'Tháng tiêu dùng số' - Bài cuối: Bịt lỗ hổng Password/OTP

”Món nợ” bảo mật thông tin

Mặc dù đã có những kết quả bước đầu khả quan trong việc chuyển đổi số, nhưng ngành ngân hàng vẫn đứng trước những thách thức. Một trong những thách thức lớn là vấn đề bảo mật thông tin, trong đó có thông tin của khách hàng.

Công ty Hệ thống Thông tin FPT (Tập đoàn FPT) dẫn báo cáo của cơ quan chức năng ở Việt Nam và các tổ chức quốc tế cho biết: Trong năm 2021 Việt Nam đứng thứ 2 ở châu Á về số lượng mã độc tống tiền (ransomware), tăng 200% so với năm 2020. Có tới 90% các cuộc tấn công mạng liên quan hệ thống tài chính ngân hàng trong năm 2021, tăng 42,4% so với năm 2020. Việt Nam đứng đầu về các nghi ngờ tội phạm sử dụng chứng minh thư/căn cước công dân giả để xác thực (ở mức 12,9% toàn cầu).

Trong năm 2022 cơ quan chức năng phát hiện 240 tên miền liên kết giả mạo nhằm mạo danh 27 tổ chức tài chính, ngân hàng quen thuộc của Việt Nam để thu thập chi tiết thông tin cá nhân của các khách hàng, nhằm đánh cắp tài khoản ngân hàng và sử dụng các kỹ thuật để vượt qua bước xác minh OTP.

Cục An toàn thông tin (Bộ Thông tin và Truyền thông) đã phát hiện, xử lý 506 website giả mạo tổ chức tài chính, ngân hàng trong 5 tháng đầu năm 2022.

Tại Diễn đàn “Ngành ngân hàng chủ động và tiên phong tham gia cuộc Cách mạng công nghiệp lần thứ tư” (ngày 11 và 12/10/2022), các diễn giả đã nêu ra các trường hợp lừa đảo tài chính phổ biến ở Việt Nam và chỉ ra đâu là nguyên nhân,

Trường hợp thứ nhất: Nhắn tin lừa lấy mật khẩu tài khoản và mã OTP để chiếm đoạt 2,4 tỷ đồng. Ba đối tượng Phú, Hiền và Chung vờ hỏi mua hàng, đề nghị người bán hàng online gửi số tài khoản ngân hàng để chuyển tiền, chuyển cho người bán đường link và yêu cầu đăng nhập, nhập mã OTP. Sau đó chúng chiếm đoạt tiền trong tài khoản của người bán. Bằng thủ đoạn này, từ đầu tháng 1/2021 đến khi bị bắt, ba đối tượng nói trên đã lừa đảo hàng trăm nạn nhân trong cả nước với tổng số tiền 2,4 tỷ đồng.

Trường hợp thứ hai: Khách hàng mất 400 triệu đồng tại ngân hàng. Đối tượng lừa đảo đã chiếm được quyền kiểm soát, đọc tin nhắn điện thoại. Khách hàng mất hơn 400 triệu đồng mà không biết giao dịch xảy ra vào lúc nào. Khách hàng không hề thực hiện các giao dịch này, không biết những người thụ hưởng là ai, không nhận được tin nhắn (SMS) của ngân hàng.

Lỗ hổng an ninh mạng làm tổn hại lợi ích của người tiêu dùng không chỉ đe dọa bước tiến chuyển đổi số của ngành ngân hàng mà của cả quá trình chuyển đổi số nói chung ở Việt Nam.

Chuyên gia bảo mật cho rằng lỗ hổng trong phương thức xác thực SMS OTP chính là điểm yếu được hacker (tin tặc) tận dụng. Nguyên nhân thường được quy về do nhận thức của người dùng. Từ đó, các ngân hàng tập trung cảnh báo, tuyên truyền nâng cao nhận thức người dùng.

Tuy nhiên, nguyên nhân thật sự nằm ở đâu? Tài khoản của khách hàng tự dung "bốc hơi" thì liệu ngân hàng có vô can?

