Để tăng cường đảm bảo an ninh, bảo mật cho thanh toán trực tuyến trong thời gian tới, các tổ chức tín dụng (TCTD) cần tăng cường công tác truyền thông đến khách hàng về các thủ đoạn của tội phạm mạng và các biện pháp bảo vệ thông tin cá nhân trong việc sử dụng các dịch vụ ngân hàng điện tử và thanh toán thẻ. Bên cạnh đó, ngành Ngân hàng cần tiếp tục chủ động triển khai các giải pháp để tăng cường đảm bảo an ninh, bảo mật trong cung cấp dịch vụ ngân hàng trực tuyến nói riêng và an ninh mạng nói chung.
Ngân hàng tiếp tục cảnh báo về tin nhắn giả mạo ngân hàng
Ngày 03/4/2023, Ngân hàng Thương mại (NHTM) cổ phần Ngoại thương Việt Nam (Vietcombank) đã thông báo về sự xuất hiện trở lại tình trạng lừa đảo giả mạo tin nhắn SMS thương hiệu Vietcombank tại Hà Nội và một số vùng lân cận với nội dung thông báo về việc “Ứng dụng VCB Digibank của khách hàng được phát hiện kích hoạt trên một thiết bị lạ” và yêu cầu khách hàng bấm vào đường link giả mạo đi kèm. Đường link này dẫn đến một trang web giả mạo giao diện đăng nhập của ứng dụng VCB Digibank để lấy thông tin dịch vụ của khách hàng nhằm chiếm đoạt tiền trong tài khoản. Tin nhắn giả mạo này chứa các đường link bất thường như: vietcombank.vn-cbs.xyz; vietcombank.vn-cbs.pop; vietcombank.vn-ms.top…
Nói về vụ hiện tượng trên, đại diện Vietcombank khẳng định: “Vietcombank không gửi tin nhắn SMS đi kèm các đường link đăng nhập dịch vụ VCB Digibank. Các tin nhắn có đường link đăng nhập dịch vụ đều là giả mạo”.
NHTM cổ phần Hàng Hải Việt Nam (MSB) cũng khuyến cáo khách hàng về tình trạng lừa đảo tương tự và cho biết đã ghi nhận một số website giả mạo như sau: https://msb.vn-iy.life; https://msb.com.vn-ct.xyz; http://msb.com.vn-cz.top/; https://msb.com.vn-zy.xyz. “MSB khẳng định không bao giờ yêu cầu khách hàng cung cấp thông tin đăng nhập, mật khẩu, OTP dưới hình thức như trên”, thông báo của MSB nêu rõ.
Đây không phải lần đầu tiên các ngân hàng khuyến cáo khách hàng các nội dung này, tuy nhiên thủ đoạn của đối tượng lừa đảo luôn thay đổi và ngày càng tinh vi, khiến nhiều người vẫn mắc bẫy.
Theo Công ty Công nghệ An ninh mạng quốc gia Việt Nam (NCS), để giả mạo SMS Brandname, các đối tượng để thiết bị lên ô tô hoặc xe máy di chuyển đến nơi đông người, sau đó phát tán tin nhắn tới các thuê bao lọt vào vùng phủ sóng của trạm thu phát sóng di động (BTS) giả. Mỗi thiết bị như vậy có thể phát tán 70.000 – 80.000 tin nhắn/ngày. Nguy hiểm ở chỗ, tin nhắn giả Brandname không khác gì tin nhắn thật, khiến điện thoại tự động xếp chung với các tin nhắn thật, người dùng rất khó phân biệt.
Cục An toàn thông tin, Bộ Thông tin và Truyền thông cũng cho biết, các đối tượng xấu thực hiện phát tán tin nhắn lừa đảo bằng cách sử dụng các thiết bị phát sóng giả mạo để gửi tin nhắn trực tiếp vào điện thoại mà không thông qua nhà mạng viễn thông di động. Nội dung tin nhắn thường là quảng cáo, hướng dẫn hoặc chứa đường link tới website chính thức của các ngân hàng để dẫn dụ và đánh cắp thông tin của người dùng như tài khoản, mật khẩu, mã OTP…, sau đó xâm nhập tài khoản, rút tiền của nạn nhân.
Hành vi mạo danh SMS Brandname ngân hàng đợt này tương tự cách thức lừa đảo bị phát hiện năm 2021 – 2022. Khi đó, kẻ gian dùng tên người gửi là tên của các ngân hàng nên tin nhắn bị xếp chung luồng với tin nhắn thật, khiến nhiều người bị lừa chiếm tài khoản.
