Khách hàng cần làm gì để bảo mật tài khoản ngân hàng?
Tự bảo mật số tài khoản, tên đăng nhập, mật khẩu là trách nhiệm của khách hàng, nhưng hệ thống của ngân hàng cũng cần có các biện pháp bảo mật bổ sung để giảm thiểu rủi ro trong trường hợp khách hàng bị lộ dữ liệu cá nhân.
Khách hàng cần làm gì để bảo mật tài khoản ngân hàng?
Về trường hợp khách hàng H.T.N.Hương của Vietcombank bị mất trộm 500 triệu đồng trong tài khoản Internet Banking mới đây, khi chưa có kết luận cuối cùng của cơ quan điều tra, sẽ rất khó để xác định nguyên nhân dẫn đến việc tài khoản bị kẻ gian xâm nhập và chuyển tiền đi. Tuy nhiên, chúng ta có thể so sánh với các hệ thống ngân hàng khác trên thế giới để phần nào nhận định các khả năng.
Các ngân hàng trên thế giới vẫn dùng SMS OTP
So với các hệ thống ngân hàng khác trên thế giới, có thể thấy quy trình bảo mật theo các bước của dịch vụ VCB-iB@nking khá bài bản và tương đương, bao gồm quá trình đăng nhập bằng mật khẩu trên web kèm theo mã xác thực, yêu cầu mã OTP khi giao dịch trực tuyến (qua SMS hoặc ứng dụng Smart OTP trên điện thoại).
Các ngân hàng quốc tế trên thế giới đều phải tuân thủ tiêu chuẩn PCI DSS (Payment Card Industry Data Security Standard), trong đó có quy định các hình thức xác thực giao dịch bằng mật khẩu dùng một lần OTP (One Time Password).
Chia sẻ với VietNamNet, chuyên gia bảo mật Nguyễn Phố Sơn (hiện đang làm việc cho tập đoàn Microsoft tại Mỹ) cho biết hiện các ngân hàng trên thế giới vẫn đang sử dụng hình thức xác thực OTP bằng tin nhắn SMS, ứng dụng OTP trên điện thoại tương tự như Vietcombank. Thậm chí các ngân hàng của Đức còn dùng hình thức xác thực TAN, một dạng mã OTP được in sẵn trên giấy, mỗi lần sử dụng một mã.
Một số ý kiến nhận định xung quanh vụ việc tài khoản Vietcombank của chị Hương cho rằng có nguy cơ nạn nhân bị trộm mã xác thực OTP thông qua SMS bằng cách khai thác lỗ hổng SS7 (Signaling System #7) của các mạng viễn thông. Nhưng để thực hiện được, thủ phạm cần có trình độ bảo mật rất cao để xâm nhâp vào hệ thống mạng viễn thông của nhà mạng di động, từ đó chặn bắt nội dung tin nhắn SMS OTP gửi về điện thoại của nạn nhân để thực hiện giao dịch chuyển khoản.
Tuy nhiên, theo tường trình của chị Hương, điện thoại của chị không hề nhận được tin nhắn thông báo mã OTP nào trong đêm bị xâm nhập tài khoản, nhưng vẫn nhận được các tin nhắn SMS thông báo giao dịch hoàn tất.
Không dễ để lấy trộm mã OTP qua tin nhắn
Xét từ động cơ của thủ phạm trộm tiền chị Hương, việc thực hiện giao dịch chuyển tiền vào ban đêm nhằm chủ đích tránh việc chị Hương đọc được các tin nhắn thông báo giao dịch. Điều này cho thấy thủ phạm không thể ngăn chặn hệ thống gửi các tin nhắn thông báo này, cũng như không thể ngăn các tin nhắn báo mã OTP gửi tới máy chị Hương.
Do máy chị Hương không hề nhận được SMS báo mã OTP, nên giả thuyết thủ phạm khai thác lỗi SS7 để có mã OTP thực hiện giao dịch chuyển khoản cũng chưa thực sự thuyết phục.
