Những công nghệ sắp thay thế cho password truyền thống

Vụ mất 500 triệu: trách nhiệm và niềm tin

Trách nhiệm của ngân hàng và niềm tin của khách hàng sẽ như thế nào qua câu chuyện bỗng dưng bị mất 500 triệu đồng (nhưng thu lại được 300 triệu) trong tài khoản thẻ của chị Hoàng Thị Na Hương tại Vietcombank?

Giao dịch tại ngân hàng Vietcombank. Ảnh: TL

12 giờ ngày 3-8 chị Hương nạp vào tài khoản thẻ của mình 500 triệu đồng (dự định để ngày hôm sau thực hiện giao dịch). Tuy nhiên, sáng sớm ngày 4-8, chị nhận tin nhắn từ Vietcombank (qua điện thoại) thông báo số tiền của chị đã không cánh mà bay bởi các giao dịch Internet Banking. Tức thì chị Hương thông báo [và cả khiếu nại] vụ việc đến Vietcombank.

Nhưng mãi đến chiều 11-8 đại diện Vietcombank mới làm việc với chị Hương. Và chiều 12-8, Vietcombank có thông cáo chính thức về vụ việc. Trên cơ sở thông tin chị Hương cung cấp, Vietcombank cho rằng chị này đã dùng điện thoại cá nhân truy cập vào trang web giả mạo http://creatingacreator.com/kob/1/index.htm (ngày 28-7) nên thông tin và mật khẩu của chị bị đánh cắp.

Do đó, đêm ngày 3 rạng sáng 4-8, các đối tượng lừa đảo đã truy cập vào tài khoản của chị Hương để chuyển tiền tới nhiều tài khoản tại ba ngân hàng ở Việt Nam và đã rút 200 triệu đồng qua ATM ở Malaysia. Còn 300 triệu đồng do chưa kịp chuyển ra khỏi hệ thống Vietcombank nên được kịp thời khoanh giữ lại và đã trả lại cho chị Hương.

Hiện Vietcombank đang phối hợp với chị Hương làm việc với cơ quan chức năng để làm rõ các đối tượng thực hiện hành vi lừa đảo này. Tuy nhiên, vấn đề không chỉ chị Hương mà tất cả khách hàng của Vietcombank quan tâm là ai sẽ chịu trách nhiệm với số tiền 200 triệu bị mất, ngân hàng hay chị Hương?

Thông tin của Vietcombank có vẻ như "đổ lỗi" cho chị Hương - đã truy cập vào trang web giả mạo và bị mất mật khẩu tài khoản. Chị Hương cho biết đang rất hoang mang vì không biết tại sao tiền bị mất khi chị không hề nhận được tin nhắn chứa mã OTP (mật khẩu chỉ sử dụng một lần gửi tới chủ tài khoản qua điện thoại) từ Vietcombank để xác thực giao dịch khi đối tượng lừa đảo tiến hành giao dịch.

Bởi vì, muốn thực hiện một giao dịch chuyển tiền qua internet thành công cần qua rất nhiều bước như yêu cầu mã Capcha, nhập mã OTP qua SMS hoặc Smart OTP, khi đó trong vòng 5 phút nếu khách hàng không nhập vào giao dịch thì mã sẽ tự hủy và giao dịch không thực hiện được.

Luật sư Nguyễn Kiều Hưng, Hãng luật Giải phóng, cho rằng trong vụ việc này, Vietcombank phải có trách nhiệm bồi thường 200 triệu bị mất cho chị Hương. Bởi vì, khi nhận tiền gửi của khách, ngân hàng phải có nghĩa vụ áp dụng các biện pháp, đảm bảo tiền của khách không bị thất thoát. Khi triển khai áp dụng thanh toán điện tử, ngân hàng phải có công cụ đảm bảo chắc chắn người ra lệnh thanh toán là chủ tài khoản.

Theo quy chuẩn của quốc tế, thì bước xác nhận cuối cùng này là OTP (one time password), lệnh chuyển tiền chỉ có hiệu lực khi người đặt lệnh nhập đúng mã OTP vào hệ thống của ngân hàng. Với công cụ này, chủ tài khoản chỉ có thể bị rút trộm tiền, khi bị mất username, password và mất cả điện thoại.

Luật sư Hưng nhận định: "Vietcombank đã áp dụng OTP trong giao dịch trực tuyến nên tại thời điểm tiền bị đánh cắp, có thể OTP bị lỗi hoặc bọn trộm hack được cả OTP. Và, cả hai trường hợp này, lỗi đều thuộc về Vietcombank, nên ngân hàng phải có trách nhiệm bồi thường cho khách hàng".

Ở góc nhìn về an toàn mạng, chuyên gia phần mềm Trần Đào Anh, Chủ tịch Hội đồng quản trị Công ty DigiNet (chủ sở hữu phần mềm Lemon 3), nhận định về vụ việc này: "Tôi nghĩ phần mềm bảo mật của Vietcombank chưa được hoàn hảo nên đã bị kẻ gian lợi dụng".

Theo ông Anh, việc bảo mật chỉ với username và password có tính an toàn không cao trong khi sự an toàn trong các giao dịch liên quan đến tiền bạc cần sự an toàn tuyệt đối. Ông cho biết, ngay ở công ty ông, khi nhân viên vào mạng nội bộ, ngoài nhập username và password còn phải nhập thêm mã khác nhằm xác định thời gian truy cập.

Thiết nghĩ, từ vụ việc này Vietcombank cũng như các ngân hàng khác của Việt Nam cần chú ý hơn đến khâu bảo mật cũng như kiểm soát các giao dịch vào ban đêm. Và, cũng qua vụ việc này, nếu Vietcombank xử lý không khéo không chỉ khách hàng của Vietcombank sẽ quay lưng với mình mà nguy cơ tiền của người Việt đổ vào các ngân hàng nước ngoài là hoàn toàn có cơ sở.

Theo Kinh Tế Sài Gòn