Với ngành Ngân hàng, an ninh, bảo mật là nhiệm vụ quan trọng, vì liên quan đến an toàn thông tin, tài khoản cũng như quyền lợi của khách hàng và an toàn của chính ngân hàng. Trong thời gian qua, Ngân hàng Nhà nước Việt Nam (NHNN) đã rà soát, ban hành mới hoặc sửa đổi nhiều văn bản quy phạm pháp luật hướng dẫn các TCTD trong việc triển khai các dịch vụ ngân hàng điện tử đảm bảo an toàn bảo mật. Đồng thời, NHNN chủ động theo dõi, nắm bắt tình hình an ninh mạng trong Ngành và chỉ đạo các TCTD sẵn sàng các biện pháp để phát hiện, ngăn chặn và xử lí kịp thời các sự cố (nếu có phát sinh).
Hằng năm, NHNN tổ chức kiểm tra tuân thủ các quy định về an toàn, bảo mật tại các TCTD, tổ chức trung gian thanh toán để đánh giá, phát hiện và xử lí sớm các rủi ro, sai phạm cũng như khuyến nghị, chấn chỉnh kịp thời những tồn tại, hạn chế về an ninh, bảo mật tại các TCTD. Cơ quan quản lí cũng đang rà soát, ban hành các chính sách đẩy mạnh ứng dụng chữ kí số và các giải pháp xác thực mạnh trong các loại hình dịch vụ điện tử.
Về phía các TCTD, để đảm bảo an toàn, bảo mật cho giao dịch ngân hàng và thông tin, tài khoản khách hàng trước nguy cơ tấn công mạng, các NHTM đã tăng cường đầu tư ứng dụng công nghệ bảo mật hiện đại trên thế giới. Cơ bản các TCTD đã trang bị các giải pháp tăng cường an toàn, an ninh mạng như: Hệ thống quản lí sự kiện an ninh; hệ thống phòng chống thư rác; hệ thống lọc nội dung web; hệ thống quản lí file nhật kí; hệ thống đánh giá điểm yếu ứng dụng và mạng; công nghệ chữ kí số PKI¹. Bên cạnh đó, nhiều TCTD đã triển khai áp dụng các tiêu chuẩn quốc tế về an ninh, bảo mật như ISO 27001, PCI DSS. Số lượng các TCTD đạt các tiêu chuẩn này đã tăng lên hằng năm.
Để nâng cao nhận thức cho khách hàng trong việc đảm bảo an toàn, bảo mật các giao dịch trực tuyến, các TCTD đã tăng cường công tác truyền thông đến khách hàng về các thủ đoạn của tội phạm mạng và các biện pháp bảo vệ thông tin cá nhân trong việc sử dụng các dịch vụ ngân hàng điện tử và thanh toán thẻ.
Tuy nhiên, với sự phát triển mạnh mẽ của công nghệ 4.0, diễn biến tội phạm công nghệ trên thế giới ngày càng tinh vi, phức tạp, vấn đề đầu tư hạ tầng kĩ thuật công nghệ và nhân sự cần chi phí lớn, việc tăng cường an ninh, bảo mật, đặc biệt trong lĩnh vực tài chính, ngân hàng gặp không ít khó khăn, thách thức.
Giải pháp tăng cường “hàng rào” bảo mật và nâng cao kĩ năng cho khách hàng sử dụng dịch vụ ngân hàng
Đối với Chính phủ và các bộ, ngành
Để đáp ứng yêu cầu phát hiện, điều tra và xử lí tội phạm sử dụng công nghệ cao ở nước ta hiện nay, cần tăng cường xây dựng hệ thống quy định pháp luật vững chắc hơn, phát triển đội ngũ tư pháp nhằm nâng cao hiệu quả cuộc đấu tranh phòng, chống loại tội phạm này; cần xác định loại và giới hạn mức độ hình phạt về tội phạm công nghệ cao trong quy định pháp luật hình sự và phi hình sự đối với người nước ngoài. Cần thiết lập những văn bản quy định cụ thể hơn về tội phạm công nghệ cao là người nước ngoài để tránh mâu thuẫn pháp luật quốc tế và hoàn thiện pháp luật quốc gia. Do đó, cần chủ động xây dựng mối quan hệ, hợp tác giữa các quốc gia trong một quy định pháp lí mang tính thống nhất. Cùng với đó, xây dựng và phát triển đội ngũ nhân lực ngành tư pháp ngày càng tiệm cận hơn các khu vực phát triển trên thế giới. Cần hoàn thiện hệ thống hạ tầng công nghệ thông tin (CNTT), viễn thông để thích nghi với sự đổi mới của thị trường công nghệ viễn thông trên toàn cầu.
