Với sự bùng nổ của mạng 4G và mạng xã hội, xu hướng bán hàng và thanh toán qua internet ngày càng phát triển. Tuy nhiên, theo thống kê gần đây của các ngân hàng, khoảng 70% thông tin cá nhân bị đánh cắp do khách hàng lơ là trong bảo mật và không hiểu biết đủ khi thanh toán qua internet dẫn đến việc bị mất các thông tin thẻ, từ đó bị kẻ gian lấy thông tin để chuyển tiền trái phép.
Cảnh báo với khách hàng
Thời gian gần đây, nhiều ngân hàng đã liên tục gửi tin nhắn hoặc email cho khách hàng nhắc nhở việc tăng cường bảo mật giao dịch trực tuyến, thông qua việc đề nghị chủ thẻ đổi mật khẩu với nhiều ký tự khó khác nhau, hoặc thực hiện thêm một vài thao tác để đảm bảo hơn khi thực hiện giao dịch qua internet.
Từ cuối tháng 10, nhiều khách hàng của Ngân hàng Vietcombank khi giao dịch trực tuyến được nhận thông báo cần đổi mật khẩu ngay trên giao diện màn hình sau khi đăng nhập sử dụng dịch vụ, khiến họ hoang mang và cho rằng tình trạng bảo mật của của ngân hàng này có vấn đề. Phản hồi về việc này, đại diện Vietcombank cho hay: “Bên cạnh việc theo dõi và củng cố hệ thống thì chúng tôi cũng tăng cường cảnh báo cho khách hàng, để đảm bảo tối đa bảo mật cho người sử dụng thẻ khi giao dịch trực tuyến, chứ không phải hệ thống có vấn đề gì”.
Tương tự, Ngân hàng TMCP Hàng hải Việt Nam (Maritime Bank) cũng vừa thông báo cho khách hàng về việc triển khai dịch vụ xác thực bảo mật trực tuyến (3D Secure) cho chủ thẻ Maritime Bank Mastercard khi giao dịch. Đại diện Maritime Bank cho biết, trước đây khi giao dịch thanh toán trực tuyến, các chủ thẻ Maritime Bank Mastercard chỉ cần nhập thông tin chủ thẻ, số thẻ và số xác minh thẻ (CVC). Thì nay, nhằm nâng cao hơn nữa tính bảo mật cho tài khoản ngân hàng, các chủ thẻ này cần nhập thêm mật mã OTP (mật mã một lần sử dụng) để hoàn tất việc thanh toán qua internet. Để đảm bảo an toàn, OTP sẽ chỉ được gửi tới chính chủ thẻ thông qua tin nhắn hoặc thư điện tử mà chủ thẻ đã đăng ký với ngân hàng. Dịch vụ được đăng ký tự động và hoàn toàn miễn phí cho toàn bộ khách hàng đang sở hữu thẻ Maritime Bank Mastercard (bao gồm thẻ ghi nợ và thẻ tín dụng) và đã kích hoạt tính năng thanh toán online. “Với dịch vụ bảo mật này, các chủ thẻ sẽ hoàn toàn yên tâm khi giao dịch trực tuyến, tránh trường hợp bị đánh cắp thông tin”, đại diện Maritime Bank cho hay.
Trước đó, để gia tăng thêm tiện ích cho khách hàng, Maritime Bank đã triển khai dịch vụ tạo và đổi mã PIN miễn phí trên Internet Banking. Thay vì phải thực hiện trực tiếp tại ATM hay quầy giao dịch, với dịch vụ này, các chủ thẻ của Maritime Bank đều có thể tự tạo và đổi mã PIN của mình trên ngân hàng điện tử.
