Làm gì để bảo vệ tài khoản tại ngân hàng tốt hơn?
Nếu các ngân hàng còn gắn bó với OTP, ngân hàng nên sẵn sàng với số lượng các cuộc tấn công lừa đảo ngày một tăng và thiệt hại cuối cùng là sẽ do chính khách hàng và ngân hàng gánh chịu.
- 14-08-2016Thêm một khách hàng của Vietcombank bị mất tiền trong tài khoản
- 13-08-2016Khách hàng Vietcombank bất ngờ bị dừng dịch vụ Smart OTP
- 13-08-2016Vietcombank nói gì vụ khách không giao dịch vẫn mất 500 triệu trong tài khoản?
Trong xu thế toàn cầu hoá, công nghệ thông tin là một giải pháp tối ưu để rút ngắn khoảng cách không gian, thời gian. Hiện nay việc giao dịch mua, bán và phương thức thanh toán rất tiện lợi thông qua hệ thống giao dịch Internet Banking (dịch vụ ngân hàng qua Internet) mọi lúc mọi nơi, an toàn và tiện lợi.
Khách hàng có thể thực hiện các giao dịch 24/24 giờ cả tuần tại nhà riêng hoặc ở bất cứ đâu có kết nối Internet, trong nước hay ở nước ngoài. Internet Banking ra đời là một cuộc cách mạng dựa trên nền tảng công nghệ số hoá, thúc đẩy mọi giao dịch được kết nối một cách nhanh chóng, tiết kiệm rất nhiều thời gian cho khách hàng như: gửi tiết kiệm trực tuyến, chuyển tiền trong và ngoài hệ thống, thanh toán tiền điện, nước, vé máy bay, học phí, mua hàng qua mạng…
Internet ngày càng phổ biến và đóng vai trò quan trọng trong đời sống cộng đồng. Tuy nhiên, những rủi ro xuất hiện trên Internet cũng ngày một gia tăng như: truy cập trái phép, đánh cắp thông tin cá nhân, phần mềm gián điệp... Rủi ro trong giao dịch Internet Banking cũng không nằm ngoài những rủi ro trên và chủ yếu là đánh cắp thông tin cá nhân, mật khẩu, lừa đảo chuyển tiền tới một tài khoản nào đó có chủ ý.
Tuy nhiên hiện nay tính bảo mật của hệ thống Internet Banking tại các ngân hàng vẫn còn những khe hở và nhiều nguy cơ tìm ẩn đe doạ đến quyền lợi của khách hàng. Do đó, công việc bảo mật đang được các ngân hàng đặc biệt quan tâm đặt lên hàng đầu. Công tác đầu tư xây dựng cơ sở hạ tầng, trang thiết bị máy tính và triển khai nhập mã an toàn khi đăng nhập trang Internet Banking được nhiều ngân hàng quan tâm và không ngừng ứng dụng các giải pháp công nghệ số để bảo mật thông tin khách hàng.
Dẫu vậy, trong thời gian gần đây thông tin từ tài khoản của khách hàng tại các ngân hàng đang bị các hacker tấn công ngày càng nhiều và làm cho khách hàng thiệt hại hàng trăm triệu đồng. Vậy đâu là nguyên nhân và giải pháp nhằm giúp khách hàng không bị mất tiền từ tài khoản của mình tại ngân hàng?
Nguyên nhân từ phía các ngân hàng
Khi muốn chuyển tiền qua Internet, khách hàng cần có tài khoản để đăng nhập, thao tác trên trang web, trên điện thoại di động qua các ứng dụng trên điện thoại di động (Mobile App) hoặc qua tin nhắn trên điện thoại(SMS).
Thực ra, quá trình đăng nhập đã yêu cầu khách hàng nhập mật khẩu nhưng đó là mật khẩu cố định, hay còn gọi là mật khẩu tĩnh. Nó giống như mật khẩu Gmail, Facebook. Nhưng, sau khi đăng nhập bằng mật khẩu tĩnh thì khách hàng vẫn chưa thể chuyển tiền đi. Bước cuối cùng của giao dịch chuyển tiền, hệ thống của ngân hàng sẽ gửi một mã số ngẫu nhiên về cho khách hàng, yêu cầu họ nhập vào web / mobile app / SMS (tùy khách hàng đang giao dịch bằng môi trường nào) để hoàn tất giao dịch.
Mật khẩu dùng 1 lần (One time password-OTP) sẽ được gửi về cho khách hàng qua email, SMS hoặc qua một thiết bị điện tử xác thực người dùng (hay còn gọi là Token). Email, SMS hay Token là thiết bị riêng tư của mỗi người, trừ khi khách hàng bị lộ mật khẩu hay đánh mất Token vào tay kẻ xấu, nếu không thì khó mà hack được cả mật khẩu tĩnh lẫn truy cập được cả email hay điện thoại di động của khách hàng để lấy OTP.