Ngoài ra, Chính phủ cần tiếp tục hoàn thiện hành lang pháp lí trong đó có một số văn bản pháp luật cần sớm được ban hành như nghị định bảo vệ dữ liệu cá nhân, thông tư kết nối, chia sẻ dữ liệu dân cư với cơ sở dữ liệu chuyên ngành… để có cơ sở pháp lí đồng bộ, giúp quá trình khai thác, kết nối Cơ sở dữ liệu quốc gia về dân cư (CSDLQGvDC) không chỉ với ngành Ngân hàng mà các ngành, lĩnh vực khác đạt hiệu quả, an toàn.
Thời gian tới, Bộ Công an và NHNN cần đẩy mạnh hoàn thiện về pháp lí để có thể đẩy mạnh việc cung cấp kết nối, khai thác CSDLQGvDC và cung cấp dịch vụ xác thực, định danh điện tử cho các TCTD trong ngành Ngân hàng. Tại Nghị định số 37/2021/NĐ-CP ngày 29/3/2021 của Chính phủ sửa đổi, bổ sung một số điều của Nghị định số 137/2015/NĐ-CP ngày 31/12/2015 của Chính phủ quy định chi tiết một số điều và biện pháp thi hành Luật Căn cước công dân đã cho phép các TCTD khai thác thông tin trong CSDLQGvDC; Nghị định số 59/2022/NĐ-CP ngày 05/9/2022 của Chính phủ quy định về định danh và xác thực điện tử (có hiệu lực từ ngày 20/10/2022) cho phép các TCTD có thể khai thác tài khoản định danh điện tử. Bộ Công an cần sớm ban hành hướng dẫn cụ thể để các TCTD có thể kết nối với CSDLQGvDC và sử dụng dịch vụ xác thực, định danh điện tử phục vụ các hoạt động nghiệp vụ của TCTD.
Đối với NHNN
Thứ nhất, tiếp tục nghiên cứu, áp dụng các tiêu chuẩn, thông lệ quốc tế trong các văn bản quy phạm pháp luật điều chỉnh hoạt động ứng dụng CNTT của các TCTD đảm bảo an toàn, bảo mật.
Thứ hai, đưa vào áp dụng khung đánh giá rủi ro CNTT theo thông lệ quốc tế để nâng cao chất lượng công tác kiểm tra tuân thủ các quy định về an toàn, bảo mật tại các TCTD, tổ chức trung gian thanh toán.
Thứ ba, tiếp tục đẩy mạnh hoạt động của mạng lưới ứng cứu sự cố an ninh CNTT ngành Ngân hàng với trọng tâm như: Từng bước kiện toàn nguồn nhân lực cùng với cơ sở vật chất phục vụ diễn tập, giám sát sự kiện an ninh mạng. Bổ sung kinh phí, trang thiết bị, giải pháp công nghệ hỗ trợ cho hoạt động của mạng lưới nhằm nâng cao năng lực xử lí và ứng cứu sự cố; đào tạo chuyên sâu về an ninh thông tin trong ngành Ngân hàng theo hình thức phối hợp giữa các TCTD và NHNN triển khai các khóa đào tạo theo yêu cầu. Hằng năm, tổ chức các khóa đào tạo về an ninh mạng kết hợp với diễn tập ứng cứu sự cố. Xây dựng diễn đàn trao đổi thông tin riêng cho các thành viên mạng lưới. Định kì tổ chức các buổi hội thảo về an toàn, an ninh thông tin và ứng cứu sự cố an ninh mạng.
Thứ tư, phối hợp với các cơ quan chức năng Bộ Thông tin và Truyền thông, Bộ Công an, Ban Cơ yếu Chính phủ và các tổ chức cung cấp dịch vụ hạ tầng CNTT… để chia sẻ thông tin và hỗ trợ hoạt động đảm bảo an toàn, an ninh mạng của ngành Ngân hàng.
Thứ năm, triển khai các chương trình đào tạo nâng cao nhận thức của cán bộ, nhân viên trong ngành Ngân hàng và người dân trong việc nhận diện và phòng ngừa rủi ro của hoạt động ngân hàng trên môi trường mạng.
