Mật khẩu dễ đoán nhất thế giới

Đau đầu đối phó với lừa đảo chiếm đoạt tiền trong tài khoản ngân hàng

Thủ đoạn lừa đảo của các đối tượng ngày càng tinh vi trong khi việc cơ quan chức năng đưa ra cảnh báo là chưa đủ và nguyên nhân vẫn chủ yếu xuất phát phía khách hàng tự để lộ thông tin...

Ảnh minh họa

Trong thời đại công nghệ 4.0, một số nghiệp vụ của ngân hàng có thể thực hiện song song cả trực tiếp và trực tuyến (qua mạng internet hoặc qua tổng đài) nhằm tạo ra sự thuận tiện cho khách hàng. Thế nhưng, sự hiện đại này đôi khi lại mang đến rắc rối.

CÁC PHƯƠNG THỨC LỪA ĐẢO LIÊN TỤC THAY ĐỔI

Trên dòng thông tin gần đây xuất hiện trường hợp, khách hàng gửi tiết kiệm online tại một ngân hàng thương mại cổ phần trụ sở tại Hà Nội khiếu nại bị mất 2,1 tỷ đồng trong tài khoản.

Theo thông tin ban đầu, vị khách hàng này bị kẻ gian gọi điện thoại và tự xưng là nhân viên nhà mạng đề nghị hỗ trợ nâng cấp SIM điện thoại rồi kích hoạt SIM điện tử (ESIM) trên điện thoại. Sau đó, tổng đài tự động của ngân hàng nhận được cuộc gọi từ số SIM đã đăng ký dưới tên khách hàng yêu cầu cấp lại tên đăng nhập Internet Banking, được gửi về email mà khách hàng đã đăng ký trước đó.

Tiếp đến, kẻ gian đăng ký báo quên mật khẩu và yêu cầu cung cấp lại mật khẩu đăng nhập mới rồi chiếm đoạt thông tin tài khoản của khách hàng. Với chiêu thức này, kẻ gian đã tất toán sổ tiết kiệm online của khách hàng mở tại ngân hàng nói trên.

Một vài thủ đoạn cũng đã bắt đầu hiện hữu. Ví dụ như lợi dụng trí tuệ nhân tạo để xây dựng các kịch bản lừa đảo tự động, mạo danh các định chế tài chính. Đáng nói, với tốc độ phát triển công nghệ tự động như hiện nay thì quy mô lừa đảo sẽ tác động đến hàng trăm ngàn đến hàng triệu người chứ không phải chỉ vài chục ngàn người như hiện nay.

Ông Trương Đức Lượng, Chủ tịch Công ty cổ phần An ninh mạng Việt Nam (VSEC).

Thật ra, vụ việc liên quan đến việc mất tiền trong tài khoản vì bị chiếm đoạt SIM điện thoại là không mới và không hiếm. Hồi tháng 3/2022, Bộ Công an phát đi thông cáo, tại một số địa phương trong đó có thành phố Đà Nẵng, nổi lên hiện tượng các đối tượng tội phạm thực hiện thủ đoạn lừa chiếm đoạt quyền sử dụng SIM điện thoại cá nhân.

Cụ thể, đối tượng thu thập thông tin cá nhân của bị hại, những thông tin này do lộ lọt, mua bán trên không gian mạng... Lợi dụng thông tin mua được cùng chính sách dịch vụ của các nhà mạng di động cho phép thuê bao di động được chuyển hướng cuộc gọi đến một số điện thoại khác, từ đó chúng chiếm đoạt mật khẩu tài khoản ngân hàng, ví điện tử, tài khoản mạng xã hội... để chiếm đoạt tài sản.

Đến tháng 6/2022, Công an quận Hà Đông phối hợp với Phòng Cảnh sát hình sự - CATP Hà Nội và Cục An ninh mạng và phòng chống tội phạm công nghệ cao (Bộ Công an) triệt xóa đường dây sử dụng tài liệu giả của cơ quan, tổ chức chiếm đoạt khoảng 10 tỷ đồng trong tài khoản ngân hàng của người dân.

Thủ đoạn cũng là chiếm đoạt SIM điện thoại nhưng các đối tượng đã có sự đầu tư hơn. Theo đó, thay vì chỉ lừa chuyển hướng cuộc gọi, các đối tượng đã bỏ ra nhiều triệu đồng để dùng chứng minh thư nhân dân giả xin cấp lại SIM điện thoại.

Sau đó, các đối tượng lắp SIM vào điện thoại, tải ứng dụng chuyển tiền của ngân hàng, xin cấp lại mật khẩu tài khoản ngân hàng rồi đăng nhập vào tài khoản chuyển khoản. Thậm chí, toàn bộ tiền trong tài khoản của chủ tài khoản được đưa đến hàng loạt tài khoản trung gian, mua bán tiền ảo để thực hiện việc rửa tiền, tránh sự phát hiện của các cơ quan chức năng.

NGƯỜI DÙNG PHẢI TỰ BẢO VỆ

Quay lại với vụ việc bị chiếm đoạt 2,1 tỷ đồng nói trên, dù thủ đoạn không mới nhưng có 2 yếu tố khiến thị trường quan tâm.

Thứ nhất, vị khách hàng bị chiếm đoạt SIM điện thoại qua việc cấp lại ESIM từ tháng 1/2022 mà đến tận tháng 8/2022 chưa phát hiện ra và vẫn yêu cầu ngân hàng thanh toán khoản tiền tiết kiệm.

Thứ hai, tại sao ngân hàng cung cấp lại mật khẩu qua điện thoại.

