BNEWS "Tin tặc có thể dễ dàng “trộm” tiền trong tài khoản, đôi khi không phải bằng cách khai thác lỗ hổng bảo mật ngân hàng, mà do chính thói quen giao dịch trực tuyến của chủ thẻ".
Đây là nhận định của chuyên gia bảo mật Hồ Đức Dũng trong cuộc trao đổi với phóng viên BNEWS liên quan tới những vụ mất tiền trong tài khoản liên tiếp xảy ra thời gian qua.
Tin tặc "trộm" tiền từ chính thói quen giao dịch của chủ thẻ
Bằng cách nào khi thẻ còn trong ví, thậm chí, thẻ đang được ngân hàng giữ mà kẻ tấn công vẫn có thể "rút ruột" để giao dịch, chuyển khoản, thanh toán... là câu hỏi của không ít khách hàng khi những vụ mất tiền xảy ra với tần suất ngày càng tăng trong khoảng 2 năm trở lại đây.
Theo ông Hồ Đức Dũng, nguyên nhân dẫn đến sự cố mất tiền này ngoài yếu tố từ ngân hàng còn có khả năng lớn đến từ chủ thẻ.
Một số khách hàng có thói quen ký khống giấy tờ giao dịch với tư tưởng rằng sẽ giúp giảm thời gian giao dịch cũng như đi lại sau này mà không lường tới việc chính thói quen này lại tạo cơ hội cho kẻ gian dễ dàng chôm tiền bất cứ lúc nào.
"Nguyên nhân chính dẫn tới 95% các vụ tấn công "rút ruột" tài khoản đều đến từ thói quen giao dịch trực tuyến của khách hàng", ông Dũng cho biết.
Điều này không khó lý giải, bởi khi mua hàng trực tuyến, chủ thẻ sẽ phải nhập các thông tin cá nhân cần thiết về số tài khoản, mã PIN... hay thậm chí, chỉ cần số CVV/CVC ở mặt sau của thẻ tín dụng. Các thông tin này đều được lưu giữ tại website mua hàng.
Và khi tin tặc tấn công website, chúng có thể chiếm được toàn bộ các thông tin đó.
Ngoài ra, khách hàng cũng có nguy cơ truy cập vào các website giả mạo. Tin tặc sẽ thực hiện phương thức này bằng cách mua các tên miền website có địa chỉ tương tự với website chính thức (có thể chỉ cần khác một ký tự) hoặc thiết kế giao diện giống hệt với website thật khiến người dùng nhầm tưởng và vô tư nhập các thông tin cá nhân vào đó. Tất nhiên, tất cả dữ liệu này đều bị chúng kiểm soát.
Nhận định về việc một khách hàng mới đây bị mất tiền trong tài khoản mà các giao dịch nghi ngờ giả mạo đều đến từ các trang đặt vé máy bay trực tuyến, ông Dũng cho rằng, khách hàng có khả năng đã bị lộ thông tin tài khoản cá nhân khi thực hiện các giao dịch trực tuyến trước đó hoặc bị lộ thông tin mặt trước và mặt sau (số CVV/CVC) của thẻ visa nên trong trường hợp này, khó có thể kết luận lỗi do ngân hàng.
Mã OTP bị đánh cắp thế nào?
Trên thực tế, để có được số định danh (ID) của tài khoản sử dụng Internet Banking và mật khẩu (password) không hề khó.
Nhưng theo ông Dũng, nếu chỉ đơn giản là các dữ liệu này thì tiền trong ngân hàng có lẽ đã "không cánh mà bay hết rồi".
Vậy điều gì làm khó các hacker, câu trả lời nằm ở chính mã xác thực một lần (OTP - One-Time Password).
Hiện nay, mã OTP được các ngân hàng tại Việt Nam cung cấp chủ yếu theo 2 phương thức là tin nhắn điện thoại SMS và thẻ cứng (thẻ bảo mật RSA hay Token Key).
Trong đó, phương thức xác thực OTP qua thẻ cứng được đánh giá là an toàn và có tính bảo mật cao hơn do tin nhắn SMS hoàn toàn có thể bị trộm hay chuyển hướng.
Tin tặc có thể lợi dụng cài lén một loại virus mang tên Mobile Trojan vào thiết bị di động của nạn nhân thông qua các tệp tin hay những đường link gắn mã độc.
Từ đó, chúng sẽ lấy được mọi dữ liệu trên thiết bị và tất nhiên bao gồm cả SMS có chứa mã OTP.
Hay một cách khác đơn giản hơn, kẻ gian có thể làm giả sim điện thoại của chủ tài khoản, tức là cùng một đầu số điện thoại sẽ xuất hiện 2 sim khác nhau.
Khi đó, SMS sẽ được gửi đồng thời tới cả 2 sim. Như vậy, kẻ gian đã dễ dàng nắm được mã xác thực để giao dịch, ông Dũng giải thích.
Tuy nhiên, theo kinh nghiệm lâu năm trong lĩnh vực bảo mật của ông Dũng, các phương thức đánh cắp SMS này chủ yếu mới xuất hiện ở nước ngoài và nhằm mục đích chính trị hơn là tấn công ngân hàng.
Khách hàng cần làm gì để tự bảo vệ tài khoản của mình?