Dù đa dạng như vậy, tất cả hệ thống OTP đều có chung nhược điểm. Đầu tiên, tất cả đều đối xứng vì ngân hàng và cả nhà mạng di động cũng xem được một bí mật với khách hàng về OTP. Thứ hai, hệ thống OTP đều dựa trên trình duyệt để giao tiếp trở lại ngân hàng. Điều đó có nghĩa nếu một website lừa đảo bắt chước website thật của ngân hàng hay trình duyệt làm thế nào đó bị xâm phạm, thông tin đăng nhập và OTP có thể bị thu thập bởi những kẻ lừa đảo và ngay lập tức bị dùng để chiếm quyền truy cập, thực hiện các giao dịch lừa đảo. Trong đó, hacker can thiệp vào liên lạc giữa ngân hàng và khách hàng mà họ không hề nhận thức sự có mặt của chúng, cho phép kẻ lừa đảo hoạt động như một ủy nhiệm. Vài trường hợp, “mã độc” sao chép tên tài khoản, mật khẩu và OTP rồi ngay lập tức dùng chúng.
Theo Kasperksy Labs, số lượng “mã độc” tấn công giao dịch ngân hàng đã tăng gấp 20 lần trong năm qua, phần nhiều trong số đó nhắm tới OTP gửi qua SMS. Bảo mật OTP còn có thể bị xâm phạm thông qua Keylogger (là một chương trình máy tính ban đầu được viết nhằm mục đích theo dõi và ghi lại mọi thao tác thực hiện trên bàn phím vào một tập tin nhật ký để cho người cài đặt nó sử dụng), khi mọi thao tác của người dùng trên bàn phím đều bị bí mật ghi lại. Kẻ tấn công có quyền điều khiển từ xa sẽ chờ đợi nạn nhân nhập thông tin đăng nhập trước khi thực hiện các giao dịch.
Một trong những hệ thống phân phối OTP dễ bị tấn công nhất lại cũng phổ biến nhất, đó chính là việc cấp OTP qua tin nhắn. Trong hơn một thập kỷ vừa qua, ngân hàng toàn cầu đang dùng SMS để gửi OTP cho khách hàng, chủ yếu vì ai cũng mang theo điện thoại bên mình, loại bỏ sự phiền hà khi phải mang theo một thiết bị token chuyên dụng.
SMS OTP không được xem là an toàn vì nhiều lý do. Trước hết, bảo mật của SMS phụ thuộc vào bảo mật của mạng di động và với các cuộc tấn công nhằm vào hệ thống thông tin di động toàn cầu (Global System for Mobile Communications– GSM) và công nghệ truyền thông thế hệ thứ 3 (Third-generation technology -3G), sự tin cậy của SMS không được bảo đảm. Hơn nữa, nhiều điện thoại là đối tượng của các phần mềm ác tính “Trojan horse”, có thể “mở toang” cửa đến SMS trên đi dộng để đánh cắp OTP.
Do đó, Mật khẩu OTP là quá khứ, không phải tương lai của xác thực hai bước trong việc thực hiện giao dịch trên tài khoản của khách hàng thông qua Internet. Công nghệ ngày càng chứng minh sự lạc hậu, dễ bị tấn công và trải nghiệm của người dùng cũng không còn phù hợp với thời đại số ngày nay. Nếu các ngân hàng còn gắn bó với OTP, ngân hàng nên sẵn sàng với số lượng các cuộc tấn công lừa đảo ngày một tăng và thiệt hại cuối cùng là sẽ do chính khách hàng và ngân hàng gánh chịu.
Nguyên nhân từ phía khách hàng
Bảo mật cho các giao dịch trên Internet ngày càng được chú trọng và tăng cường ở các ngân hàng cung cấp dịch vụ. Tuy nhiên ở phía người sử dụng thì lại chưa được quan tâm đúng mức. Việc nhận thức được những rủi ro này từ phía người sử dụng là rất quan trọng, góp phần đáng kể vào việc giảm rủi ro trong giao dịch thông qua Internet.
Khách hàng thường ít kiến thức về công nghệ thông tin và khó xác định được những trang web giả tạo. Thậm chí, khách hàng vẫn thường xuyên truy cập vào những trang web lạ có độ an toàn không cao, trong khi máy tính của họ ít khi cập nhật các chương trình phần mềm chặn virus. Từ đó, việc mất thông tin tài khoản cá nhân tại ngân hàng rất dễ xảy ra khi họ đăng nhập hay khai báo các thông tin theo yêu cầu của các trang web này.
