Lỗ hổng nghiêm trọng sao lại xuất hiện dễ dàng?
Tình trạng SMS mạo danh ngân hàng để lừa đảo đã hoành hành trong suốt hơn một năm qua ở TPHCM trong sự bất lực của các ngân hàng vì họ chỉ là bên sử dụng dịch vụ. Trong khi đó, bên cung cấp dịch vụ gửi SMS cho các ngân hàng – những công ty viễn thông di động (telco) – đã không có câu trả lời rõ ràng về việc tại sao SMS giả lại “chui lọt” vào chuỗi tin nhắn thương hiệu thật (SMS brandname) của các ngân hàng gửi đi từ hệ thống các telco.
Lỗ hổng nghiêm trọng sao lại xuất hiện dễ dàng?
Mãi đến cuối tuần qua, theo thông tin từ Bộ Thông tin và Truyền thông, các cơ quan chức năng đã phát hiện và thu giữ hai trạm phát sóng di động ( BTS ), được xem là có liên quan đến các vụ tin nhắn SMS giả mạo lừa đảo tại TPHCM suốt hơn một năm qua.
Nhóm tội phạm công nghệ này lừa đảo bằng cách gửi SMS giả mạo nhiều kiểu khác nhau như giả mạo ngân hàng, giả mạo các cơ quan nhà nước lừa người dân đăng ký nhận trợ cấp trong thời gian dịch Covid-19, giả mạo các doanh nghiệp khuyến mãi trúng thưởng lớn… Theo thông tin công bố của cơ quan chức năng thì mọi việc có vẻ rất đơn giản: Các nhóm tội phạm mua thiết bị để lập nên các trạm BTS trái phép và gửi SMS lừa đảo cho các điện thoại di động chung quanh.
Tại sao có thể đơn giản như vậy? khi mà trạm BTS của các công ty viễn thông được quản lý với những tiêu chuẩn hết sức nghiêm ngặt?
Nếu không có ký kết về chuyển vùng để dùng sóng di động lẫn nhau (roaming) thì BTS của nhà mạng A còn không thể cho điện thoại dùng thẻ SIM của nhà mạng B kết nối vào. Như vậy, lỗ hổng nào đã để cho một trạm BTS vô danh do vài cá nhân nhập lậu thiết bị về lập ra lại có thể kết nối dễ dàng với điện thoại di động dùng thẻ SIM của nhiều nhà mạng khác nhau để gửi SMS giả mạo y như thật?
Tương tự, trong vụ lừa đảo chiếm đoạt 100 container hạt điều xuất khẩu sang Ý hồi đầu tháng này, mấu chốt vấn đề nằm ở bộ chứng từ gốc gửi đến ngân hàng nhờ thu bên người mua theo phương thức “thanh toán để lấy bộ chứng từ gốc” (hay còn gọi là D/P – Documents Against Payment). Bộ chứng từ gốc này gồm vận đơn gốc (Master bill) được phát hành bởi hãng tàu cùng với các tài liệu khác và được gửi đến ngân hàng nhờ thu bên người mua đã bị chiếm đoạt.
Theo phương thức D/P, khi nào người mua thanh toán thì ngân hàng nhờ thu mới giao bộ chứng từ gốc để nhận hàng. Do vậy, trong trường hợp việc chuyển phát bộ chứng từ gốc từ ngân hàng Việt Nam tới ngân hàng nhờ thu ở nước ngoài bị đánh tráo hoặc đánh cắp thì rủi ro mất hàng sẽ xảy ra.
Theo Thương vụ Việt Nam tại Ý, tại buổi làm việc với Banca di Credito Popolare tại Napoli (ngân hàng nhờ thu bên người mua), ngân hàng này cho biết họ nhận được lần lượt chín phong bì, trong đó có 7 phong bì gửi trực tiếp từ các ngân hàng Việt Nam qua dịch vụ chuyển phát nhanh DHL và hai phong bì từ một ngân hàng khác tại Ý, mà bên trong chỉ có các bản photocopy chứng từ hoặc chỉ có giấy trắng. Thấy dấu hiệu bất thường, Banca di Credito Popolare đã quay phim lại quá trình mở các phong bì, cùng các tài liệu bên trong.
Như vậy, lỗ hổng trong thương vụ này nằm ở chỗ, ai đó đã giữ lại bộ chứng từ gốc và gửi trực tiếp cho người mua thay vì cho bên ngân hàng nhờ thu như quy định. Tạm gác các bộ chứng từ chuyển trực tiếp từ một ngân hàng tại Ý thì có đến 7 bộ chứng từ gốc gửi từ các ngân hàng Việt Nam chỉ là bản photocopy. Vậy những bộ chứng từ photo này xuất phát từ đâu trong quá trình gửi: từ các doanh nghiệp xuất hạt điều hay từ ngân hàng? Bài học cần rút ra sau vụ này là doanh nghiệp cần làm gì để bảo đảm bộ chứng từ gốc gửi đi an toàn, đến đúng người nhận.
Hai câu chuyện này làm người viết nhớ đến câu nói của thần Kim Quy với vua An Dương Vương: “Giặc ở sau lưng nhà vua đó!”. Trong khi tìm kiếm nguyên nhân và cách khắc phục các lỗ hổng này, doanh nghiệp đừng quên rà soát lại chính bộ máy nhân sự của mình.
Song Nghi
TBKTSG
