quốc tế áp dụng và có tên gọi khác nhau như Safe Key (Amex), Verified by Visa (Visa), Mastercard SecureCode hoặc Master ID check (Mastercard), J-Secure (JCB).

Tuy nhiên, theo một lãnh đạo ngân hàng cho biết, việc không áp dụng 3DS là do thỏa thuận giữa Visa, MasterCard với các doanh nghiệp cung cấp dịch vụ. Cụ thể, với các doanh nghiệp lớn đã được xác thực danh tính (verified merchant) như Facebook, Google, Apple…, các giao dịch đều không đòi hỏi mã OTP. Đây cũng là kẽ hở nhiều đối tượng lợi dụng để lừa đảo.

“Ngân hàng muốn áp dụng 3DS để an toàn cho khách hàng, nhưng các đơn vị cung cấp dịch vụ không hỗ trợ, thì ngân hàng cũng không có cách nào. Dù vậy, nếu khách hàng phát hiện và khiếu nại sớm, chúng tôi sẽ phối hợp với Visa, MasterCard điều tra và gần như 100% giao dịch liên quan đến Facebook, Google, Apple… đều được hoàn lại trong vòng 30 – 90 ngày, đồng thời cấp thẻ mới cho khách hàng”, vị lãnh đạo khẳng định.

Trao đổi với Diễn đàn Doanh nghiệp, ông Đinh Hồng Sơn, Tổng giám đốc công ty Cổ phần Tài chính Thế hệ mới cho rằng, việc lộ thông tin bảo mật thẻ tín dụng không chỉ xuất phát từ lòng tham của các tin tặc mà một phần nguyên nhân cũng do người dùng không cẩn trọng trong việc bảo mật. Người dùng cần lưu ý một số điều sau để bảo mật thông tin thẻ an toàn:

Một là cần dán nhãn che 3 số bí mật sau thẻ (mã số CVV/CVC) hoặc ghi nhớ rồi xóa đi.

Hai là khi sử dụng thẻ tín dụng, hãy chắc chắn rằng thẻ của mình được bảo mật trước sự quan sát của người khác cũng như không cho người khác mượn thẻ tín dụng cá nhân để thanh toán, hoặc đưa thẻ thanh toán cho nhân viên phục vụ làm giúp mình.

Ba là, không truy cập vào những đường link lạ, không sử dụng các phần mềm lậu do dễ bị cài phần mềm đánh cắp thông tin tài khoản (malwave).

Bốn là, nếu thường xuyên thực hiện các giao dịch tài chính cần sử dụng các chương trình Antivirus để đảm bảo máy tính sạch, không nhiễm trojan, keylogger đồng thời cần bật chức năng chống giả mạo (Anti Phising) để đảm bảo an toàn khi truy cập các trang ngân hàng điện tử.

Năm là, sau khi đăng nhập vào các tài khoản ngân hàng, cần đăng xuất ngay và tránh đánh dấu vào tiện ích lưu mật khẩu trên trang.

Sáu là, không can thiệp vào hệ điều hành của điện thoại như root máy với Android hay jailbreak với iPhone, những hành vi này làm vô hiệu hóa khả năng bảo mật của máy.

Còn đối với các ngân hàng, cần thiết phải xây dựng hệ thống xác thực 3D-Secure cho thanh toán qua thẻ tín dụng, cũng như hệ thống cảnh báo, phát hiện giao dịch bất thường và có quy trình hỗ trợ khách hàng thương lượng với bên cung cấp sản phẩm để hoàn toàn cho khách hàng nếu có thể.

Bài viết Mất tiền lúc nửa đêm: Lỗi tại ai? đã xuất hiện đầu tiên vào ngày Sài Gòn Voice.

Vị khách lạ mặt từ nước Anh?

Ngày 5/2, bà Hồ Thị Đoan Trang (ngụ phường Phú Mỹ, quận 7) cho biết, bà đang liên hệ với Ngân hàng Thương mại CP Xuất nhập khẩu Việt Nam (Eximbank) để làm rõ việc “bốc hơi” 54 triệu đồng trong tài khoản.

Theo bà Trang, bà làm nghề kinh doanh, buôn bán ba lô. Vào lúc 16h22 phút ngày 30/1 (mùng 6 Tết), bà đang lái xe thì có một khách hàng gọi điện qua Zalo cho bà xác nhận đặt 300 ba lô mà công ty bà đã chào giá trước đó.