Thủ đoạn ngày càng tinh vi
Các ngân hàng cho biết, tiền trong tài khoản được bảo vệ với 2 lớp bảo mật: tài khoản/mật khẩu (username/password) và mật mã OTP được ngân hàng gửi đến số điện thoại mà bạn đã đăng ký với ngân hàng (gọi là SMS OTP), hoặc được tạo ra trên một thiết bị đặc chủng mà ngân hàng cấp cho người sử dụng, hoặc chỉ được cài trên thiết bị đã đăng ký với ngân hàng (gọi là Smart OTP hoặc OTP chủ động). Người sử dụng là người nắm giữ 2 chìa khóa bảo mật trên nên cần phải biết tự bảo vệ “chiếc két” của mình, vì nếu không cảnh giác sẽ bị kẻ gian lấy cắp với nhiều chiêu trò lừa đảo.
Phổ biến nhất trong giao dịch trực tuyến là kẻ gian giả dạng người thân qua việc sử dụng các tài khoản trên mạng xã hội đánh cắp, nhờ chuyển tiền hoặc nhận tiền giúp thông qua một đường dẫn được gửi qua email hoặc tin nhắn, nhằm dẫn khách hàng tới các trang web liên kết đã giăng sẵn bẫy để khách hàng cung cấp các lớp bảo vệ trên và sau đó lấy thông tin.
Tinh vi hơn, kẻ gian giả danh cán bộ công an, viện kiểm sát hoặc an ninh ngân hàng gọi điện thông báo tài khoản của khách hàng bị tội phạm xâm nhập và yêu cầu cung cấp số tài khoản, mật khẩu giao dịch; hoặc giả danh là nhân viên ngân hàng gọi điện hỏi thăm để tìm cách khai thác thông tin; hoặc thông báo khách hàng đã trúng thưởng, yêu cầu điền các thông tin tại một đường dẫn trong đó có cung cấp các thông tin liên quan về mật khẩu cũng như OTP.
Theo đại diện Vietcombank, rất nhiều người sau khi đăng nhập tài khoản và thanh toán xong không chịu thoát ra ngoài và như vậy người đến sau sẽ dễ dàng sử dụng, hoặc chạy các chương trình để lấy mật khẩu dễ dàng. Trước đây, các ngân hàng đều phụ thuộc vào đối tác về bảo mật, nhưng hiện nay bản thân các ngân hàng đã áp dụng thêm biện pháp để tăng cường tính bảo mật. Chẳng hạn như từ đầu tháng 11-2017, khách hàng thanh toán trực tuyến qua tài khoản Vietcombank sau khi truy cập dịch vụ nếu không thực hiện bất kỳ giao dịch nào trong vòng 5 phút, Vietcombank sẽ tự động ngắt phiên giao dịch. Muốn sử dụng tiếp dịch vụ phải đăng nhập trở lại. Ngoài ra, thời hạn hiệu lực của mã OTP được hạn chế 5 phút đối với phương thức nhận OTP qua tin nhắn điện thoại; 2 phút đối với phương thức nhận OTP qua thẻ EMV - OTP và thiết bị eToken. Mật khẩu truy cập cũng chỉ có thời hạn tối đa là 12 tháng kể từ ngày đổi mật khẩu lần cuối. Cấu trúc của mật khẩu truy cập dịch vụ cũng được quy định chặt chẽ hơn.
Đại diện Maritime Bank khuyến nghị: Khi sử dụng Smart OTP thì người dùng tuyệt đối phải sử dụng trên những chiếc điện thoại thông minh an toàn, tức là không tự ý cài thêm các phần mềm lạ vào điện thoại, vì như thế sẽ giúp cho tin tặc có thể kiểm soát được và lấy trộm mã bảo vệ của người dùng, từ đó thực hiện các lệnh chuyển tiền trái phép.
“Thông tin tên truy cập, mật khẩu đăng nhập Internet Banking, Mobile Banking, mã OTP, số tài khoản... không được nhập vào một trang web lạ hoặc liên kết khác với trang web của ngân hàng mà không phải trang web chính thức của ngân hàng. Ngoài ra, người sử dụng thẻ cũng không nên chọn mã PIN gắn liền với các thông tin cá nhân như số di động, ngày sinh, địa chỉ nhà… vì đây là những mật khẩu luôn được các hacker “dò” ra dễ dàng nhất”, đại diện Vietcombank khuyến nghị.