Thậm chí, khách hàng còn giao dịch trên các trang mua bán có độ tin cậy thấp và đến từ nước ngoài. Đặc biệt, các trang web mạo danh này thường đưa ra các chương trình khuyến mãi cực kỳ hấp dẫn và đã tác động đến lòng tham của người dân, và cuối cùng dẫn đến việc lôi kéo họ tham gia vào việc mua hàng hoá tại đây; từ đó càng khiến cho thông tin tài khoản của họ dễ dàng bị đánh cắp sau lần giao dịch này.
Vậy đâu là giải pháp ?
-Về phía ngân hàng: Nâng cấp công nghệ mới thay thế mật khẩu truyền thống, kể cả mật khẩu tĩnh và động như đang áp dụng tại hệ thống ngân hàng tại Việt Nam hiện nay. Việc cho phép truy cập vào tài khoản cá nhân chỉ nên được chấp nhận khi thiết bị nhận diện đúng khuôn mặt của người dùng đó. Điều này đồng nghĩa, người dùng sẽ chỉ đưa máy lên gần mặt và thiết bị sẽ nhận diện, không phải nhập bất kỳ mật khẩu gì như hiện nay.
Các công ty công nghệ khác triển khai công nghệ phức tạp hơn, như nhận dạng sinh trắc học, quét sử dụng dữ liệu sinh trắc. Công nghệ hiện đại hơn đang trong quá trình thử nghiệm là công nghệ tương tác thực tế (Augmented Reality – AR)và công nghệ không gian, sử dụng vị trí và nhận thức tình trạng để cân nhắc điều kiện địa phương hóa để nhắc nhở cũng như ngăn chặn người dùng truy cập. Có thể nói, người dùng đang tiến vào không gian tiếp theo của công nghệ bảo mật, nơi an ninh được đặt ở mức cao nhưng không cần mật khẩu, đặc biệt là mật khẩu ký tự truyền thống như đang áp dụng tại nước ta hiện nay.
Một lĩnh vực khác mà bước tiến hóa của công nghệ mật khẩu có thể giải quyết là đánh cắp nhận dạng. Phần mềm bảo vệ nhận dạng trực tuyến có tiềm năng phát triển mạnh vì tính chất phổ biến của hành vi trộm cắp. Tuy nhiên, không tính tới vấn đề công nghệ nhanh nhạy hay hiệu quả, sự thuận tiện của con người sẽ chỉ ra hướng đi mà bảo mật trực tuyến cần phát triển trong thời gian tới.
-Về phía khách hàng: trước hết cần quan tâm tới an toàn cho máy tính cá nhân. Nếu các hacker xâm nhập vào máy tính của khách hàng, họ có thể kiểm soát toàn bộ máy tính và truy cập tài khoản ngân hàng trên Internet. Để giảm thiểu rủi ro, các máy tính cá nhân cần được cài đặt phần mềm chính hãng của các công ty có uy tín, một bức tường lửa tối thiểu, một phần mềm chặn virus và một mật khẩu đủ khó. Một việc rất quan trọng là thường xuyên cập nhật các phiên bản vá lỗi của các nhà cung cấp phần mềm, điều đó giúp máy tính chặn được các lỗ hổng mà hacker thường lợi dụng. Đồng thời, khách hàng không nên giao dịch với những trang web lạ, chưa rõ nguồn gốc. Điều này tránh cho khách hàng gặp phải những rắc rối không đáng có khi giao dịch với các website lừa đảo nhằm lấy cắp thông tin và tiền.
Không mở các file đính kèm email mà chúng ta không mong đợi; kiểm tra biểu tượng hình chiếc khoá hoặc chìa khoá ở phía cuối màn hình trình duyệt khi nhập những thông tin nhạy cảm; chỉ tải phần mềm từ những website đáng tin cậy;không chọn lưu mật khẩukhi giao dịch trên Internet; không cung cấp bất kỳ thông tin bảo mật dịch vụ như: Tên đăng nhập, mật khẩu truy cập, mã xác thực OTP được gửi qua SMS hay mã kích hoạt ứng dụng Smart OTP, địa chỉ email và thông tin cá nhân cho bất cứ ai và bằng bất cứ hình thức nào.
Ngoài ra, khách hàng không nên đăng nhập hoặc cung cấp tên tài khoản, mật khẩu của tài khoản và mã OTP trên bất kỳ ứng dụng và trang web nào không phải của chính ngân hàng mà chúng ta đang sử dụng dịch vụ, không truy cập các trang web/ đường dẫn hoặc tải các ứng dụng không đáng tin cậy.