Vị khách cho biết, người này đang ở nước Anh nên trời đã gần tối, cần chuyển tiền để kịp lấy hàng và hỏi bà Trang số tài khoản để chuyển 15 triệu đồng tiền cọc. Bà Trang cung cấp số tài khoản của Ngân hàng Eximbank tại Phòng giao dịch Phú Mỹ (quận 7) và số điện thoại di động để vị khách liên lạc.

“Khoảng 2 phút sau họ gửi cho tôi một đường link, một mã số yêu cầu tôi xác nhận nhận tiền để chuyển tiền từ USD qua VND. Tôi làm theo hướng dẫn thì khi đăng nhập vào trang web, nhập user name và pass thì tự động có mã OTP về máy. Tôi chưa kịp đọc thì đã có tin nhắn của ngân hàng báo đã bị rút 36 triệu đồng từ tài khoản mở tại Eximbank Phú Mỹ. Sau đó 1 phút, tài khoản mở tại Eximbank Thanh Đa cũng báo bị rút 18 triệu đồng. Tôi gọi lại cho vị khách thì người đó đã khóa máy”, bà Trang nói.

Theo bà Trang, đường link mà người khách lạ gửi có địa chỉ http://westerunion-vn24h.herokuapp.com. Giao diện web hiển thị chữ Eximbank.

Biết gặp chuyện chẳng lành, bà Trang liên hệ đến tổng đài hỗ trợ của Eximbank và lãnh đạo Phòng giao dịch Eximbank Phú Mỹ để can thiệp và được một nhân viên hỗ trợ.

Nhân viên ngân hàng thông báo, bà Trang đã bị lừa rút tiền từ tài khoản. Nhân viên ngân hàng sẽ khóa tài khoản tạm thời để tránh thất thoát. Tuy nhiên, tài khoản của bà Trang tại Eximbank đã hết tiền.

Qua xác minh ban đầu, tài khoản Eximbank của bà Trang đã bị kẻ gian chiếm quyền sử dụng và chuyển tiền vào một tài khoản tên “Tran Ngoc Toan” mở tại Ngân hàng Đầu tư và Phát triển Việt Nam (BIDV).

“Phía ngân hàng Eximbank nói với tôi là không thể làm gì ngoài việc khóa tài khoản và yêu cầu tôi đến công an để làm đơn tố cáo. Khi có quyết định của cảnh sát kinh tế thì đưa quyết định đó qua BIDV nhờ xem xét. Tôi có nhờ phía Eximbank đại diện cho tôi làm việc với BIDV nhưng họ nói không thể làm như thế”, bà Trang chia sẻ.

Trao đổi với phóng viên Dân trí, đại diện ban lãnh đạo Eximbank cho biết, ngân hàng này đã tiếp nhận thông tin phản ánh và chỉ đạo cho bộ phận Quản trị rủi ro của Eximbank xử lý vụ việc.

Qua kiểm tra ban đầu, Eximbank nhận thấy khách hàng đã nhấp vào đường link giả do kẻ gian cung cấp khiến thông tin của khách hàng bị lộ, dẫn đến tài khoản bị mất tiền. Số tiền 54 triệu đồng được chuyển vào một tài khoản tại BIDV nên các ngân hàng và cảnh sát sẽ phối hợp làm rõ. Ngân hàng sẽ tiếp tục làm việc với bà Trang để tìm hướng giải quyết thỏa đáng nhất.

Thông tin chính thức sẽ được Eximbank trả lời sau khi có báo cáo cụ thể từ các bộ phận.

Cẩn trọng với tin nhắn lạ, đường link không rõ ràng

Liên quan đến vấn đề nói trên, mới đây, Bộ Công an đã phát đi thông báo cảnh báo người dân về việc các đối tượng tội phạm giả danh các tổ chức tín dụng giả mạo tin nhắn thương hiệu để chiếm đoạt tài sản.

Theo Bộ công an, thời gian qua đã có nhiều người dân bị các đối tượng phạm tội dùng thủ đoạn giả mạo tin nhắn thương hiệu (SMS Brand Name) để chiếm đoạt tài sản với số tiền lớn. Đây là thủ đoạn hoàn toàn mới, tinh vi, cần được người dân nhận biết, quan tâm, nâng cao cảnh giác để tự bảo vệ tài sản của chính mình.

