Giao dịch ngân hàng điện tử: Thế nào là an toàn?

Vụ một chủ thẻ Vietcombank bị mất 500 triệu đồng đang dấy lên lo ngại về tính an toàn của các dịch vụ ngân hàng trực tuyến, đặc biệt ở khâu xác thực giao dịch qua mã OTP.
Thành viên diễn đàn ôtoFun tự hướng dẫn nhau cách thức nhận diện chứng thực số đối với một địa chỉ web
Thành viên diễn đàn ôtoFun tự hướng dẫn nhau cách thức nhận diện chứng thực số đối với một địa chỉ web

Vài hôm nay, các ngân hàng trong nước liên tiếp gửi thông tin cảnh báo đến khách hàng về vấn đề bảo mật thông tin. Trong khi đó, người dùng thì lo sợ (hay tò mò?) truyền tin cho nhau về vụ việc một khách hàng của Vietcombank bị mất 500 triệu đồng trong tài khoản vào đêm ngày 4/8 và trưa ngày 5/8.

Ngay lập tức, đại diện Vietcombank đã thông tin về vụ việc trên trang web chính thức như sau: "Trên cơ sở thông tin do khách hàng cung cấp, có cơ sở để xác định khách hàng đã truy cập vào một trang web giả mạo (có địa chỉ http://creatingacreator.com/kob/1/index.htm) vào ngày 28/7/2016 qua điện thoại cá nhân".

Theo nhận định ban đầu của Vietcombank, từ việc truy cập này, thông tin và mật khẩu của khách hàng đã bị đánh cắp, sau đó tài khoản khách hàng đã bị kẻ gian lợi dụng để thực hiện các lệnh chuyển tiền.

Ảnh minh họa.
Ảnh minh họa.

Nguyên nhân chính xác của vụ việc này là gì? Khách hàng không may mắn kia, hay Vietcombank phải chịu trách nhiệm về vụ việc?. 

Loạt câu hỏi nói trên sẽ được cơ quan có thẩm quyền giải đáp, còn trong phạm vi bài viết bên dưới, PC World Vietnam sẽ gửi đến độc giả một góc nhìn khác về vụ việc của một chuyên gia bảo mật xoay quanh mức độ an toàn của các giao dịch ngân hàng điện tử và cách tiếp cận của chúng ta với vấn đề này.

Trước hết, phải nói rằng Vietcombank đã thường xuyên cảnh báo cho khách hàng về các nguy cơ giả mạo, lừa đảo. Tìm kiếm bằng Google cho thấy khá nhiều thông điệp cảnh báo của Vietcombank xuất hiện trên website của ngân hàng này.

Chẳng hạn như thông báo này (http://www.vietcombank.com.vn/news/Vcb_News.aspx?ID=4961) nhắc nhở khách hàng “Để sử dụng dịch vụ VCB-Ib@nking, khách hàng chỉ nên truy cập vào website chính thức của Vietcombank tại địa chỉ www.vietcombank.com.vn và chọn mục Internet Banking” và “Tuyệt đối không click vào các đường link lạ, đặc biệt là các đường link trong các email nghi ngờ là giả mạo cũng như tuyệt đối không khai báo thông tin cá nhân cho địa chỉ đã gửi email đến”.

Hầu hết các ngân hàng khác cũng chỉ cảnh báo ở mức đó. Nhưng dù không “click vào các đường link lạ” và chỉ truy cập dịch vụ VCB-Ib@nking qua địa chỉ chính thức www.vietcombank.com.vn thì khách hàng vẫn có thể bị sa vào bẫy của tin tặc nếu họ gõ sai chính tả và bị chuyển hướng đến một website có địa chỉ gần như giống hệt địa chỉ chính thức của Vietcombank.

Tin tặc hoàn toàn có thể tạo ra địa chỉ sử dụng ký tự có dấu (Unicode) nhưng vẫn hiển thị trên thanh địa chỉ của trình duyệt là Vietcombank. Bạn có biết về chữ I không có dấu chấm trên đầu của Thổ Nhĩ Kỳ?