Video đang HOT
Một khả năng khác là lỗi tiềm ẩn có sẵn trong ứng dụng OTP. Đây là một dạng phần mềm mã hóa cài trên điện thoại của khách hàng, khi cài đặt lần đầu cũng phải đăng ký và xác thực danh tính chủ tài khoản qua tin nhắn. Khi thực hiện giao dịch trực tuyến, hệ thống sẽ đưa ra một chuỗi mã kiểm tra OTP, khách hàng sẽ nhập chuỗi mã đó vào ứng dụng OTP trên điện thoại. Ứng dụng trên điện thoại sẽ giải mã chuỗi mã này và trả lại một mã OTP tương ứng duy nhất để có thể thực hiện giao dịch thành công.
Cơ sở để ứng dụng OTP hoạt động là với mỗi mã kiểm tra OTP của hệ thống, ứng dụng sẽ trả lại một mã duy nhất, và ứng dụng OTP của khách hàng này không thể giải mã cho giao dịch của khách hàng khác. Nhưng nếu cơ chế mã hóa của ứng dụng OTP không đủ mạnh và bị bẻ khóa” thì chuyện lấy được mã OTP là hoàn toàn có thể.
Một khả năng khác nữa, là tài khoản của chị Hương đã bị thủ phạm kích hoạt ứng dụng Smart OTP và cài lên một điện thoại khác mà chị Hương không hề biết. Nhưng để thực hiện được, thủ phạm vẫn cần biết mã kích hoạt gồm 4 chữ số được gửi qua tin nhắn SMS tới số điện thoại của chị Hương.
Khách hàng cần bảo mật tài khoản như thế nào?
Tương tự như với các tài khoản khác trên Internet, người dùng cần kiểm tra kỹ đường link và tên miền của website trước khi nhập thông tin tài khoản và mật khẩu đăng nhập. Việc hacker giả mạo các trang web đăng nhập vào hệ thống ngân hàng hay Gmail, Facebook… để lừa nạn nhân đăng nhập đã trở nên rất phổ biến, được biết đến với thuật ngữ phishing.
Người dùng cũng cần thường xuyên cập nhật các phần mềm diệt virus mới nhất trên máy tính và điện thoại di động của mình. Khi máy tính/điện thoại bị nhiễm virus, các phần mềm nghe lén (keylogger) có thể ghi lại mọi thao tác bấm phím của nạn nhân, bao gồm cả tên đăng nhập, mật khẩu, website đăng nhập… Khi có các dữ liệu này, hacker có thể dễ dàng chiếm tài khoản của nạn nhân.
Bảo mật tin nhắn cá nhân trên smartphone cũng là điều hiện ít được người dùng Internet banking lưu ý. Với chuỗi số xác thực 4 chữ số, thậm chí nếu điện thoại có khóa màn hình nhưng để chế độ thông báo có xem trước (preview nortification) vẫn có thể khiến người khác xem được trong lúc chủ máy rời xa điện thoại.
Ngoài ra, việc nâng cao ý thức bảo mật luôn là điều cần thiết. Khi nhận được tin nhắn lạ từ ngân hàng gửi tới điện thoại, người dùng cần cảnh giác và kiểm tra ngay tài khoản của mình chứ không nên bỏ qua.
Theo Vietnamnet
Chuyên gia An ninh mạng: VCB chưa minh định thông tin vụ mất tiền khách hàng
Các chuyên gia về bảo mật cho rằng Ngân hàng Ngoại thương Việt Nam (VCB) chưa minh định thông tin liên quan đến việc khách hàng bị mất tiền oan, và đằng sau vụ việc này có quá nhiều điều khó hiểu, và khó mà nói là VCB không liên đới trách nhiệm.
Một phòng giao dịch của Ngân hàng Vietcombank.