Theo đó, SMS Brand Name là tin nhắn thương hiệu, được các tổ chức, cá nhân đăng ký độc quyền tại các nhà mạng viễn thông và sử dụng làm dịch vụ gửi tin nhắn hàng loạt đến các khách hàng, để chăm sóc khách hàng, quảng bá hình ảnh, thông báo nội dung, chính sách mới…

Theo nguyên tắc, khi tin nhắn Brand Name đã được đăng ký tại các nhà mạng thì các tổ chức, cá nhân khác không được phép đăng ký trùng tên thương hiệu.

Thời gian trước đây, phương thức thủ đoạn lừa đảo phổ biến của các đối tượng vẫn là sử dụng số điện thoại bất kỳ (SIM rác) để phát tán nội dung lừa đảo. Hành vi lừa đảo này đã được cảnh báo, tuyên truyền đến người dân bằng nhiều hình thức khác nhau.

Tuy nhiên thời gian gần đây, các đối tượng lừa đảo đã thay đổi phương thức, thủ đoạn là giả mạo tin nhắn thương hiệu – SMS Brand Name của các ngân hàng. Nguy hiểm hơn là các tin nhắn giả mạo này lại được lưu trữ cùng thư mục với các tin nhắn thương hiệu “thật” của các ngân hàng trên điện thoại di động của người dùng.

Do đó, người dân, khách hàng của các ngân hàng sẽ rất dễ nhầm tưởng đây là thông báo chính thức từ các ngân hàng hay các cơ quan hữu quan. Đây là thủ đoạn rất tinh vi và hoàn toàn mới.

“Bằng nhiều nguồn khác nhau, sau khi có được thông tin khách hàng của các ngân hàng, các đối tượng sẽ gửi các tin nhắn giả mạo SMS Brand Name đến khách hàng đó. Trong nội dung các tin nhắn giả mạo này luôn kèm đường dẫn đến các trang web giả mạo do các đối tượng quản lý (các trang web này có tên gần giống với các trang web chính thức của ngân hàng) nên người dân dễ lầm tưởng, mất cảnh giác”, Bộ Công an nêu rõ.

Theo Bộ Công an, khi người dân truy cập vào đường dẫn trong nội dung tin nhắn, hệ thống sẽ tự động hiển thị một trang web giả mạo, có giao diện, logo tương tự các website chính thức của ngân hàng và được yêu cầu điền các thông tin như: tên đăng nhập, mật khẩu, mã OTP.

Khi có được các thông tin, các đối tượng sẽ kiểm soát được tài khoản chuyển tiền trực tuyến của khách hàng và thực hiện được các hành vi như: chuyển khoản, mở thấu chi, topup thẻ tín dụng, đăng ký vay online…

Bộ Công an khuyến cáo người dân như sau:

– Người dân cần kiểm tra kỹ nội dung tin nhắn nhận được, kể cả các tin nhắn thương hiệu từ ngân hàng để phát hiện các tin nhắn giả mạo ngân hàng, không vội vã trả lời hay thực hiện theo nội dung trong tin nhắn.

Website chính thức của các tổ chức, doanh nghiệp sẽ được đăng ký với các cơ quan có thẩm quyền và được đánh dấu an toàn bằng hình ổ khóa bên cạnh tên miền website (giao thức https).

– Khi nhận các tin nhắn nghi vấn, không rõ ràng, người dân có thể gọi điện trực tiếp lên tổng đài chăm sóc khách hàng của các ngân hàng để kiểm tra lại thông tin hoặc nhờ những người có kinh nghiệm tư vấn; phản ánh các tin nhắn giả mạo tới ngân hàng và các cơ quan chức năng để có biện pháp xử lý kịp thời.

Các cơ quan chức năng tăng cường giám sát, sớm có biện pháp phòng ngừa, đấu tranh ngăn chặn thủ đoạn này của các đối tượng.

Người dân cần thường xuyên thay đổi mật khẩu đăng nhập tài khoản Internet banking, Smartbanking và có biện pháp để quản lý, bảo mật các thông tin này.

Theo Đại Việt/ Dân trí

Nguồn: https://dantri.com.vn/kinh-doanh/mot-chu-tai-khoan-ngan-hang-bi-boc-hoi-54-trieu-dong-20200205221753421.htm

Bài viết Một chủ tài khoản ngân hàng bị “bốc hơi” 54 triệu đồng đã xuất hiện đầu tiên vào ngày Sài Gòn Voice.