Gửi tiền online: Rủi ro đã bắt đầu
Gửi tiết kiệm trực tuyến (online) đang được các nhà băng đẩy mạnh thông qua việc áp dụng lãi suất cao hơn so với gửi tại quầy. Song từ sự vụ một khách hàng thông báo mất 2,1 tỷ đồng từ tiền gửi tiết kiệm online đang được cơ quan chức năng điều tra nguyên nhân từ phía nào, cho thấy rủi ro đã xuất hiện từ những lỗi bảo mật thông tin.
Gửi tiền online: Rủi ro đã bắt đầu
Tài khoản tiết kiệm online có bảo mật thông tin?
11 sổ tiết kiệm online với tổng số tiền hơn 2,1 tỷ đồng của một khách hàng gửi tại một NH đã bốc hơi khỏi tài khoản là câu chuyện đang được quan tâm những ngày gần đây. NH đã chuyển vụ việc cho cơ quan điều tra và báo cáo các cơ quan chức năng có liên quan và chưa có kết quả.
Song theo thông tin ban đầu từ NH, kẻ gian gọi điện cho khách hàng tự xưng là nhân viên nhà mạng đề nghị hỗ trợ nâng cấp sim cho khách hàng. Sau đó khách hàng (thật giả chưa xác định) kích hoạt Esim trên điện thoại, tổng đài tự động của NH nhận được cuộc gọi từ số sim này yêu cầu cấp lại tên đăng nhập Internet Banking và cấp lại mật khẩu đăng nhập mới. Ngay khi hoàn thành bước đổi mật khẩu, các sổ tiết kiệm online của khách hàng này đã bị tất toán và chuyển tiền sang các tài khoản ở những NH khác.
Hiện nay NH số đang trở thành xu thế. Đi kèm theo đó là một loạt sản phẩm đã được số hóa tạo tiện ích cho người dùng. Trong đó gửi tiết kiệm online là một trong những dịch vụ được quan tâm nhất. Các nhà băng cũng đẩy mạnh huy động trên kênh này, khi lãi suất tiết kiệm online luôn cao hơn gửi tại quầy 0,2-0,5%, thậm chí có nơi cao hơn đến 1%.
Cách mở sổ tiết kiệm online rất đơn giản, thông qua Internet Banking, Mobile Banking hoặc các ứng dụng NH số, chọn dịch vụ gửi tiết kiệm online, kỳ hạn gửi, phương thức thức đáo hạn và số tiền gửi, tiền sẽ lập tức chuyển từ tài khoản thanh toán sang tài khoản tiết kiệm. Người gửi tiền có thể rút vốn một phần hoặc tất toán bất kỳ lúc nào, tiền sẽ hoàn lại vào tài khoản ngay tức thì.
Các nhà băng cũng khẳng định dịch vụ này an toàn vì các tính năng bảo mật tuyệt đối. Chẳng hạn khi đăng nhập ứng dụng cần phải có tài khoản, mật khẩu, dấu vân tay hay Face ID. Giao dịch rút tiền còn được bảo mật bởi mã OTP gửi về điện thoại đăng ký mặc định cho thẻ NH.
Tuy nhiên lâu nay, các chuyên gia tài chính lẫn công nghệ đều cảnh báo, các nhà băng mặc dù đầu tư rất mạnh vào công nghệ thông tin, có hệ thống bảo mật tốt, song các đối tượng lừa đảo luôn tìm ra “lỗ hổng” và lợi dụng để chiếm đoạt tiền của khách hàng. Trong khi đó, sơ hở làm lộ thông tin của người dân cũng đang là rất phổ biến. Cộng hưởng hai yếu tố đó, kẻ gian dễ dàng thực hiện hành vi chiếm đoạt tài sản.
Đầu tháng 4-2022, Cục Cạnh tranh và Bảo vệ người tiêu dùng (Bộ Công Thương) cho biết đã tiếp nhận hàng chục cuộc gọi, đơn thư phản ánh tình trạng mạo danh nhân viên nhà mạng gọi điện, nhắn tin hướng dẫn cú pháp nâng cấp sim 3G thành sim 4G để chiếm đoạt quyền kiểm soát sim điện thoại, đánh cắp thông tin thẻ tín dụng.
Như vậy, sự việc nói trên không phải là hiện tượng lừa đảo đơn lẻ. Dĩ nhiên rủi ro xảy ra cần điều tra để xác định nguyên nhân từ phía nào, song trước tiên khách hàng vẫn chịu thiệt. NH nói chưa có cơ sở để thực hiện bồi hoàn khoản tiền đã mất và sẽ tiếp tục đợi kết luận của cơ quan chức năng.