Ông Võ Đỗ Thắng, Giám đốc Trung tâm đào tạo Quản trị và An ninh mạng Athena, nhận định: đầu tiên là ngân hàng khi xảy ra sự cố mất khoản tiền 500 triệu đồng chỉ nhắc tới việc mấtusername (tên người dùng), password (mật khẩu) mà không đề cập tới yếu tố xác thực khi thực hiện giao dịch/chuyển tiền.
Trong trường hợp này, yếu tố xác thực bằng mã xác thực dùng một lần (OTP) là thông tin quan trọng nhất mà hacker phải có được nếu muốn lấy tiền từ tài khoản nạn nhân.
Phải chở VCB minh định thông tin
Ông Thắng giải thích: Cách dễ nhất là hacker phải chiếm được quyền điều khiển điện thoại nhận tin nhắn xác thực OTP từ ngân hàng. "Điều này theo tôi là khó xảy ra vì nạn nhân đang sử dụng điện thoại iPhone, vốn có yêu cầu bảo mật cao. Chỉ khi nào điện thoại di động của nạn nhân đã bị bẻ khoá (Jailbreak) thì mã độc mới có khả năng chiếm quyền điều khiển, đọc trộm tin nhắn SMS... Cách khó hơn là hacker phải tiến hành nghe lén tin nhắn xác thực OTP khi tin nhắn này được gửi từ ngân hàng tới nhà mạng hoặc từ nhà mạng tới thuê bao (tức nạn nhân mất tiền). Điều này cũng không đơn giản vì ngân hàng lẫn nhà mạng đều có hệ thống bảo mật."
Đồng thời, các chuyên gia bảo mật đều lưu ý một chi tiết rằng đại diện ngân hàng đã tiếp cận điện thoại di động của nạn nhân mất tiền, nếu phát hiện trong điện thoại có mã độc thì chắc chắn họ sẽ thông báo ngay.
Một số chuyên gia từ các công ty CNTT và bảo mật hàng đầu cũng khẳng định với TBKTSG Online rằng nguyên nhân chính xác việc mất tiền này chỉ có thể biết được khi Vietcombank công khai thông tin đầy đủ. Khó có thể bình luận sâu điều gì khi không có đủ thông tin.
Nếu Vietcombank không công khai thông tin cụ thể, rõ ràng đầy đủ về vụ việc thì việc phán đoán tình huống này hoàn toàn chỉ là giả định và có rất nhiều giả định được đặt ra.
Chuyên gia an ninh mạng của một công ty uy tín không muốn nêu tên cho biết, họ chỉ có thể biết được chính xác nguyên nhân khi Vietcombank công bố đầy đủ và rõ ràng thông tin về vụ việc. Còn không chỉ ở ngoài phán đoán mà không biết cụ thể vụ việc trên cơ sở theo dõi trên hệ thống công nghệ thông tin của Vietcombank thì có thể giả định rất nhiều tình huống khác nhau.
Tất nhiên, để không ảnh hưởng đến uy tín và hoạt động của ngân hàng, Vietcombank chỉ cho cơ quan điều tra tiếp cận hệ thống công nghệ (nếu được yêu cầu). Còn lại họ sẽ tìm cách "bảo vệ" uy tín cho ngân hàng mình trong vụ việc này do đó chỉ thông tin ngắn gọn về vụ việc. Do đó muốn biết nguyên nhân cụ thể thì phải chờ công an công bố.
Luật sư Trương Thanh Đức, Chủ tịch HĐTV Công ty luật Basico và là Trọng tài viên Trung tâm Trọng tài Quốc tế Việt Nam (VIAC), nói với TBKTSG Online hôm nay 13-8, rằng khi thực hiện các giao dịch ngân hàng trực tuyến, như dịch vụ Internet Banking, nếu khách hàng làm mất số tài khoản và mật khẩu, thì vẫn còn những tầng bảo mật khác, đặc biệt là mã xác thực OTP.
