Chuyên gia bảo mật Hiếu PC nói về việc nhiều app ngân hàng dễ bị hacker bẻ khóa

"Chi phí bỏ thêm để bảo mật cho người dùng là khá lớn, và nhiều doanh nghiệp cũng ngại chi khoản đó. Nếu tư duy của người lãnh đạo không hướng tới người dùng thì rất khó để app đó có khả năng bảo mật cao" - chuyên gia Hiếu PC nói.

Có một điểm ít người chú ý là hacker thu thập thông tin của người dùng qua điện thoại thông minh bằng cách dẫn dụ người dùng cài app có gắn mã độc, hoặc bấm vào các đường link dẫn đến các website giả mạo. Từ những thông tin nhạy cảm đánh cắp được, hacker đã thực hiện thành công nhiều vụ lừa đảo trực tuyến. Có những nạn nhân mất tới hàng chục tỉ đồng, cá biệt có trường hợp ở Đồng Nai mất hơn 100 tỉ đồng.

Nhiều người dùng vẫn chưa có ý thức cài đặt phần mềm chống virus cho điện thoại, hoặc chưa biết cách sử dụng điện thoại sao cho an toàn nhất. Về khía cạnh này, VietTimes đã có cuộc trao đổi với chuyên gia bảo mật Ngô Minh Hiếu - Giám đốc Công ty TNHH doanh nghiệp xã hội Chống lừa đảo.

Ngân hàng không hướng tới người dùng, app khó có khả năng bảo mật cao

- Người dùng hiện nay dường như chưa để ý đến việc cài đặt ứng dụng chống malware, virus cho điện thoại của mình, trong khi nhiều vụ đánh cắp dữ liệu đã xảy ra trên điện thoại thông minh. Theo ông, vì sao người dùng lại có sự thờ ơ như vậy?

Ông Ngô Minh Hiếu: Điện thoại thông minh nếu biết cách sử dụng thì nó sẽ an toàn, đặc biệt là nếu người dùng có đủ nhận thức. Những ứng dụng bảo mật hay diệt virus thì đôi khi lại bị tính phí và cũng khá đắt, có thể lên tới vài trăm nghìn một tháng. Cho nên đôi khi người dùng không muốn bỏ tiền ra mua.

Trên máy tính để bàn thì các hệ điều hành mới nhất hiện nay đều đã tích hợp sẵn các chương trình chống virus rất mạnh. Cho nên đôi khi máy tính đã được bảo vệ và hoàn toàn miễn phí.

Còn trên điện thoại di động chỉ được tích hợp khả năng bảo vệ một phần nào đó, nên người dùng cần phải cài thêm ứng dụng chống virus để bảo vệ cho thiết bị của mình. Nếu một ngày nào đó mà chúng ta bất cẩn bấm vào một đường link và tải về một cái app độc hại thì chương trình chống virus trên điện thoại sẽ cảnh báo, ngăn chặn và hạn chế kẻ xấu xâm nhập thiết bị.

- Một số người dùng nghĩ rằng cài ứng dụng chống malware trên điện thoại có thể sẽ xung đột với một số app khác. Điều này có đúng không, thưa ông?

Ông Ngô Minh Hiếu: Có thể có sự xung đột ở những app chống virus của các hãng không mấy uy tín, hoặc các hãng không phổ biến – mà trên AppStore hoặc là CH Play thì có rất nhiều. Người dùng cần phải lựa chọn các app có uy tín, ví dụ như Kaspersky, Avira, Avast, AVG…

Nếu người dùng cài những ứng dụng không mấy uy tín hoặc phần mềm của một bên thứ ba nào đó mà công ty đó không nổi tiếng trong lĩnh vực phần mềm diệt virus, thì có thể gây nóng máy, hao pin nhanh và đôi khi nó cũng sẽ xung đột với các ứng dụng khác. Cho nên chúng ta hết sức lưu ý rằng chỉ cài những ứng dụng uy tín, đã tồn tại lâu năm cũng như có nhiều lượt đánh giá, phản hồi, và phải thường xuyên cập nhật để phù hợp với thiết bị di động vào từng thời điểm.

Chuyên gia bảo mật Ngô Minh Hiếu (Hiếu PC).