Do đó, nếu khách hàng gõ nhầm địa chỉ website của Vietcombank thành Vitcombank.com.vn (thiếu chữ e) và được định hướng lại tới trang VIetcombank.com.vn (với chữ I không có dấu chấm trên đầu của từ Thổ Nhĩ Kỳ) thì họ sẽ rất khó nhận ra sự khác biệt.

Nói một cách khác, làm thế nào để người dùng phân biệt trang web giả và trang web “xịn”?. Hình như địa chỉ vcb.com.vn cũng là địa chỉ thật của Vietcombank vì có cùng cùng địa chỉ IP tĩnh là 103.11.172.38 với địa chỉ www.vietcombank.com.vn, nhưng khi truy cập vào đó thì bạn (và tôi) rõ ràng nhận được cảnh báo của trình duyệt về lỗi chứng thực.

Thông báo lỗi liên quan đến chứng thực đối với địa chỉ www.vcb.com.vn.
Thông báo lỗi liên quan đến chứng thực đối với địa chỉ www.vcb.com.vn.

Thêm nữa, mặc dù Vietcombank đã bỏ công mua chứng thực EV (chứng thực xác thực mở rộng) với giá đắt hơn nhiều so với chứng thực thường nhưng dường như chưa có thông báo nào mách người dùng về cách nhận diện website thông qua nó. Và người dùng phải tự tìm hiểu để chỉ bảo nhau như hình bên dưới.

Thành viên diễn đàn ôtoFun tự hướng dẫn nhau cách thức nhận diện chứng thực số đối với một địa chỉ web.
Thành viên diễn đàn ôtoFun tự hướng dẫn nhau cách thức nhận diện chứng thực số đối với một địa chỉ web.

Điều đó có nghĩa là các ngân hàng chỉ cần hướng dẫn thật chi tiết là khách hàng có thể tránh được các trò lừa đảo? Và anh/chị nào vẫn bị lừa thì ráng chịu?.

Ảnh minh họa.
Ảnh minh họa.

Không hẳn, bài viết này trên trang ICT News cách đây không lâu từng cho biết “một loạt website thuộc chính phủ bị xâm nhập và chèn link ẩn như: haiduong.gov.vn; congbaothainguyen.gov.vn; congbao.quangbinh.gov.vn; congbao.danang.gov.vn; congbao.nghean.gov.vn; congbao.bentre.gov.vn; congbao.baria-vungtau.gov.vn; congbao.thuathienhue.gov.vn; congbao.quangngai.gov.vn; congbao.cantho.gov.vn; congbao.binhduong.gov.vn; congbao.bacgiang.gov.vn; congbao.angiang.gov.vn; congbao.travinh.gov.vn; congbao.phutho.gov.vn; congbao.dienbien.gov.vn; qbttehn.gov.vn; syt.bacgiang.gov.vn; bhxh.kiengiang.gov.vn; ldtbxh.hatinh.gov.vn; bhxhdaknong.gov.vn…”.

Thậm chí, theo tìm hiểu của người viết, hiện có cả mẫu quảng cáo dịch vụ chèn liên kết ẩn vào trang web của các cơ quan chính phủ như mình minh họa bên dưới.

Quảng cáo chèn link ẩn vào các địa chỉ thuộc khối cơ quan Chính phủ.
Quảng cáo chèn link ẩn vào các địa chỉ thuộc khối cơ quan Chính phủ.

Do vậy, ai dám chắc kẻ xấu chỉ chèn liên kết ẩn để quảng cáo vào các trang web trên đây? Chúng hoàn toàn có thể đưa mã độc vào đó để lây nhiễm cho người dùng. Trong môi trường mất an toàn như vậy, người dùng có ý thức cảnh giác cao, không bị đánh lừa bởi các thủ đoạn lừa đảo, không truy cập các trang web không lành mạnh cũng có thể bị nhiễm mã độc nếu họ không được bảo vệ tốt.