Lấp kẽ hở mới đẩy mạnh chuyển đổi số
Hiện nay, mỗi tài khoản đều gắn với một sim điện thoại và một địa chỉ email để nhận các thông tin về biến động số dư, khuyến mãi, thay đổi thông tin và dịch vụ liên quan đến tài khoản… Thông thường khi xảy ra rủi ro, nhà mạng và NH đều đổ lỗi khách hàng để lộ thông tin tài khoản hoặc thực hiện theo hướng dẫn của kẻ gian dẫn đến bị chiếm đoạt sim, tấn công tài khoản.
Nhưng ở đây cũng phân tích rõ, để chiếm đoạt tài khoản, bước đầu tiên là chiếm đoạt sim của khách hàng. Trong khi đó, việc định danh số điện thoại đã được các nhà mạng triển khai vài năm trước. Nhưng nhiều trường hợp, sim đã đăng ký chính chủ bị vẫn người khác chiếm quyền kiểm soát bằng cách mạo danh thực hiện thủ tục mất sim và làm lại sim mới. Hay lừa đảo nâng cấp sim đang rộ lên gần đây, chỉ cần làm theo hướng dẫn, ngay lập tức sim bị mất tín hiệu và vô hiệu hóa và thực hiện các giao dịch bất hợp pháp. Như vậy phải chăng, việc bảo vệ người dùng của các nhà mạng còn quá nhiều sơ hở, để kẻ gian quá dễ dàng chiếm đoạt sim?
Ở một khía cạnh khác, nếu chỉ có sim điện thoại, đối tượng lừa đảo không thể đăng nhập ngay được vào tài khoản NH. Một khách hàng quên mật khẩu Internet Banking có nhiều cách để lấy lại như đến trực tiếp NH, thao tác trên website NH hoặc gọi đến tổng đài NH bằng chính số điện thoại đăng ký tài khoản NH, cung cấp đầy đủ thông tin cá nhân để được hỗ trợ đổi mật khẩu.
Các bước thay đổi thông tin dĩ nhiên được NH tính đến sự an toàn cho khách hàng, vì chính bản thân khách hàng mới nắm rõ thông tin cá nhân khách hàng. Song hiện nay, việc giữ bí mật thông tin cá nhân là rất khó, khi các giao dịch thương mại điện tử phủ rộng và hoạt động mua bán thông tin khách hàng vẫn đang tồn tại ở nhiều nơi.
Thế nên từ khi phát triển các dịch vụ trên không gian số, các NHTM thường xuyên khuyến cáo khách hàng không cung cấp thông tin bảo mật như mã PIN thẻ, mật khẩu truy cập, mật khẩu giao dịch một lần OTP, mật khẩu truy cập địa chỉ email cá nhân cho bất cứ ai và dưới bất cứ hình thức nào. Song không phải ai cũng tiếp cận được cảnh báo này. Việc mất tiền gửi tiết kiệm online nói trên trở thành một trường hợp để các NH nhìn lại vấn đề xác thực một cá nhân trong các trường hợp thay đổi thông tin liên quan đến tài khoản.
Theo một số báo cáo, trong số 5 phương thức phổ biến bao gồm xác thực mật khẩu, xác thực nhiều yếu tố, xác thực dựa trên hồ sơ đã đăng ký, xác thực sinh trắc học (không mật khẩu) như khuôn mặt, vân tay, giọng nói, mống mắt bằng chuỗi mã hóa… vẫn chiếm một tỷ lệ lớn tại Việt Nam.
Thế nhưng, theo ông Andrew Shikiar, Giám đốc điều hành và tiếp thị của Liên minh xác thực trực tuyến thế giới (FIDO Alliance), trong xu hướng bảo mật năm 2022-2023, các hình thức tấn công lừa đảo vẫn sẽ tiếp tục diễn ra mạnh mẽ khi mà phương thức xác thực thông qua mật khẩu vẫn phổ biến.
Như vậy để lấp lại các kẽ hở khi nền kinh tế đẩy mạnh chuyển đổi số là vấn đề đặt ra lúc này. Qua ghi nhận, hiện các NH cũng áp dụng song song các phương pháp xác thực mật khẩu và không mật khẩu nhưng buộc phải tạo mật khẩu ở bước bắt đầu để kích hoạt tài khoản. Phương pháp xác thực không mật khẩu chỉ là yếu tố phụ, cụ thể là khi có mật khẩu mới bật chế độ xác thực bằng vân tay, khuôn mặt…
Vậy nên vấn đề đặt ra là phải chăng đã đến lúc các NH cần liên kết với các đơn vị cung cấp dịch vụ uy tín để chuyển đổi lên xác thực không mật khẩu để áp dụng cho các giao dịch. Khi đó, khách hàng sẽ tránh được câu chuyện quên mật khẩu hoặc bị chiếm đoạt sim điện thoại và dễ dàng thay đổi mật khẩu đăng nhập tài khoản rút tiền như trường hợp kể trên.
Bảo Trân