Trao đổi về yếu tố thứ nhất với VnEconomy, một giám đốc chi nhánh nhà mạng viễn thông lớn tại Hải Phòng cho hay, việc cấp lại SIM hoặc chuyển đổi sang từ SIM vật lý sang ESIM gồm rất nhiều bước xác thực như: Phải đến trực tiếp đại lý/chi nhánh nhà mạng; phải cung cấp giấy tờ xác minh là chủ SIM điện thoại; xác minh định danh điện tử (eKyc); cung cấp số điện thoại liên lạc gần đây...

Theo đó, các thủ tục này diễn ra nghiêm tục tại chi nhánh chính hãng. Tuy nhiên, tại một số đại lý ủy quyền, quy trình có thể bị bóp méo do nhân viên đại lý trục lợi. Hoặc do khách hàng tự làm lộ thông tin cá nhân và đối tượng phạm tội làm giả giấy tờ quá chuyên nghiệp khiến nhân viên đại lý khó phân biệt.

Riêng với thủ tục cung cấp những số liên lạc gần nhất, do nhân viên đại lý cũng không có quyền tra cứu danh sách mà chỉ được phép kiểm tra tính đúng/sai về thông tin khách hàng cung cấp. Do đó, các đối tượng tội phạm sẽ dùng một vài số điện thoại lạ để nháy máy, nếu người dùng gọi điện lại thì đây là thông tin để cấp lại SIM mới.

"Ngoài ra, việc khách hàng không phát hiện ra việc bị đánh cắp thông tin điện thoại có thể do các đối tượng đăng ký sử dụng MultiSIM. Hiểu đơn giản, dịch vụ này cho phép người dùng có thể sử dụng 1 số điện thoại bằng nhiều SIM trên nhiều thiết bị khác nhau", vị giám đốc nhà mạng này giải thích.

Tại yếu tố thứ hai, dưới góc nhìn của người làm công nghệ, một chuyên viên IT cấp cao của ngân hàng thương mại cổ phần cho hay, thông thường, ngân hàng luôn khuyến khích khách hàng sử dụng nhiều lớp bảo mật trong xác thực giao dịch, bao gồm sử dụng ứng dụng bên thứ ba. Khi đó, nếu khách hàng bị chiếm đoạt SIM điện thoại từ xa thì các đối tượng xấu cũng không thể thực hiện giao dịch chuyển tiền.

Mặt khác, với các yêu cầu cung cấp lại mật khẩu giao dịch hoặc mật khẩu tài khoản, hầu hết các ngân hàng đều thực hiện qua phương thức eKyc. Mà điều này thì rất khó có thể làm giả, bởi đều thực hiện thông qua máy móc và công nghệ trí tuệ nhân tạo (AI).

Tuy nhiên, vị chuyên viên này cũng nêu ra thực tế. Đó là các cách xác thực này vẫn phải phụ thuộc vào yếu tố chủ quan của khách hàng, tức phải được khách hàng chấp thuận.

Trong trường hợp không được khách hàng đồng ý sử dụng công nghệ mới, ngân hàng buộc phải xác thực bằng phương thức truyền thống đến trực tiếp phòng giao dịch hoặc qua điện thoại (phone banking). Với qua điện thoại, khách hàng phải cung cấp đúng số tài khoản; đúng căn cước công dân; các giao dịch gần nhất; đặc biệt mật khẩu mới chỉ được hỗ trợ chuyển về điện thoại hoặc email đã đăng ký trước đó...

Song, cách xác thực bằng truyền thống rất dễ đánh cắp. Bởi lẽ, thông tin cá nhân của người dùng từ số điện thoại, ngày sinh, căn cước công dân, địa chỉ nhà, email... rất dễ bị lộ và được rao bán qua nhiều kênh khác nhau. Khi đó, nếu bị chiếm thêm quyền sử dụng SIM điện thoại thì ngân hàng rất khó để phát hiện giao dịch bất thường.

"Tôi cam đoan, quy trình tại các ngân hàng không có vấn đề. Đối tượng xấu tấn công ngân hàng không khác nào tấn công bức tường. Đồng thời, nếu ngân hàng có lỗ hổng thì sẽ không chỉ một vài trường hợp mất tiền mà số nạn nhân phải lên tới hàng nghìn, hàng triệu người. Mấu chốt vẫn là người dùng để lộ thông tin tài khoản, thông tin cá nhân", vị chuyên viên ngân hàng nhấn mạnh và khuyến nghị: "Người dùng nên bật chế độ thông báo của các ứng dụng ngân hàng. Bởi, mỗi tài khoản chỉ được đăng nhập trên một app tại một thiết bị nhất định (trust device). Nếu bị chiếm đoạt SIM điện thoại, kẻ gian vẫn buộc phải gọi lên tổng đài yêu cầu xác thực và đăng xuất trên thiết bị cũ. Hoạt động này sẽ có thông báo lên trên màn hình điện thoại của khách hàng".

Theo Luật sư Phạm Thanh Dạ Quỳnh, Đoàn Luật sư thành phố Hà Nội, cơ quan chức năng đang rất đau đầu khi đối phó với vấn nạn lừa đảo, chiếm đoạt tiền trong tài khoản ngân hàng. Bởi thủ đoạn của các đối tượng ngày càng tinh vi. Trong khi, việc đưa ra cảnh báo là chưa đủ và nguyên nhân vẫn xuất phát chủ yếu từ việc khách hàng tự để lộ thông tin.

"Về vấn đề bồi hoàn, nếu các bên chưa thỏa thuận được thì nên đợi kết luận của cơ quan chức năng. Song ngân hàng cũng phải xử lý rất khéo. Nếu đẩy hết phần thiệt cho khách hàng thì nguy cơ người dân quay lưng với ngân hàng là rất cao", luật sư Quỳnh lưu ý.