Các tầng bảo vệ khác nhau này được các ngân hàng đặt ra với mục đích cuối cùng là để xác định người thực hiện giao dịch là chủ của tài khoản. Nếu khách hàng chỉ đánh mất thông tin cá nhân là số tài khoản và mật khẩu mà từ đấy kẻ gian có thể vượt qua tầng bảo vệ cuối cùng thì có vẻ tầng bảo vệ của ngân hàng khá sơ hở, không đảm bảo an toàn tuyệt đối cho khách hàng. Nếu như vậy thì ngân hàng có thể phải chịu một phần trách nhiệm, Luật sư Trương Thanh Đức cho biết.
Luật sư Trương Thanh Đức cho rằng khách hàng và ngân hàng cần phải đám phán, thương lượng với nhau nếu ngân hàng thực sự có một phần lỗi khi hệ thống không hoàn hảo là một trong những nguyên nhân dẫn đến rủi ro cho khách hàng. Thậm chí, ngân hàng có thể xem xét đền bù đầy đủ số tiền khách hàng bị mất và kịp thời chấn chỉnh lỗ hổng bảo mật để tạo lòng tin cho khách hàng.
Trao đổi với TBKTSG Online, lãnh đạo một ngân hàng lớn có uy tín của Việt Nam cho hay, tại Việt Nam hiện ngân hàng là lĩnh vực được trang bị giải pháp bảo mật mạng tốt nhất hiện nay. Hầu hết các ngân hàng lớn đều trang bị các giải pháp bảo mật tốt nhất có thể. Tuy nhiên, không có ngân hàng nào dám đảm bảo hệ thống của mình là an toàn tuyệt đối. Và càng không có ngân hàng nào dám công khai nói rằng hệ thống đảm bảo an toàn.
Một vài giả thiết
Một chuyên gia bảo mật làm việc trong ngành ngân hàng nhận định về vụ mất tiền này: Nếu như hacker đã sử dụng cách thức xác thực qua ứng dụng (app) ngân hàng (Smart OTP) thì nạn nhân vẫn có thể bị mất tiền mà hacker không cần can thiệp vào điện thoại của nạn nhân. Ứng dụng Smart OTP (dùng để xác thực giao dịch) cho phép cài đặt ở một chiếc điện thoại khác, không cần phải cài đặt trên chiếc điện thoại gắn SIM/số điện thoại đăng ký với ngân hàng.
Tuy nhiên, giả thiết này lại đặt ra câu hỏi tại sao nạn nhân lại không hay biết việc thay đổi cách thức xác thực giao dịch (từ SMS OTP qua Smart OTP) vì hệ thống iBanking của ngân hàng sẽ gửi tin nhắn thông báo, yêu cầu chủ tài khoản xác nhận việc thay đổi cách thức xác thực giao dịch.
Một số chuyên gia bảo mật khác thì cho rằng giả thiết nạn nhân đã cung cấp mã xác thực OTP cho hacker ngay trên website giả mạo website của ngân hàng (thủ thuật tấn công Phishing) sẽ dễ thuyết phục hơn. Tuy nhiên, giả thiết này cũng cực kỳ khó xảy ra vì hacker không thể thay đổi số điện thoại di động nhận tin nhắn xác thực OTP sang một số điện thoại khác. Bởi vì, hiện nay hầu hết các ngân hàng chỉ cho phép khách hàng đổi số điện thoại di động nhận tin nhắn xác thực OTP tại phòng giao dịch; phải ra ngân hàng mới đổi số điện thoại được.
Theo giải đáp từ ngân hàng Vietcombank, có hai cách thức để thay đổi số điện thoại nhận mã xác thực OTP: Khách hàng có thể thay đổi số điện thoại theo hai kênh; dùng dịch vụ ngân hàng điện tử-Internet Banking hoặc yêu cầu đổi số điện thoại tại quầy giao dịch. Với kênh Internet Banking, khách hàng chọn mục "Đăng ký số điện thoại nhận OTP"; sau đó đổi số điện thoại.