- Mới đây, một chuyên gia của Trung tâm Giám sát không gian mạng quốc gia cho biết trong số 29 app ngân hàng được khảo sát, có 21% app không có bảo vệ, 21% app dễ dàng bị hacker vượt qua. Chỉ có 17% số app được khảo sát là có bảo mật chặt chẽ. Theo ông nguyên nhân vì sao lại có tình trạng này? Phải chăng do chúng ta chưa có một cơ quan nào đứng ra để đánh giá chất lượng của các app, nên đơn vị phát triển không chú trọng đến vấn đề bảo mật?

Ông Ngô Minh Hiếu: Điều này có liên quan đến yếu tố con người và yếu tố về kỹ thuật, đặc biệt là tư duy của người lãnh đạo doanh nghiệp. Họ có sẵn sàng chi tiền để thuê một đội ngũ chuyên nghiệp về an ninh mạng để bảo mật hệ thống hoặc bảo mật app ngân hàng, và họ có tư duy theo hướng bảo mật cho người dùng hay không.

Chi phí bỏ thêm để bảo mật cho người dùng là khá lớn, và nhiều doanh nghiệp cũng ngại chi khoản đó. Nếu tư duy của người lãnh đạo không hướng tới người dùng thì rất khó để app đó có khả năng bảo mật cao.

Chúng ta nên đưa ra các cảnh báo hoặc con số thống kê mà bên Trung tâm Giám sát không gian mạng quốc gia đã chia sẻ, để hy vọng rằng các app ngân hàng sẽ được củng cố, bảo mật hơn, được áp dụng các phương thức công nghệ mới để hạn chế tình trạng giả mạo hoặc bị hacker vượt mặt để xác thực KYC, hạn chế các lỗ hổng khiến kẻ xấu có thể đăng ký tài khoản ngân hàng giả mạo.

Theo tôi được biết, một số ngân hàng trong top 4 tại Việt Nam đã áp dụng các phương thức bảo mật rất tốt để bảo vệ cho người dùng. Đó là những tấm gương mà các ngân hàng khác có thể làm theo.

- Như vậy là một số ngân hàng đã làm chú trọng công tác bảo mật. Theo ông, chúng ta có cần một cơ quan, bộ, ngành nào đó đứng đầu để kiểm tra chất lượng app ngân hàng, giống như là Tổng cục đo lường chất lượng?

Ông Ngô Minh Hiếu: Việc quản lý chất lượng các app nên thuộc về các cơ quan hữu trách khi ban hành các nghị định hoặc chính sách, ví dụ như Ngân hàng Nhà nước hay Bộ Công an, để có thể triển khai và áp dụng.

Được biết, trong tháng 7 tới, ngành ngân hàng sẽ siết chặt việc chuyển tiền nhằm ngăn chặn hành vi giả mạo và lừa đảo. Chuyển khoản trên 10 triệu đồng thì phải có xác thực sinh trắc học.

Hy vọng rằng chính sách nói trên sẽ làm giảm đi một phần nào đó nạn lừa đảo, đặc biệt là vấn nạn giả mạo, sử dụng danh tính của người khác để tạo tài khoản ngân hàng. Một số người bị tạo tài khoản ngân hàng có thể do bị mua chuộc, bị thao túng tâm lý, chứ bản thân họ không mong muốn.

- Đối với các trường hợp xác định việc rò rỉ thông tin cá nhân do app của ngân hàng thì đơn vị phát triển app và cơ quan sử dụng ứng dụng đó có phải đền bù thiệt hại cho người sử dụng không?

Ông Ngô Minh Hiếu: Theo Nghị định 13 của Chính phủ về bảo vệ dữ liệu cá nhân, nếu doanh nghiệp bị lộ lọt thông tin dữ liệu mà ảnh hưởng tới người dùng cũng như gây thất thoát, gây thiệt hại thì doanh nghiệp sẽ bị phạt hành chính hoặc đối mặt với các vấn đề liên quan tới pháp lý.

Hiện tại thì Nghị định đã có hiệu lực nên các ngân hàng cũng đang gấp rút để bắt kịp cũng như nâng cấp khả năng bảo mật cho hệ thống.