Hơn thế nữa, thủ đoạn và trình độ của tin tặc ngày càng tinh vi. Chúng có thể đánh lừa người dùng nhấn vào các liên kết/nút lệnh ẩn mà họ không hề hay biết. Bạn đọc nào muốn biết thêm thông tin có thể tìm kiếm theo từ khoá “clickbait”. Để ngăn chặn thủ đoạn này, người dùng cần vô hiệu (cấm thực hiện) các script trên trình duyệt.

Người dùng nên vô hiệu hóa tác vụ thực hiện các script trên trình duyệt.
Người dùng nên vô hiệu hóa tác vụ thực hiện các script trên trình duyệt.

Ngay cả Microsoft còn buộc người dùng nâng cấp lên Windows 10 bằng giao diện không có nút lệnh hủy thì liệu chúng ta có thể hy vọng một sự “nương tay” của tin tặc?.

Windows 10 thậm chí cũng "ép" người dùng.
Windows 10 thậm chí cũng "ép" người dùng.

Đôi khi mã độc chạy mà không cần hỏi ý kiến người dùng nên chỉ riêng việc khách hàng truy cập trang web giả mạo (chứ chưa cần khách hàng nhầm lẫn đến mức gõ mật khẩu vào trong đó) cũng có thể khiến bị mất thông tin đăng nhập. Mã độc nằm vùng có thể theo dõi các hoạt động của họ, từ đó nắm được các thông tin nhạy cảm.

Mã độc Godless hay HummingBad có thể chiếm quyền root của các thiết bị Android để làm bất cứ điều gì theo lệnh của tin tặc. Người dùng iPhone có an toàn hơn? Câu trả lời là KHÔNG, bởi hồi tháng 3 vừa rồi, các chuyên gia của công ty Palo Alto phát hiện họ mã độc AceDeceiver có khả năng lây nhiễm vào cả những chiếc iPhone chưa jailbreak.

Năm 2015, người ta phát hiện Hacking Team có thể cài đặt phần mềm vào tất cả thiết bị iOS nhờ sở hữu chứng thực dành cho doanh nghiệp. Trước đó, tại hội thảo BlackHat 2013, các nhà nghiên cứu thuộc Học viện Công nghệ Georgia cho biết họ đã tạo ra cục sạc có thể ẩn chứa malware bên trong và tiêm nhiễm vào iPhone, iPad ngay khi bạn kết nối thiết bị với cục sạc đó, không cần bất kỳ tương tác nào của người dùng, dù thiết bị chưa jailbreak. Những cục sạc miễn phí ở nơi công cộng có thể giúp lây nhiễm mã độc cho vô số người.

Và để điều tra, người ta cần xem xét rất kỹ chiếc điện thoại thông minh chứ không đơn giản là tìm lịch sử duyệt web hay danh sách các tin nhắn đã nhận. Mã độc nằm trong điện thoại thông minh có thể chặn, đọc tin nhắn để lấy OTP rồi xóa (hay thậm chí xoá tin nhắn thông báo biến động số dư) khiến người dùng không nghĩ rằng không có giao dịch nào xảy ra. Vì mọi việc đều có thể xảy ra nên việc khách hàng cho rằng mình không nhận được tin nhắn thông báo OTP để kết luận hệ thống của Vietcombank không an toàn là hơi vội vàng. Nếu khách hàng Hà Nội liên quan đến vụ VCB dùng một chiếc điện thoại Nokia 1100 chỉ để nhận thông báo biến động số dư và OTP thì lập luận đó sẽ khá chắc.

Có người cho rằng thông cáo của Vietcombank sẽ khiến khách hàng lo sợ quá mức khi chỉ riêng việc truy cập một địa chỉ giả mạo cũng có thể làm mất hàng trăm triệu đồng trong tài khoản. Vậy những thông tin “hù dọa” trên có đồng nghĩa với việc khách hàng nên tránh xa các dịch vụ ngân hàng điện tử?