Sẽ không nói quá nếu khẳng định phần lớn người dùng thẻ tín dụng quốc tế đều có nguy cơ bị tấn công.
Ông Dũng cho biết, ở nước ngoài, các ngân hàng sẽ khoanh vùng địa chỉ IP (Internet Protocol) của khách hàng.
Nếu có phát sinh giao dịch tại địa chỉ IP lạ thì ngân hàng sẽ tạm ngưng giao dịch để kiểm chứng lại thông tin từ chủ thẻ.
Còn tại Việt Nam, hiện chưa có ngân hàng nào áp dụng biện pháp này để bảo vệ tài khoản khách hàng. Do đó, không có cách bảo mật nào tốt bằng chính sự cẩn thận của chính người dùng.
Ngoài việc không cho người khác mượn thẻ, cất giữ thẻ cẩn thận, thường xuyên thay đổi mã PIN, khách hàng không nên để số tiền quá lớn trong thẻ ATM hoặc đặt hạn mức thấp nhất có thể cho thẻ tín dụng.
Bởi khác với thẻ ATM, thẻ tín dụng chi trước trả sau với hạn mức được cấp hàng tháng gấp 3-4 lần thu nhập, tức là số tiền được dùng hoặc bị mất lên tới vài chục triệu đồng.
Bên cạnh đó, chủ thẻ nên chủ động ngừng kích hoạt dịch vụ Internet Banking khi không có nhu cầu sử dụng và kích hoạt trở lại khi cần dùng. Đây cũng là một biện pháp hiệu quả để bảo vệ tài khoản.
Tin liên quan
Các vụ mất tiền trong tài khoản: Hé lộ lỗ hổng bảo mật của ngân hàng?
Việc thẻ ATM DongA Bank của anh Nguyễn Minh Dương mới đây bị mất 129 triệu đồng trong tài khoản trong lúc chiếc thẻ vẫn đang được ngân hàng giữ phải chăng đã hé lộ lỗ hổng trong bảo mật ngân hàng.
Tin cùng chuyên mục
-
Ngân hàngBáo cáo đầu tiên của tân Chủ tịch Fed: Lạm phát vẫn là nỗi lo
Báo cáo cũng dành sự quan tâm tới diễn biến cung tiền - nội dung hiếm khi được Fed nhắc tới trong gần một thập niên qua.
-
Ngân hàngĐồng USD biến động nhẹ giữa căng thẳng Trung Đông
Chỉ số đồng USD (DXY), thước đo sức mạnh của đồng bạc xanh so với rổ sáu đồng tiền chủ chốt, chỉ nhích khoảng 0,03-0,05%. Tính chung cả tuần, đồng bạc xanh tăng khoảng 0,1%.
-
Ngân hàngAgribank chào bán 15.000 tỷ đồng trái phiếu ra công chúng
Nhà đầu tư là các tổ chức, cá nhân Việt Nam và nước ngoài có thể đăng ký mua trái phiếu Agribank từ ngày 10/7/2026 đến ngày 31/7/2026 tại Trụ sở chính và tất cả các điểm giao dịch của Agribank.
-
Ngân hàngTỷ giá hôm nay 10/7: Giá USD diễn biến trái chiều
Tại các ngân hàng thương mại lúc 8h35, tỷ giá USD hôm nay điều chỉnh trái chiều khi giảm ở chiều mua vào nhưng tăng nhẹ ở chiều bán ra.
-
Ngân hàngMỹ xúc tiến cải tổ hoạt động của Fed
Quy tụ nhiều chuyên gia hàng đầu, các tổ công tác sẽ rà soát toàn diện chiến lược truyền thông, bảng cân đối kế toán và khuôn khổ chính sách của Fed.
-
Ngân hàngMB trở thành ngân hàng Việt đầu tiên sở hữu chứng nhận SOC 2 Type II
Ngân hàng TMCP Quân đội (MB) trở thành ngân hàng đầu tiên tại Việt Nam đạt chứng nhận quốc tế SOC 2 Type II, khẳng định năng lực quản trị, bảo mật và vận hành dịch vụ số theo chuẩn toàn cầu.
-
Ngân hàngVPBank "cập bến" Ninh Kiều: Tiên phong đưa tài chính số hòa cùng nhịp sống Tây Đô
Sau chuỗi hoạt động thu hút đông đảo khách tham gia tại TP.HCM, Hà Nội và Bắc Ninh, hành trình "VPBank tới rồi, mở 'lời' ngay thôi" sẽ chính thức đến thành phố Cần Thơ vào hai ngày 11 và 12/7.
-
Ngân hàngTăng vốn điều lệ Agribank: Đòn bẩy để tiếp tục dẫn dắt dòng vốn cho nền kinh tế
Sau khi được Chính phủ, Ngân hàng Nhà nước đầu tư bổ sung vốn điều lệ, tổng số vốn điều lệ của Agribank sẽ tăng lên 81.328 tỷ đồng.
-
Ngân hàngTỷ giá hôm nay 9/7: Giá USD tiếp tục nhích lên
Tại Vietcombank và BIDV, giá mua vào đồng USD hôm nay được niêm yết ở mức 26.111 VND/USD, tăng 5 đồng so với phiên trước; giá bán ra cũng tăng 5 đồng, lên 26.471 VND/USD.









