Khách hàng cần làm gì để bảo mật tài khoản ngân hàng?

Việc tự bảo mật số tài khoản, tên đăng nhập, mật khẩu là trách nhiệm của khách hàng, nhưng hệ thống của ngân hàng cũng cần có các biện pháp bảo mật bổ sung để giảm thiểu rủi ro trong trường hợp khách hàng bị lộ dữ liệu cá nhân.

- tự bảo mật số tài khoản, tên đăng nhập, mật khẩu là trách nhiệm của khách hàng, nhưng hệ thống của ngân hàng cũng cần có các biện pháp bảo mật bổ sung để giảm thiểu rủi ro trong trường hợp khách hàng bị lộ dữ liệu cá nhân.

{keywords}

Về trường hợp khách hàng H.T.N.Hương của Vietcombank bị mất trộm 500 triệu đồng trong tài khoản Internet Banking mới đây, khi chưa có kết luận cuối cùng của cơ quan điều tra, sẽ rất khó để xác định nguyên nhân dẫn đến việc tài khoản bị kẻ gian xâm nhập và chuyển tiền đi. Tuy nhiên, chúng ta có thể so sánh với các hệ thống ngân hàng khác trên thế giới để phần nào nhận định các khả năng.

Các ngân hàng trên thế giới vẫn dùng SMS OTP

So với các hệ thống ngân hàng khác trên thế giới, có thể thấy quy trình bảo mật theo các bước của dịch vụ VCB-iB@nking khá bài bản và tương đương, bao gồm quá trình đăng nhập bằng mật khẩu trên web kèm theo mã xác thực, yêu cầu mã OTP khi giao dịch trực tuyến (qua SMS hoặc ứng dụng Smart OTP trên điện thoại).

Các ngân hàng quốc tế trên thế giới đều phải tuân thủ tiêu chuẩn PCI DSS (Payment Card Industry Data Security Standard), trong đó có quy định các hình thức xác thực giao dịch bằng mật khẩu dùng một lần OTP (One Time Password).

Chia sẻ với VietNamNet, chuyên gia bảo mật Nguyễn Phố Sơn (hiện đang làm việc cho tập đoàn Microsoft tại Mỹ) cho biết hiện các ngân hàng trên thế giới vẫn đang sử dụng hình thức xác thực OTP bằng tin nhắn SMS, ứng dụng OTP trên điện thoại tương tự như Vietcombank. Thậm chí các ngân hàng của Đức còn dùng hình thức xác thực TAN, một dạng mã OTP được in sẵn trên giấy, mỗi lần sử dụng một mã.

Một số ý kiến nhận định xung quanh vụ việc tài khoản Vietcombank của chị Hương cho rằng có nguy cơ nạn nhân bị trộm mã xác thực OTP thông qua SMS bằng cách khai thác lỗ hổng SS7 (Signaling System #7) của các mạng viễn thông. Nhưng để thực hiện được, thủ phạm cần có trình độ bảo mật rất cao để xâm nhâp vào hệ thống mạng viễn thông của nhà mạng di động, từ đó chặn bắt nội dung tin nhắn SMS OTP gửi về điện thoại của nạn nhân để thực hiện giao dịch chuyển khoản.

Tuy nhiên, theo tường trình của chị Hương, điện thoại của chị không hề nhận được tin nhắn thông báo mã OTP nào trong đêm bị xâm nhập tài khoản, nhưng vẫn nhận được các tin nhắn SMS thông báo giao dịch hoàn tất.

Không dễ để lấy trộm mã OTP qua tin nhắn

Xét từ động cơ của thủ phạm trộm tiền chị Hương, việc thực hiện giao dịch chuyển tiền vào ban đêm nhằm chủ đích tránh việc chị Hương đọc được các tin nhắn thông báo giao dịch. Điều này cho thấy thủ phạm không thể ngăn chặn hệ thống gửi các tin nhắn thông báo này, cũng như không thể ngăn các tin nhắn báo mã OTP gửi tới máy chị Hương.

Do máy chị Hương không hề nhận được SMS báo mã OTP, nên giả thuyết thủ phạm khai thác lỗi SS7 để có mã OTP thực hiện giao dịch chuyển khoản cũng chưa thực sự thuyết phục.

{keywords}

 

Một khả năng khác là lỗi tiềm ẩn có sẵn trong ứng dụng OTP. Đây là một dạng phần mềm mã hóa cài trên điện thoại của khách hàng, khi cài đặt lần đầu cũng phải đăng ký và xác thực danh tính chủ tài khoản qua tin nhắn. Khi thực hiện giao dịch trực tuyến, hệ thống sẽ đưa ra một chuỗi mã kiểm tra OTP, khách hàng sẽ nhập chuỗi mã đó vào ứng dụng OTP trên điện thoại. Ứng dụng trên điện thoại sẽ giải mã chuỗi mã này và trả lại một mã OTP tương ứng duy nhất để có thể thực hiện giao dịch thành công.

