Ngân hàng luôn là mục tiêu số một của tội phạm công nghệ. Ngay cả những quốc gia đi đầu về công nghệ cũng không tránh khỏi tội phạm xâm nhập đánh cắp dữ liệu dù "hàng rào" dựng lên rất cao. Khi các ngân hàng thương mại (NHTM) không ngừng đầu tư, nâng cấp công nghệ bảo mật, thì tội phạm tấn công vào những lỗi bất cẩn của khách hàng. Do vậy, các ngân hàng, cơ quan công an liên tục cảnh báo người dân cảnh giác về các chiêu trò lừa đảo của tội phạm.
Ngoài các chiêu như gửi tin nhắn/website giả mạo ngân hàng, mạo danh nhà mạng, nhân viên ngân hàng, công an, thuế…, các đối tượng còn dụ khách hàng quét mã QR để lấy cắp thông tin, chiếm đoạt tiền trong tài khoản.
Lừa đảo quét mã QR để chiếm đoạt tiền trong tài khoản
Để chiếm đoạt tiền trong tài khoản, đối tượng phạm tội thường mạo danh là nhân viên ngân hàng, gọi điện từ số máy bàn có dãy số gần giống với số tổng đài của ngân hàng mời chào khách hàng nâng hạn mức thẻ tín dụng, hoặc rút tiền mặt từ thẻ tín dụng hay một số dịch vụ tài chính khác. Sau đó những người này sẽ gửi và yêu cầu khách hàng quét mã QR. Khách hàng quét mã QR mà kẻ gian gửi tới sẽ chuyển đến đường link website giả mạo. Các đối tượng này yêu cầu khách hàng nhập thông tin như: họ tên, căn cước công dân, chụp ảnh căn cước công dân 2 mặt, số thẻ, mã bí mật CVV, ngày hết hạn thẻ. Khách hàng cũng được yêu cầu chia sẻ mã OTP gửi về số điện thoại, thông tin đăng nhập user và password tài khoản ngân hàng…
Ngay sau khi khách hàng cung cấp thông tin, kẻ gian sẽ chiếm được quyền sử dụng tài khoản Internet banking hoặc thẻ tín dụng, thực hiện giao dịch chiếm đoạt tiền.
Trước đó, cơ quan công an cũng từng cảnh báo người dân về thủ đoạn lừa đảo quét mã QR chiếm đoạt tài khoản mạng xã hội. Theo đó, các đối tượng tội phạm sử dụng các tài khoản Facebook để gửi tin nhắn cho bạn bè trong danh bạ, yêu cầu truy cập Zalo bằng mã QR để bình chọn một cuộc thi online. Tuy nhiên, sau khi quét mã QR, tài khoản người dùng lập tức bị chiếm đoạt quyền và gửi tin nhắn cho người trong danh bạ Zalo để hỏi mượn tiền. Nhiều người đã mất tiền theo cách này.
Ngoài ra, đối tượng tội phạm còn đưa ra các tình huống để hù dọa người dân như chưa đóng tiền điện, điện thoại, nếu không đóng thì mấy ngày nữa sẽ cắt... Chúng dùng rất nhiều chiêu trò để dụ người dân khai báo thông tin như truy cập vào đường link để đánh cắp thông tin.
Theo các chuyên gia về an ninh bảo mật, khi hàng rào bảo mật của các NHTM được nâng cấp chặt chẽ hơn, tội phạm công nghệ sẽ tấn công vào những lỗi bất cẩn của khách hàng. Chẳng hạn, người dân cũng mua bán trực tuyến khá nhiều nên khi thanh toán sẽ phải đăng nhập tài khoản ngân hàng. Nếu không có các kỹ năng bảo mật, đây cũng là một trong những nguyên nhân dẫn đến việc lộ thông tin các tài khoản ngân hàng.
Chủ động triển khai các giải pháp công nghệ
Thời gian qua, NHNN đã có nhiều chỉ đạo tới các đơn vị trong Ngành triển khai đồng bộ nhiều giải pháp để nâng cao nhận thức về an toàn thông tin cho toàn thể cán bộ và khách hàng của ngành Ngân hàng.
