Cảnh báo hình thức lừa đảo giả trang web ngân hàng

Ngân hàng Nhà nước (NHNN) hôm 8-9 tổ chức hội nghị trực tuyến với 64 tỉnh thành nhằm đánh giá tình hình cũng như tìm giải pháp để tăng cường an ninh, an toàn trong thanh toán điện tử và thanh toán thẻ tại Việt Nam.

Theo ông Trần Quang Hưng, đại diện Cục An toàn thông tin – Bộ Thông tin và Truyền thông, tại Việt Nam trong thời gian gần đây xuất hiện ngày càng nhiều hình thức chiếm đoạt thông tin tài khoản ngân hàng, như gọi điện giả mạo yêu cầu cung cấp thông tin, gửi email lừa đảo, giả mạo, nghe lén thông tin, lây nhiễm mã độc…

Trong số đó, phương thức lừa đảo phishing là nổi cộm hơn cả, tức tin tặc xây dựng một website giả mạo có giao diện giống hệt website của ngân hàng để lừa người dùng truy cập vào nhằm lấy thông tin và mật khẩu.

Với hình thức này, nguy cơ bị chiếm đoạt tài khoản chủ yếu là do sơ hở của người dùng, như click vào các đường link lạ, không phân biệt được các website đang truy cập để nhập thông tin có phải website của ngân hàng hay không, sử dụng các phần mềm bẻ khóa dẫn tới bị mã độc lấy cắp thông tin,…

Tuy nhiên, theo ông Trần Quang Hưng, mặc dù lỗi chủ yếu ở người dùng, nhưng các ngân hàng hay tổ chức tài chính vẫn phải có trách nhiệm trong việc bảo vệ người dùng trước các nguy cơ đó, tránh mất mát tiền của người dùng được gửi trong ngân hàng.

Do đó, bên cạnh việc tích cực hơn trong cảnh báo, khuyến nghị tới người dùng về các nguy cơ và rủi ro mất an toàn thông tin có thể xảy ra, ngân hàng và các tổ chức tài chính cũng cần nâng cao, bổ sung các giải pháp kỹ thuật mới để bảo vệ tài sản của người gửi tiền, như sử dụng công nghệ hỗ trợ chống tấn công phishing (ví dụ triển khai công nghệ Universal 2nd Factor – U2F), xác thực hai bước mạnh khi giao dịch, hệ thống phát hiện gian lận khi giao dịch (fraud detection)…

Cũng theo vị này, hiện các ngân hàng đã và đang triển khai các dịch vụ truy cập, thanh toán… trên nền mobile, tuy nhiên song hành với đó cũng mở ra nhiều thách thức và nguy cơ về an toàn thông tin trong mảng còn rất mới, nhất là tại Việt Nam.

Với các ứng dụng trên các thiết bị di động, tin tặc có rất nhiều cách thức để thực hiện khai thác như tấn công thẳng vào thiết bị di động (thông qua các lỗi của hệ điều hành, phần mềm bên thứ ba, phần mềm độc hại, xác thực yếu…), khai thác vào các ứng dụng di động của ngân hàng.

Trong khi đó, theo đánh giá chung tại Việt Nam, phần nhiều các ứng dụng mobile banking chưa thực sự được quan tâm đúng mức về an toàn thông tin từ khâu thiết kế, lập trình ứng dụng tới quá trình kiểm thử,… Chẳng hạn như một số ngân hàng có sử dụng http mã hóa trên đường truyền nhưng dùng SSL phiên bản cũ, hoặc ứng dụng trước khi đưa đến người dùng chưa được đánh giá an toàn thông tin hoặc đánh giá sơ sài,…

Ngoài ra, theo Đại tá Trần Văn Doanh, Cục Cảnh sát phòng, chống tội phạm sử dụng công nghệ cao (Bộ Công an), hình thức tội phạm công nghệ cao lập website, gửi đường link phishing, giả danh ngân hàng chiếm đoạt tài khoản Internet Banking và chuyển tiền, diễn biến phức tạp trong thời gian gần đây.

Cụ thể, các đối tượng thường lập các website trúng thưởng gửi tin nhắn qua Facebook, Zalo, Viber... thông báo cho chủ tài khoản đã trúng thưởng tài sản, hiện vật có giá trị lớn và đề nghị truy cập vào các website để đăng ký nhận giải.
Hoặc, tội phạm lập các website giả mạo website của ngân hàng, gửi link thông báo tài khoản của khách hàng có tiền chuyển vào nhưng bị lỗi cần phải cung cấp thông tin để kiểm tra.

Sau đó, các đối tượng sử dụng thông tin người bị hại cung cấp để thanh toán mua mã thẻ điện thoại, thẻ game trên các website bán trực tuyến hoặc chuyển tiền sang các tài khoản trung gian để rút tiền hoặc thuê người rút tiền trong và ngoài nước.
Khi mã xác thực OTP gửi về điện thoại, đối tượng giả danh nhân viên ngân hàng thông báo đã gửi mã trúng thưởng để xác thực, đề nghị người bị hại cung cấp để hoàn tất thủ tục.

Trước tình hình tội phạm công nghệ cao diễn biến phức tạp, theo đề nghị của ông Trần Văn Doanh, đối với hoạt động ngân hàng điện tử (Internet Banking, Mobile Banking), các ngân hàng cần kiểm tra, rà soát lại quy trình thanh toán, trong đó yêu cầu bắt buộc việc đăng ký, xác thực phải thực hiện tại chi nhánh ngân hàng, không thực hiện qua internet.

Các ngân hàng cũng cần tăng cường các lớp, bước xác thực qua SMS, OTP, nghiên cứu bổ sung thêm giải pháp bảo mật, xác thực trước khi hoàn thành giao dịch thanh toán (ATM, POS, Internet Banking, Mobile Banking) như ứng dụng Keypasco.
 

Theo TBKTSG