Tăng cường an toàn, bảo mật cho thanh toán điện tử
TS. Nguyễn Trí Hiếu cho rằng, muốn bảo mật, an toàn thì cần sự chung tay của cả hai phía, từ các ngân hàng, các đơn vị cung cấp dịch vụ thanh toán không dùng tiền mặt đều phải chủ động phòng ngừa rủi ro. Nếu sơ hở ở một bên nào đó, vấn đề bảo mật sẽ bị phá vỡ...
 |
| Thanh toán điện tử ngày càng trở nên phổ biến trong cuộc sống hiện đại |
Theo khảo sát của PwC, Việt Nam là thị trường tăng trưởng nhanh nhất về thanh toán di động trong năm 2018 với tỷ lệ người tiêu dùng sử dụng di động để thanh toán hàng hóa dịch vụ đã tăng từ 37% lên 61%. Trong khi theo Vụ Thanh toán (NHNN), thanh toán qua Mobile quý I/2019 tăng 232% về giá trị và 98% về số lượng so với quý I/2018. Những con số này cho thấy mảnh đất dành cho các phương thức thanh toán điện tử đang trở nên sôi động hơn bao giờ hết. Thanh toán điện tử đem lại nhiều tiện lợi cho cả ngân hàng và khách hàng nhưng cũng không thể tránh được những rủi ro nhất định.
Với sự phát triển của công nghệ các hình thức lừa đảo, lấy cắp thông tin cá nhân khách hàng ngày càng tinh vi hơn. TS. Nguyễn Thị Thanh Tân - Giảng viên khoa Kinh doanh Quốc tế, Học viện Ngân hàng cho biết, những giao dịch không có sự xuất hiện của tiền mặt thì đều coi là thanh toán điện tử, có nhiều hình thức thanh toán điện tử khác nhau như thanh toán thẻ, hay qua ví điện tử...
Mỗi hình thức thanh toán lại có rủi ro khác nhau. Như thanh toán qua thẻ, có thể bị làm giả thẻ, trộm con chip. Đối với ví điện tử, vì hoàn toàn sử dụng qua các app trên thiết bị di động nên tin tặc có thể tạo các link độc đính kèm khi khách hàng vô tình truy cập các link này sẽ là “đường dẫn” để tin tặc xâm nhập và lấy cắp thông tin, tiền của khách hàng.
Đơn cử, mới đây Techcombank đã phát đi cảnh báo về hình thức tấn công mới của tin tặc: Kẻ tấn công gửi email tới khách hàng với nội dung trong email là một đoạn thông tin trao đổi qua lại (Forward hoặc Reply) giữa một số các địa chỉ email được bắt nguồn từ các địa chỉ email của CBNV Techcombank (địa chỉ email này không có thật và giả danh của Techcombank). Với tiêu đề của email có dạng: Subject: [TECHCOMBANK] ĐIỆN CHUYỂN TIỀN…
Trong email này có đính kèm file có tên “PHIẾU BÁO NỢ”, nhưng thực tế đây là một đường dẫn đến ứng dụng Dropbox, sau đó file chứa mã độc sẽ được tải về máy tính của khách hàng. Khi khách hàng mở file trên sẽ bị lây nhiễm mã độc Keyloger (loại mã độc có khả năng ghi lại các thao tác bàn phím, chụp ảnh màn hình, camera của khách hàng). Từ đây kẻ gian có thể đánh cắp các thông tin bảo mật cá nhân của khách hàng. Các chiêu thức lừa đảo phổ biến khác có thể kể đến như thông báo trúng thưởng lừa khách hàng cung cấp thông tin tài khoản và truy cập vào website giả mạo...
Để bảo vệ khách hàng, giảm thiểu rủi ro, nhiều ngân hàng đã đầu tư mạnh cho các công nghệ mới trong thanh toán điện tử. Khắc phục việc khách hàng có thể bị lấy cắp mã OTP qua SMS trên điện thoại, đầu năm 2019, VIB công bố triển khai thành công giải pháp an toàn bảo mật mới - MyVIB Smart OTP trong thanh toán trực tuyến trên Internet (bao gồm Internet Banking và Mobile Banking). Phần mềm tạo mã MyVIB Smart OTP cho phép người dùng lấy mã OTP ngay trên ứng dụng ngân hàng di động MyVIB thay vì phải lấy qua SMS hoặc Token.