Chúng ta cũng thấy trong khi một số app đang làm rất tốt, thì một số app lại chưa được tốt. Hy vọng Nghị định 13 cùng với các nghị định khác về bảo mật dữ liệu, thông tin cá nhân, sẽ giúp giảm thiểu các app làm chưa tốt về vấn đề bảo mật, tránh thất thoát dữ liệu cũng như tránh bị mất uy tín, đáp ứng được nhu cầu của thị trường hiện nay cũng như bảo vệ người dùng tốt hơn.

3 bước để hạn chế mối nguy từ virus

- Ông có lời khuyên nào cho người sử dụng smartphone để có thể bảo vệ thiết bị và thông tin cá nhân trước những mối nguy cơ tấn công từ virus và hacker?

Ông Ngô Minh Hiếu: Để giảm thiểu tỷ lệ bị tấn công hoặc bị mất tiền, mất thông tin tài khoản, người dùng chỉ cần thực hiện 3 bước. Ba bước này cũng đã được đề cập trên trang web dauhieuluadao.com của Bộ Thông tin và Truyền thông.

Thứ nhất là chúng ta cần phải chậm lại. Sống trong thời đại 4.0 nhưng chúng ta đang chạy quá nhanh, chúng ta cứ bấm OK, OK, OK hoặc là Tiếp tục khi truy cập vào các đường link, cứ chấp nhận các tất cả các quyền truy cập vào hệ thống mà không suy nghĩ, không đọc thỏa thuận người dùng, điều này rất nguy hiểm.

Chuyên gia bảo mật Hiếu PC khuyên người dùng điện thoại thận trọng khi truy cập vào các đường link.

Bây giờ chúng ta chỉ cần chậm lại trước khi click vào đường link hoặc một tập tin để thực hiện kiểm chứng. Đây chính là bước thứ hai.

Bước thứ ba là sau khi kiểm chứng xong thì chúng ta sẽ xác định đường link hay tập tin đó có phải lừa đảo hay không và chúng ta sẽ dừng lại, không tải bất kỳ tập tin nào hoặc không cung cấp thông tin như mã OTP, mật khẩu v.v…

Đôi khi người dùng cài các tập tin có đuôi .apk hay .ipa từ bên thứ ba thay vì cài đặt từ kho ứng dụng AppStore hoặc CH Play. Liệu những tập tin như vậy có đáng tin cậy không, thưa ông?

Ông Ngô Minh Hiếu: Thật ra thì cũng có một số trường hợp là đáng tin nếu tập tin được gửi từ một người nào đó mà chúng ta quen biết. Tuy nhiên, 99% các trường hợp còn lại thì không đáng tin, đặc biệt là khi tải về từ một người, một nguồn lạ.

Ví dụ một ngày chúng ta nhận được một cuộc gọi tự xưng là công an, yêu cầu chúng ta tải về một tập tin hoặc một app từ một trang web có giao diện giống hệt AppStore hoặc CH Play. Trên thực tế đa phần người dùng bị dẫn dụ như vậy.

Trong trường hợp này, chúng ta phải đặt câu hỏi tại sao người đó lại gọi cho chúng ta, chúng ta có biết họ là ai hay không, chúng ta có mong đợi cuộc gọi đó hoặc tin nhắn đó không.

Tôi cũng thỉnh thoảng tải các tập tin .apk từ các đơn vị uy tín để mình trải nghiệm trước các bản beta của họ, để biết những tính năng mới họ sắp đưa ra thị trường như thế nào. Chỉ tải tập tin khi chúng ta biết rõ công ty đó hoặc người nào đó, còn nếu tập tin đến từ một người lạ thì chúng ta không nên tải về.

- Cám ơn ông về cuộc trao đổi này!

Theo thống kê được Cục An toàn Thông tin (Bộ Thông tin và Truyền thông) đưa ra tại Hội nghị và Triển lãm An toàn không gian mạng Việt Nam 2024 (Vietnam Security Summit 2024), ước tính thiệt hại từ lừa đảo trực tuyến gây ra trên thế giới năm 2023 là 1.026 nghìn tỉ USD, còn tại Việt Nam là 8.000-10.000 tỉ đồng, hơn 17.400 phản ánh về lừa đảo trực tuyến được ghi nhận.