Vì sao các ngân hàng nước ngoài dần dần từ bỏ gửi tin nhắn OTP? Theo Công ty Cổ phần Dịch vụ An ninh mạng (VinCSS) thuộc Tập đoàn Vingroup, trong quá trình "chạy đua" chuyển đổi số thì các tổ chức tài chính-ngân hàng chưa quan tâm đầu tư chiều sâu về an ninh bảo mật nên đã làm gia tăng bề mặt tấn công, tạo cơ hội cho tin tặc.

Nguyên nhân thứ hai là các tổ chức tài chính - ngân hàng luôn là mục tiêu số 1 của tin tặc bởi vì đây là nơi “không có gì ngoài tiền và kho dữ liệu khách hàng”. Từ khi đại dịch COVID-19 bùng nổ đã có sự gia tăng rõ rệt sự đầu tư của tin tặc, làm tăng mạnh mối nguy cơ lộ lọt thông tin trong lĩnh vực tài chính - ngân hàng.

Nguyên nhân thứ ba: Công nghệ định danh và xác thực mà phần lớn các ngân hàng Việt Nam đang sử dụng không đủ để bảo vệ triệt để người dùng khỏi các kiểu tấn công phổ biến hiện nay. Điều này còn khiến tin tặc chuyển hướng tấn công nhắm vào mắt xích yếu nhất - người dùng cuối.

Tấn công giả mạo (Phishing) là hình thức tấn công mạng mà kẻ tấn công giả mạo là một đơn vị uy tín để lừa người dùng cung cấp thông tin cá nhân. Đây là một trong các hình thức tấn công nhằm vào tâm lý người tiêu dùng và luôn thành công với một tỷ lệ mà kẻ tấn công luôn "quyết" làm bằng được.

Theo các chuyên gia an ninh mạng, các tin tặc rất "thích" password/OTP bởi đây là hàng rào bảo mật dễ vượt qua, trong khi đối với người dùng thì nó lại có chi phí duy trì cao và khó quản lý.

Làm thế nào để bảo vệ người tiêu dùng?

Tại Diễn đàn “Ngành ngân hàng chủ động và tiên phong tham gia cuộc Cách mạng công nghiệp lần thứ tư”, các diễn giả đưa ra nhiều giải pháp để các tổ chức tài chính-ngân hàng tiến tới xóa “món nợ xấu” về bảo mật thông tin đối với khách hàng.

Theo đại diện VinCSS, cơ chế xác thực phổ biến hiện nay dựa trên password/OTP đã lỗi thời, có nhiều bất cập và cần được thay thế bằng một công nghệ xác thực mới có đủ khả năng chống lại cuộc tấn công giả danh, phi kỹ thuật, mã độc,..

Công nghệ tin học đã tiến bộ rất nhiều trong 5 năm qua, hiện tại công nghệ xác thực mạnh đa khóa không mật khẩu Passwordless MFA) theo chuẩn FIDO2 quốc tế có thể triển khai diện rộng với chi phí rất thấp, bất kỳ người dùng nào có điện thoại thông minh đều có thể tiếp cận dễ dàng. Liên minh FIDO là hiệp hội công nghiệp mở được thành lập vào tháng 2/2013 với sứ mệnh phát triển và thúc đẩy các tiêu chuẩn xác thực "giúp giảm sự phụ thuộc quá mức của thế giới vào mật khẩu".

VinCSS kiến nghị với các cơ quan quản lý tham gia nhóm các thành viên chính phủ của tổ chức FIDO Alliance để học hỏi, tiếp thu kinh nghiệm triển khai xác thực mạnh cấp chính phủ từ các quốc gia tiên phong; ban hành các chính sách khuyến khích áp dụng rộng rãi công nghệ xác thực mạnh Passwordless MFA ở cả khu vực công và khu vực tư nhân, xem xét bắt buộc áp dụng công nghệ này đối với một số hệ thống, một số dịch vụ và lĩnh vực để bảo vệ thành quả chuyển đổi số; triển khai xác thực mạnh cho các dịch vụ công, các nền tảng công nghệ thiết yếu để bảo vệ tốt dữ liệu, đảm bảo an toàn an ninh nhằm tạo tiền đề cung cấp mạnh mẽ hơn nữa các dịch vụ công online và thúc đẩy quá trình chuyển đổi số tại Việt Nam.