Các ngân hàng khác như VietinBank, Agribank cũng chính thức cung cấp giải pháp xác thực mới Soft OTP cho các khách hàng. Ứng dụng sẽ tự sinh ra mã OTP, sau đó khách hàng nhấn đồng ý, giao dịch được tự động xử lý thành công. Để tăng cường bảo mật, BIDV áp dụng phương thức xác thực nâng cao Smart OTP tích hợp sẵn trên BIDV SmartBanking. Smart OTP cho phép người dùng chủ động lấy mã xác thực OTP được sinh ra theo từng giao dịch trên điện thoại của khách hàng, được mã hóa với hệ thống bảo vệ nhiều lớp phức tạp và khó có thể can thiệp được.
Được đánh giá là đi đầu về ngân hàng số, TPBank cung cấp thẻ mật khẩu (Matrix Card) có 45 mã OTP được đánh dấu theo kiểu ma trận. Thẻ mật khẩu được gắn duy nhất cho một tài khoản đăng nhập và Soft Token là phần mềm cung cấp mã OTP được cài trên điện thoại di động của người dùng và gắn duy nhất với tài khoản đăng nhập eBank của khách hàng.
TS. Nguyễn Trí Hiếu - Chuyên gia kinh tế, cho rằng, muốn bảo mật, an toàn thì cần sự chung tay của cả hai phía, từ các ngân hàng, các đơn vị cung cấp dịch vụ thanh toán không dùng tiền mặt đều phải chủ động phòng ngừa rủi ro. Nếu sơ hở ở một bên nào đó, vấn đề bảo mật sẽ bị phá vỡ.
Theo TS. Nguyễn Thị Thanh Tân, một bộ phận người Việt mình còn nhẹ dạ cả tin, không tiếp cận được nhiều thông tin cảnh báo về các hành vi lừa đảo nên nhiều người vẫn bị lừa theo những cách rất đơn giản. Vì vậy, muốn nâng cao an toàn, bảo mật thì trước hết phải nâng cao ý thức người dân. Khi nhận thấy có dấu hiệu giả mạo khách hàng phải lập tức liên hệ trực tiếp với ngân hàng để được tư vấn, giải đáp thắc mắc.
Theo Quyết định số 630/QĐ-NHNN ngày 31/3/2017 của NHNN về việc ban hành Kế hoạch áp dụng các giải pháp về an toàn, bảo mật trong thanh toán trực tuyến và thanh toán thẻ ngân hàng. Theo đó, từ 01/01/2019 các tổ chức cung ứng dịch vụ thanh toán, trung gian thanh toán trên mạng Internet phải triển khai áp dụng các giải pháp xác thực tối thiểu ứng với mỗi loại giao dịch, đơn cử:
Đối với hình thức chuyển tiền trong ngân hàng, khác chủ tài khoản:
- Hạn mức giao dịch 1 ngày ≤ 100 triệu VND: SMS OTP; Hoặc Thẻ ma trận OTP; Hoặc Token OTP loại cơ bản, không có chức năng xác thực người dùng sử dụng Token.
- Hạn mức 1 giao dịch < 500 triệu VND; Hạn mức giao dịch 1 ngày < 1,5 tỷ VND: Soft OTP hoặc Token OTP loại cơ bản, có chức năng xác thực người dùng sử dụng phần mềm, Token; Giải pháp xác thực qua hai kênh; Hoặc xác thực bằng dấu hiệu nhận dạng sinh trắc học.
- Hạn mức 1 giao dịch ≥ 500 triệu VND: Soft OTP hoặc Token OTP loại nâng cao, có chức năng ký giao dịch; Hoặc xác thực bằng thiết bị U2F/UAF; Hoặc xác thực bằng chứng thư số…