Theo đó, NHNN đã phối hợp với Đài Truyền hình Việt Nam (VTV) tổ chức các chương trình truyền thông trong đó lồng ghép các nội dung nâng cao nhận thức về an toàn thông tin cho người dân khi sử dụng các dịch vụ ngân hàng điện tử, như: Tiền khéo tiền khôn, Tay hòm chìa khóa, Đồng tiền thông thái…
Các TCTD cũng thường xuyên thực hiện công tác truyền thông về an toàn thông tin khi sử dụng các dịch vụ ngân hàng điện tử qua website, ứng dụng Internet Banking / Mobile Banking, email, tin nhắn SMS, banner, poster tại các điểm giao dịch. Các nội dung truyền thông bao gồm: các phương thức, thủ đoạn của tội phạm lừa đảo và các biện pháp bảo mật thông tin tài khoản cũng như thực hiện giao dịch ngân hàng điện tử an toàn. Trong đó, đặc biệt có nội dung nhấn mạnh là không được cung cấp cho bất cứ ai (kể cả nhân viên ngân hàng) thông tin xác thực tài khoản (mật khẩu, mã OTP), thông tin số thẻ, ba số bảo mật ở mặt sau của thẻ tín dụng hoặc bất kỳ thông tin cá nhân nào khác qua Zalo, Facebook….
Bên cạnh đó, NHNN đã ban hành các văn bản quy định về an toàn bảo mật khi cung cấp các dịch vụ ngân hàng trực tuyến trên Internet, trong đó yêu cầu các TCTD triển khai các giải pháp kỹ thuật như: (i) Giải pháp xác thực khách hàng giao dịch Internet Banking theo mức độ rủi ro của giao dịch (loại giao dịch, số tiền giao dịch); (ii) Giải pháp xác thực 3D Secure với giao dịch thanh toán thẻ trực tuyến; (iii) Giải pháp giám sát, cảnh báo về các giao dịch đáng ngờ dựa vào các tiêu chí tối thiểu, gồm: thời gian giao dịch, địa điểm giao dịch (vị trí địa lý, địa chỉ IP mạng), tần suất giao dịch, số tiền giao dịch, số lần xác thực sai quy định để có biện pháp ngăn chặn, cảnh báo đến khách hàng.
Từ đầu năm 2022, NHNN và một số ngân hàng thương mại đã phối hợp với Bộ Công an triển khai thử nghiệm phương án xác thực bằng căn cước công dân gắn chíp để phục vụ xác minh, nhận biết chính xác khách hàng (eKYC) trong một số loại giao dịch ngân hàng điện tử.
Đồng thời, các đơn vị trong ngành Ngân hàng đã phối hợp tích cực với các cơ quan chức năng Bộ Công an trong công tác điều tra, truy bắt tội phạm.
Tăng cường trách nhiệm ngân hàng trong bảo vệ thông tin khách hàng
Nghị định 13/2023 của Chính phủ về bảo vệ dữ liệu cá nhân có hiệu lực từ ngày 1/7/2023 quy định rất chặt về bảo vệ dữ liệu cá nhân. Trong đó, các ngân hàng phải chịu trách nhiệm rất cao trong việc bảo vệ thông tin khách hàng.
Theo điều 23 Nghị định 13, trường hợp phát hiện xảy ra vi phạm quy định bảo vệ dữ liệu cá nhân, bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân thông báo cho Bộ Công an (Cục An ninh mạng và phòng chống tội phạm sử dụng công nghệ cao) chậm nhất 72 giờ sau khi xảy ra hành vi vi phạm.
Trường hợp thông báo sau 72 giờ, phải kèm theo lý do thông báo chậm, muộn. Bên xử lý dữ liệu cá nhân phải thông báo cho bên kiểm soát dữ liệu cá nhân một cách nhanh nhất có thể sau khi nhận thấy có sự vi phạm quy định về bảo vệ dữ liệu cá nhân.
Ngoài ra, theo quy định mới về phòng chống rửa tiền, các ngân hàng phải liên tục quét các giao dịch đáng ngờ, nếu phát hiện phải dừng ngay giao dịch.
