Giải pháp "vá" lỗ hổng bảo mật trong ngân hàng

Thời gian gần đây, tình hình tội phạm sử dụng công nghệ cao chiếm đoạt tài sản qua tài khoản ngân hàng đang có những diễn biến phức tạp, khiến các cơ quan chức năng cần có những giải pháp mạnh mẽ hơn để ngăn chặn loại tội phạm này.

Tội phạm mang tính chất quốc tế

Từ những vụ án xảy ra trong thời gian gần đây nhận thấy, các thủ đoạn phổ biến của loại tội phạm này là sản xuất, sử dụng thẻ giả để rút tiền ở các máy ATM, thanh toán hàng hóa, dịch vụ; sử dụng phần mềm vi rút gián điệp để đánh cắp và mua bán thông tin thẻ tín dụng; xâm nhập phần mềm của doanh nghiệp để đánh cắp hợp đồng mua bán với khách hàng.

Sau đó tạo lập địa chỉ email giả mạo và gửi email yêu cầu doanh nghiệp mua hàng chuyển tiền thanh toán vào tài khoản ngân hàng do chúng lập ra để chiếm đoạt.

Thực tế qua nhiều vụ việc, đối tượng phạm tội che dấu tung tích đối với người bị hại, do quá trình thực hiện hành vi phạm tội, đối tượng phạm tội không cần có một giao tiếp trực tiếp nào đối với cá nhân hoặc cơ quan, tổ chức bị hại.

Đồng thời, có trường hợp người bị hại không xác định được thiết bị điện tử, thiết bị số hay hệ thống thông tin của mình đã bị tấn công, thâm nhập, sao dữ liệu... như thế nào.

Bên cạnh đó, tội phạm có trình độ công nghệ thông tin chuyên sâu, thực hiện trên không gian mạng có thể ở mọi nơi nhưng lại gây ra hậu quả trên phạm vi toàn cầu với thủ đoạn tinh vi. Vì vậy, cơ quan chức năng rất khó xác định chủ thể để truy nguyên, bắt giữ, điều tra, xử lý bởi rào cản về không gian mạng và lãnh thổ.

Theo bà Nguyễn Quỳnh Lan, Phó trưởng Phòng 3 Viện Kiểm sát nhân dân Tp. Hồ Chí Minh, đây là dạng tội phạm mang tính quốc tế. Thường số lượng thẻ giả mà đối tượng sử dụng rất lớn và thực hiện rút nhiều lần, mỗi lần rút số tiền nhỏ để tránh bị phát hiện.

Điển hình như vụ Stoyanov Yuliyan Georgivev (quốc tịch Bulgaria) sử dụng 144 thẻ ATM giả, thực hiện 388 lần giao dịch rút tiền qua máy ATM; vụ Kuznetcov Stanislav Dmitrievich (quốc tịch Nga) sử dụng 32 thẻ, rút 165 lần…

Trong các vụ chiếm đoạt thông tin cá nhân thẻ tín dụng cũng mang yếu tố quốc tế, như vụ Nguyễn Thanh Sơn, Hồ Hoàng Khang và Hồ Văn Anh sử dụng mạng internet lấy cắp thông tin thẻ tín dụng để mua hàng qua các trang web trực tuyến tại Mỹ sau đó vận chuyển về Việt Nam tiêu thụ.

Ngoài ra, tình hình tội phạm gốc Phi lừa đảo chiếm đoạt tài sản bằng hình “bẫy tình” hoặc nhóm tội phạm người Đài Loan (Trung Quốc) giả danh cơ quan chức năng nổi lên thời gian qua cũng một phần là do nhiều ngân hàng chủ trương phát triển dịch vụ thanh toán qua thẻ nhưng lại lỏng lẻo trong quản lý đăng ký mở tài khoản và cấp phát thẻ cho khách hàng.

Đánh giá về hiện tượng này, Thượng tá Vũ Như Hà, Trưởng phòng Cảnh sát điều tra tội phạm về trật tự quản lý kinh tế và chức vụ (PC46)- Công an Thành phố Hồ Chí Minh cho biết, việc này tạo điều kiện cho các đối tượng lợi dụng sử dụng chứng minh nhân dân giả mạo để đăng ký mở tài khoản.

Thậm chí có vụ cùng một đối tượng liên hệ mở nhiều tài khoản đứng tên nhiều người khác nhau tại cùng một chi nhánh ngân hàng nhưng vẫn được ngân hàng chấp nhận. Từ đó đã cung cấp một lượng lớn thẻ thanh toán để các đối tượng sử dụng thực hiện hành vi phạm tội.