Nếu nghĩ một cách thấu đáo thì những dịch vụ ngân hàng truyền thống còn có thể bị “hack” theo cách khó điều tra hơn. Kẻ gian có thể đóng giả bạn đến ngân hàng, rút tiền từ tài khoản của bạn không mấy khó khăn. Trừ vài giao dịch viên rất quen biết, những người mới gặp lần đầu khó có thể nhận biết khách hàng, đặc biệt là khách hàng nữ (khi họ đeo khẩu trang chống nắng kín mặt hay trang điểm kỹ đến mức khác hẳn ảnh trên CMND). Nếu kẻ xấu biết số tài khoản của bạn, làm giả CMND của bạn, tập ký giống chữ ký của bạn thì việc tài khoản của bạn bị mất tiền là khó tránh khỏi. Có lẽ chẳng có mấy ngân hàng ghi hình, ghi âm toàn bộ quá trình giao dịch để giúp công an điều tra khi bạn mất tiền (giống như các hệ thống ngân hàng điện tử, các hệ thống bảo mật đang ghi nhật ký giao dịch cùng với các thông tin truy cập).

Nhìn từ một khía cạnh khác, chúng ta cần làm thế nào để bảo vệ khách hàng (ngoài những công việc không thể không làm như hướng dẫn khách hàng cụ thể hơn, nâng cao độ an toàn của môi trường mạng bằng cách điều tra/xử phạt nặng những hành vi phá hoại và cả những người quản trị vô trách nhiệm khi cho rằng hệ thống của họ không có gì để hack)?.

Ảnh minh họa.
Ảnh minh họa.

Có lẽ, ngành ngân hàng Việt Nam hãy học tập từ những ngân hàng Mỹ, đó là triển khai cơ chế phòng thủ nhiều lớp và đặt trọng tâm vào công tác quản trị rủi ro. Không có hệ thống nào tuyệt đối an toàn nên điều quan trọng là giảm thiểu rủi ro của cả hệ thống chứ không phải cố gắng đảm bảo “nếu khách hàng bị mất tiền tức là khách hàng đã không cẩn thận”.

Việc đặt nặng vào khâu xác thực đã khiến hệ thống trở nên mong manh và dễ bị tấn công hơn. Nếu có hệ thống phân tích hành vi và ngăn ngừa rủi ro thì các ngân hàng hoàn toàn có thể ngăn chặn những giao dịch như trên tài khoản của khách hàng bị mất tiền vào hôm 4/8.

Ngân hàng có thể cho phép khách hàng tự thiết lập hạn mức giao dịch tùy theo thời điểm và địa điểm giao dịch. Khách hàng có thường xuyên rút tiền nhiều lần, với số tiền lớn như vậy vào ban đêm? Nếu ngân hàng gọi điện cho khách hàng yêu cầu xác nhận những giao dịch bất thường thì rủi ro có thể đã dừng lại từ sau giao dịch đầu tiên. Ngân hàng có ký hợp đồng bảo hiểm để bảo vệ khách hàng trước những rủi ro khi giao dịch trực tuyến?

Nếu hệ thống của ngân hàng được bảo vệ an toàn thì các công ty bảo hiểm hoàn toàn có thể ký các hợp đồng bảo hiểm cho các giao dịch trực tuyến (giống như họ từng ký hợp đồng bảo hiểm trách nhiệm cho các công ty sản xuất mũ bảo hiểm).

Những khách hàng có nhiều tiền trong tài khoản hoàn toàn có thể yêu cầu mức bảo hiểm cao hơn (và dĩ nhiên là phải đóng mức phí cao hơn). Với những khách hàng có lịch sử đáng nghi hay lơ là quá mức về an toàn bảo mật, các công ty bảo hiểm có thể yêu cầu mức phí cao hơn hay thậm chí từ chối bảo hiểm.