Trong bối cảnh các ngân hàng đều theo xu hướng ngân hàng mở (open banking), kết nối với nhiều đối tác cũng như tạo trải nghiệm thoải mái nhất cho người dùng, việc thực hiện các yêu cầu tại Nghị định 13 về bảo vệ dữ liệu cá nhân của khách hàng sẽ là một thách thức không nhỏ, khi mà bọn tội phạm công nghệ luôn xem ngân hàng là miếng mồi ngon.
Không chỉ Nghị định 13 mà tới đây, các ngân hàng còn phải tuân thủ nhiều quy định mới liên quan đến phân loại, đánh giá, sắp xếp hệ thống để đảm bảo khóa an toàn và tránh thất thoát dữ liệu. Những quy định này sẽ giúp việc quản lý của ngân hàng hiệu quả hơn.
Trên thực tế, các giao dịch bằng giấy tại ngân hàng đã giảm, chuyển sang chủ yếu xử lý trên hệ thống giao dịch điện tử và cần hệ thống để quản lý. Trong khi đó, tội phạm ngày càng biến hóa. Ngay cả những quốc gia đi đầu về công nghệ cũng không tránh khỏi tội phạm xâm nhập đánh cắp dữ liệu dù "hàng rào" dựng lên rất cao.
Thời gian tới, theo các chuyên gia, các NHTM cần tiếp tục tăng cường hệ thống phòng thủ nhằm chống gian lận. Một số NHTM đẩy mạnh làm việc với đối tác nhằm tăng cường bảo vệ dữ liệu cá nhân của khách hàng, phát hiện giao dịch đáng ngờ, cảnh báo khách hàng... Những vấn đề này không thể xử lý thủ công mà bắt buộc phải có những phương thức ngăn chặn và cảnh báo tự động. Với hệ thống mới, ngân hàng có thể rà quét tự động để đánh giá và phát hiện các giao dịch đáng ngờ. Hệ thống này cập nhật liên tục các phương thức giao dịch giả mạo, giả mạo định danh... của tội phạm công nghệ không chỉ trong nước mà cả tội phạm nước ngoài.
Với khách hàng, các ngân hàng cần truyền thông mạnh kết hợp với đào tạo, hướng dẫn để khách hàng nhận biết các website giả mạo ngân hàng được lập ra để lôi kéo và lấy thông tin khách hàng. Ngoài ra, trong các giao dịch có giá trị cao, phương thức xác thực cần phức tạp hơn để phòng chống gian lận. Chẳng hạn, nếu chuyển khoản món tiền từ 5 triệu đồng trở lên, người thực hiện phải xác thực bằng khuôn mặt mới thực hiện được giao dịch. Do vậy, kẻ gian dù có đánh cắp thông tin khách hàng cũng rất khó lấy được tiền.
Hoặc các ngân hàng đang đặt ngưỡng giao dịch buộc phải xác minh chính chủ để vô hiệu hóa nạn cho thuê, cho mượn tài khoản nhận tiền lừa đảo.
Theo thống kê 4 tháng qua, 90% giao dịch liên ngân hàng có giá trị dưới 2 triệu đồng, chỉ có 10% là giao dịch trên 2 triệu đồng. Như vậy, các ngân hàng hoàn toàn có thể đặt ngưỡng 5 triệu đồng, 10 triệu đồng trở lên phải xác minh chính chủ. Quá trình này chỉ mất 5-10 giây, hoàn toàn không ảnh hưởng đến trải nghiệm của khách hàng nhưng đảm bảo chính chủ. Nếu xác minh không đúng chính chủ, ngân hàng có quyền tạm dừng giao dịch và yêu cầu xác thực tại quầy.
Về phía khách hàng cần hết sức cảnh giác với các yêu cầu quét mã QR hoặc truy cập đường link lạ. Tuyệt đối không cung cấp thông tin số thẻ, ba số bảo mật ở mặt sau của thẻ tín dụng, hoặc bất kỳ thông tin bảo mật cá nhân nào khác qua Zalo hoặc số điện thoại không định danh. Không cung cấp mã xác thực OTP/ Smart OTP cho bất kỳ ai, kể cả nhân viên ngân hàng. Khi có bất kỳ nghi vấn lừa đảo, khách hàng liên hệ ngay và thông báo cho ngân hàng theo số đường dây nóng, hoặc đến điểm giao dịch gần nhất để được tiếp nhận và hướng dẫn giải quyết.
Hà Linh