Công ty Hệ thống Thông tin FPT đề xuất một hệ thống công nghệ hỗ trợ phát triển sớm gian lận định danh. Theo đó, hệ thống có thể nhận diện khách hàng từ thời điểm đăng ký dịch vụ; xác thực thông tin định danh khách hàng từ nhiều nguồn; quá trình được thực hiện nhanh chóng, thuận tiện trên các kênh số.

Cần sử dụng công nghệ AI – OCR hỗ trợ nhận dạng số hóa thông tin khách hàng; công nghệ AI – NLP nhận dạng chính xác tên, địa chỉ khách hàng (name matching); sử dụng Face ID hỗ trợ nhận dạng liveness; kiểm tra hình ảnh khách hàng trên các kênh khác nhau, so sánh trùng khớp với thông tin đăng ký; xác thực thông tin khách hàng qua video call; xây dựng chân dung, hành vi khách hàng dựa trên công nghệ Bigdata & Analytics.

Ông Lưu Trung Thái, Tổng Giám đốc MB Bank, đề xuất giải pháp là cơ quan có thẩm quyền cần cho phép việc kết nối cơ sở dữ liệu quốc gia với các nền tảng ngành ngân hàng, tăng dịch vụ và tính bảo mật, an ninh an toàn; đẩy mạnh chuẩn QR quốc gia VietQR, gia tăng cung cấp sản phẩm đến khách hàng eKYC để phòng ngừa rủi ro, tiếp cận đa dạng và thuận tiện sản phẩm ngân hàng; có cơ chế cho phép trích lập dự phòng xử lý rủi ro công nghệ.

Về mặt vĩ mô, ông Lê Anh Dũng, Phó Vụ trưởng phụ trách Vụ Thanh toán (Ngân hàng Nhà nước), cho biết: Ngân hàng Nhà nước luôn coi cải cách, hoàn thiện khuôn khổ pháp lý là nhân tố quan trọng trong chuyển đổi số của ngành nhằm gia tăng trải nghiệm cho người dùng, đảm bảo an ninh an toàn lợi ích cho người dân.

Từ nay đến năm 2030, Ngân hàng Nhà nước đặt ra mục tiêu đạt 50%-70% nghiệp vụ ngân hàng cho phép khách hàng thực hiện hòan toàn trên kênh số; 50-80% người trưởng thành sử dụng dịch vụ có tài khoản ngân hàng…

Để thúc đẩy, tạo điều kiện chuyển đổi số, Ngân hàng Nhà nước đã ban hành 2 thông tư hướng dẫn mở tài khoản thanh toán, phát hành thẻ bằng phương thức điện tử cho phép người dân trong điều kiện giãn cách nhưng vẫn mở tài khoản ngân hàng, giao dịch thanh toán bình thường.

Đến nay, tỷ lệ người dân trưởng thành có tài khoản thanh toán đạt gần 66%; đã có khoảng 3,4 triệu tài khoản và 1,3 triệu thẻ ngân hàng được mở mới trực tuyến, từ xa qua phương thức điện tử (eKYC).

Trong số 1,1 triệu khách hàng đăng ký sử dụng dịch vụ Mobile Money, có gần 660.000 là khách hàng ở nông thôn, miền núi, vùng sâu, vùng xa, biên giới, hải đảo.

Tính đến tháng 4/2022, giao dịch thanh toán không dùng tiền mặt tăng 69,7% về số lượng, 27,5% về giá trị; giao dịch qua Internet cũng tăng tương ứng 48,39% và 32,76%; qua điện thoại di động tăng tương ứng 97,65% và 86,68%; qua QR code tăng tương ứng 56,52% và 111,62% so với cùng kỳ năm 2021…

Theo Phó Thống đốc Ngân hàng Nhà nước Nguyễn Kim Anh, mặc dù đã đạt được những kết quả khả quan ban đầu trong việc chuyển đổi số, song ngành ngân hàng vẫn đứng trước những thách thức về bài toán đầu tư hiệu quả, sự thay đổi thường xuyên, liên tục về nhu cầu, thị hiếu của khách hàng và xu hướng tội phạm công nghệ cao với các thủ đoạn ngày càng tinh vi đến từ khắp nơi trên thế giới. Điều này đặt ra cho ngành ngân hàng nhiệm vụ phải chuyển đổi số một cách bài bản, có trọng tâm, trọng điểm với lộ trình cụ thể.