Giải pháp "vá" lỗ hổng bảo mật

Tại Việt Nam, mức độ thâm nhập của internet cao hơn khá nhiều so với mức trung bình của các nước trong khu vực với sự bùng nổ internet trên mobile. Đơn cử, tỷ lệ thâm nhập smartphone trên tổng dân số năm 2016 đạt 60%, tỷ lệ thâm nhập internet ước đến năm 2020 đạt khoảng 70%. Internet phát triển và sự gia tăng thâm nhập internet kéo theo sự phát triển của dịch vụ Internet banking.

Kết quả nghiên cứu của Tập đoàn Bkav cho thấy thực trạng đáng báo động, có 40% website tại Việt Nam tồn tại lỗ hổng và mỗi tháng có hơn 300 website bị tấn công. Riêng lĩnh vực ngân hàng có khoảng 30% website các ngân hàng ở Việt Nam có lỗ hổng.

Hiện nay, một số chương trình phần mềm đang hoạt động vẫn có những lỗ hỏng nghiêm trọng và các đối tượng tội phạm công nghệ cao thường tập trung khai thác các lỗ hổng bảo mật này để thâm nhập, tấn công, thực hiện các hành vi phạm tội.

Trong khi đó, các chuyên gia đánh giá nhiều tổ chức, doanh nghiệp có những trang mạng hoặc hoạt động kinh doanh trên mạng hiện nay vẫn chưa quan tâm đúng mức đến giải pháp bảo mật một cách tổng thể cũng như bảo mật thông tin cá nhân của ngân hàng và khách hàng.

Các chuyên giả chỉ ra rằng, có một thực tế tại Việt Nam là việc tìm mua thông tin của khách hàng tiềm năng như trong lĩnh vực tài chính ngân hàng hoặc khách hàng VIP có thu nhập cao... ngày càng trở nên dễ dàng. Các thông tin này, được chào bán qua thư điện tử hoặc đăng tải công khai trên các website quảng cáo, tiếp thị...

Ghi nhận ý kiến của đại diện một số ngân hàng cho thấy, mỗi ngân hàng thương mại đều phải đối mặt với rất nhiều những loại rủi ro khác nhau như rủi ro thị trường, thanh khoản, lãi suất, tỷ giá.... Tuy nhiên, với đặc thù của dịch vụ ngân hàng điện tử hoạt động dựa trên nền tảng công nghệ nên luôn tiềm ẩn nguy cơ rủi ro; trong đó chủ yếu là rủi ro hoạt động với gian lận bên ngoài chiếm tỷ lệ cao.

Theo Tiến sỹ Nguyễn Danh Lương, Ủy viên Hội đồng quản trị, Phó Tổng giám đốc Ngân hàng Thương mại cổ phần Ngoại Thương Việt Nam, trước thực trạng tội phạm công nghệ ngày càng gia tăng với thủ đoạn ngày càng tinh vi, ngân hàng cần phát triển áp dụng các giải pháp đồng bộ từ nâng cao an toàn bảo mật hệ thống cho đến công tác truyền thông hướng dẫn khách hàng sử dụng sản phẩm, dịch vụ đảm bảo an toàn.

Trong đó, ngân hàng nên ưu tiên nghiên cứu áp dụng các chuẩn mực quốc tế đối với hệ thống thanh toán và an ninh, bảo mật như ISO 27001 cho hệ thống công nghệ thông tin; đồng thời, tăng cường triển khai các giải pháp cảnh báo, nhận diện sớm những giao dịch nghi ngờ gian lận.

Bên cạnh những giải pháp của ngân hàng, Tiến sỹ Nguyễn Danh Lương cho rằng, bản thân khách hàng và người dân phải chủ động nâng cao hiểu biết và ý thức trong sử dụng sản phẩm, dịch vụ để tự bảo vệ quyền lợi cũng như tài sản của cá nhân.

Trong đó, người dân tuyệt đối không mở tài khoản và đăng ký sử dụng dịch vụ ngân hàng điện tử cho người khác sử dụng, tuân thủ nguyên tắc sử dụng dịch vụ an toàn để đăng nhập dịch vụ chỉ truy cập vào website chính thức của ngân hàng.

Khi nhận tin nhắn OTP (mã số xác thực) nhằm thực hiện giao dịch cần xem kỹ nội dung tin nhắn, luôn đăng xuất khỏi các ứng dụng dịch vụ ngân hàng điện tử sau khi sử dụng./.

>>> Cách bảo vệ tài khoản ngân hàng khi phát hiện thẻ bị rút ruột