Về phía các NHTM
Cần chú ý đào tạo và quan tâm phát triển đội ngũ nhân sự công nghệ cao bên cạnh chuyên môn tài chính, ngân hàng. Đồng thời, để đảm bảo an toàn bảo mật cho giao dịch ngân hàng và thông tin, tài khoản khách hàng trước nguy cơ tấn công mạng, các NHTM cần: Tiếp tục tăng cường phối hợp với NHNN để thực hiện các chính sách đã ban hành về CNTT trong lĩnh vực ngân hàng; chủ động trong việc giám sát hoạt động hệ thống CNTT và xử lí các sự cố phát sinh (nếu có); tăng cường các biện pháp giám sát, theo dõi hoạt động và nhật kí của các hệ thống thông tin quan trọng, các cổng, trang thông tin điện tử, hệ thống Internet Banking để kịp thời phát hiện và xử lí sự kiện nghi ngờ là hành động tấn công (nếu có); thực hiện sao lưu và lưu trữ đầy đủ dữ liệu cũng như sẵn sàng kịch bản và phương án đảm bảo hoạt động liên tục cho các hệ thống thông tin quan trọng, các cổng, trang thông tin điện tử, hệ thống Internet Banking.
Bên cạnh đó, NHTM đẩy mạnh công tác truyền thông, tuyên truyền, nâng cao nhận thức của khách hàng trong việc sử dụng ngân hàng điện tử, khuyến khích, hỗ trợ người dân trong việc tiếp cận, sử dụng hiệu quả các dịch vụ ngân hàng trực tuyến; đồng thời, tiếp nhận ý kiến trực tiếp từ khách hàng nhằm hoàn thiện và nâng cao chất lượng sản phẩm, dịch vụ.
Về phía khách hàng
Khi sử dụng dịch vụ ngân hàng, khách hàng cần lưu ý: Các ngân hàng không yêu cầu khách hàng cung cấp thông tin cá nhân qua các kênh như SMS, email, phần mềm chat… Do đó, việc xuất hiện các tin nhắn có nội dung này là điều bất thường, cần được xem xét một cách cẩn thận.
Để đảm bảo an toàn, người dùng tuyệt đối không nên bấm vào link bất thường, kiểm tra kĩ trang web trước khi tải về. Các ngân hàng đều công bố số điện thoại và địa chỉ website rõ ràng, do đó người dùng có thể dễ dàng so sánh được số điện thoại, trang web nhận được trong tin nhắn có đúng là “chính chủ” hay không. Nếu phát hiện bất thường, người dùng cần báo ngay cho các cơ quan chức năng để xử lí.
Khách hàng tuyệt đối không cung cấp thông tin về dịch vụ ngân hàng cho bất kì cá nhân, tổ chức nào, không cài đặt các ứng dụng chưa được xác thực, đặc biệt là cài đặt theo yêu cầu của người lạ. Với thiết bị vô tình cài đặt phần mềm không rõ nguồn gốc, việc gỡ cài đặt phần mềm hoặc cài đặt lại smartphone là vô cùng cần thiết.
Khi nhận được tin nhắn, khách hàng cần kiểm tra kĩ nội dung tin nhắn nhận được, không vội vàng trả lời hay thực hiện theo nội dung tin nhắn. Các website chính thức của các tổ chức ngân hàng thường sử dụng giao thức “https” và kết thúc bằng đuôi “.vn”.
Khi nhận được các tin nhắn, cuộc gọi có dấu hiệu lừa đảo, cần lưu lại các bằng chứng (tin nhắn hoặc ghi âm cuộc gọi), phản ánh tới doanh nghiệp viễn thông quản lí thuê bao để yêu cầu xử lí. Bên cạnh đó, cung cấp các bằng chứng đã có tới các cơ quan chức năng của Công an nơi gần nhất để xử lí vi phạm theo đúng quy định của pháp luật.
Bên cạnh yếu tố tự cảnh giác, người dùng cũng nên trang bị thêm hoặc tham gia các khóa học an ninh mạng cơ bản. Khi có kiến thức an ninh mạng cơ bản, người dùng sẽ có nhiều kĩ năng để tự phòng vệ và chống được các rủi ro trên không gian mạng.
¹Public key infrastructure, viết tắt (PKI) là một cơ chế để cho một bên thứ ba (thường là nhà cung cấp chứng thực số) cung cấp và xác thực định danh các bên tham gia vào quá trình trao đổi thông tin. Cơ chế này cũng cho phép gán cho mỗi người sử dụng trong hệ thống một cặp khóa công khai và khóa cá nhân (public key/private key). Các quá trình này thường được thực hiện bởi một phần mềm đặt tại trung tâm và các phần mềm phối hợp khác tại các địa điểm của người dùng.
Tài liệu tham khảo:
1. https://www.sbv.gov.vn
2. https://bocongan.gov.vn
3. https://portal.vietcombank.com.vn
4. https://www.msb.com.vn