Một giả thiết được những người nghiên cứu an ninh mạng đặt ra là chị Hương không mất username/password, thay vào đó là chính Vietcombank bị hacker tấn công chuyển khoản trong hệ thống nên không có OTP được gửi tới khách hàng (điều này khó xảy ra nhưng vẫn có thể); chị bị mất tiền nếu hacker đăng nhập vào website Vietcombank và kích hoạt tính năng Vietcombank Mobile B@nking. Bởi những người dùng ứng dụng di động này của Vietcombank đều có thể chuyển khoản không cần OTP.
Lần đầu kích hoạt ứng dụng, Vietcombank sẽ gửi mã xác thực qua SMS tới số điện thoại đăng ký dịch vụ.
Hôm 12-8, theo Vietcombank, chị Hoàng Thị Na Hương trước đó đã thông báo với ngân hàng về việc tài khoản bị mất số tiền 500 triệu đồng vào đêm ngày 3-8 rạng sáng ngày 4-8. Sau khi nhận được thông báo của bà Hương, Vietcombank đã có buổi làm việc với khách hàng vào chiều ngày 11-8-2016, cùng tham gia có luật sư (do khách hàng mời).
Trên cơ sở thông tin do bà Hương cung cấp, Vietcombank cho biết có cơ sở để xác định khách hàng đã truy cập vào một trang web giả mạo có địa chỉ http://creatingacreator.com/kob/1/index.htm vào ngày 28-7-2016 qua máy điện thoại cá nhân.
Theo Vietcombank, tại buổi làm việc, đại diện Vietcombank đã hướng dẫn cho khách hàng tự kiểm tra lại máy điện thoại cá nhân và phát hiện ra địa chỉ trang web giả mạo vẫn lưu trên máy của khách hàng. Vietcombank cho rằng, việc mất tiền trong tài khoản xảy ra vì khách hàng bị đánh cắp thông tin tài khoản do trước đó đã truy cập và khai báo thông tin trên đường link giả mạo website của ngân hàng.
Từ việc truy cập này, thông tin và mật khẩu của khách hàng đã bị đánh cắp, sau đó tài khoản khách hàng đã bị lợi dụng vào đêm ngày 3-8 rạng sáng ngày 4-8-2016. Các đối tượng lừa đảo đã chuyển tiền từ tài khoản khách hàng tới nhiều tài khoản trung gian tại 3 ngân hàng khác nhau tại Việt Nam.
Sau đó, đối tượng lừa đảo đã rút 200 triệu đồng qua ATM ở Malaysia. Vietcombank đã xử lý các biện pháp khẩn cấp, kịp thời khoanh giữ lại được 300 triệu đồng. Đây là các giao dịch chuyển khoản sang ngân hàng khác, chưa kịp chuyển ra khỏi hệ thống Vietcombank.
Vietcombank cho biết đang phối hợp với khách hàng để làm việc với cơ quan chức năng nhằm làm rõ các đối tượng đã thực hiện hành vi lừa đảo này. Khách hàng đã đồng ý sẽ cung cấp máy điện thoại có lưu đường link giả mạo để tiếp tục làm việc với cơ quan chức năng.
Theo Thời Báo Kinh Tế Sài Gòn
Bộ trưởng Giao thông: Cơ quan điều hành bay không được chủ quan về an ninh mạng Các đơn vị hàng không được yêu cầu nâng cao ý thức, đầu tư nhân lực và trang thiết bị để đảm bảo an toàn, an ninh mạng hàng không. Tại cuộc họp Ủy ban An toàn giao thông Quốc gia chiều 3/8, Bộ trưởng Giao thông vận tải Trương Quang Nghĩa nhận định vụ tin tặc tấn công sân bay vừa qua...