Cơ sở để ứng dụng OTP hoạt động là với mỗi mã kiểm tra OTP của hệ thống, ứng dụng sẽ trả lại một mã duy nhất, và ứng dụng OTP của khách hàng này không thể giải mã cho giao dịch của khách hàng khác. Nhưng nếu cơ chế mã hóa của ứng dụng OTP không đủ mạnh và bị bẻ khóa” thì chuyện lấy được mã OTP là hoàn toàn có thể.

Một khả năng khác nữa, là tài khoản của chị Hương đã bị thủ phạm kích hoạt ứng dụng Smart OTP và cài lên một điện thoại khác mà chị Hương không hề biết. Nhưng để thực hiện được, thủ phạm vẫn cần biết mã kích hoạt gồm 4 chữ số được gửi qua tin nhắn SMS tới số điện thoại của chị Hương.

Khách hàng cần bảo mật tài khoản như thế nào?

Tương tự như với các tài khoản khác trên Internet, người dùng cần kiểm tra kỹ đường link và tên miền của website trước khi nhập thông tin tài khoản và mật khẩu đăng nhập. Việc hacker giả mạo các trang web đăng nhập vào hệ thống ngân hàng hay Gmail, Facebook… để lừa nạn nhân đăng nhập đã trở nên rất phổ biến, được biết đến với thuật ngữ phishing.

Người dùng cũng cần thường xuyên cập nhật các phần mềm diệt virus mới nhất trên máy tính và điện thoại di động của mình. Khi máy tính/điện thoại bị nhiễm virus, các phần mềm nghe lén (keylogger) có thể ghi lại mọi thao tác bấm phím của nạn nhân, bao gồm cả tên đăng nhập, mật khẩu, website đăng nhập… Khi có các dữ liệu này, hacker có thể dễ dàng chiếm tài khoản của nạn nhân.

Bảo mật tin nhắn cá nhân trên smartphone cũng là điều hiện ít được người dùng Internet banking lưu ý. Với chuỗi số xác thực 4 chữ số, thậm chí nếu điện thoại có khóa màn hình nhưng để chế độ thông báo có xem trước (preview nortification) vẫn có thể khiến người khác xem được trong lúc chủ máy rời xa điện thoại.

Ngoài ra, việc nâng cao ý thức bảo mật luôn là điều cần thiết. Khi nhận được tin nhắn lạ từ ngân hàng gửi tới điện thoại, người dùng cần cảnh giác và kiểm tra ngay tài khoản của mình chứ không nên bỏ qua.

  • Huy Phong

TIN LIÊN QUAN:

Tấn công có chủ đích APT, mã độc đào tiền ảo sẽ gia tăng mạnh trong năm tới

Cùng với nhận định năm 2023 sẽ chứng kiến sự gia tăng mạnh của các loại mã độc đào tiền ảo, chuyên gia NCS dự báo các cuộc tấn công có chủ đích APT sẽ diễn ra nhiều hơn trong năm tới.

WhatsApp nói gì khi bị nghi lộ số điện thoại nửa tỷ người dùng?

Một người dùng Internet ẩn danh tuyên bố sở hữu thông tin của gần 500 triệu người dùng WhatsApp.

Trí tuệ nhân tạo giúp doanh nghiệp bảo mật phân tích 100 tỷ hành vi mỗi ngày

Hãng Fortinet cho biết công nghệ trí tuệ nhân tạo (AI) và máy học (ML) đã giúp đơn vị phân tích được hơn 100 tỷ hành vi có liên quan tới bảo mật trên toàn cầu mỗi ngày, bao gồm tất cả các loại nguy cơ, kỹ thuật tấn công.

Chuyên gia an ninh mạng cảnh báo 3 loại hình tấn công nhiều nhất 12 tháng qua

Các chuyên gia an ninh mạng tại Việt Nam cho biết, tổ chức của họ đã gặp sự cố an ninh mạng trong 12 tháng qua, với ba loại hình tấn công nhiều nhất là phần mềm độc hại, rò rỉ dữ liệu và lừa đảo.

Thành phố ảo, thế giới trực tuyến là bề mặt tấn công mới của tội phạm mạng

Bên cạnh nhận định về sự gia tăng số cuộc tấn công sử dụng dịch vụ tội phạm mạng, các chuyên gia Fortinet cũng dự báo thành phố ảo và thế giới trực tuyến là những bề mặt tấn công mới của nhiều nhóm hacker.

Đã chặn kết nối hơn 900 máy chủ điều khiển các mạng “máy tính ma” tại Việt Nam

Qua chiến dịch làm sạch mã độc trên không gian mạng Việt Nam 2022, đã có 915 địa chỉ máy chủ điều khiển các mạng botnet (mạng máy tính ma - PV) tại Việt Nam bị chặn kết nối và 76 website phát tán mã độc bị xử lý.

Số lượng máy tính bị lợi dụng đào tiền ảo gia tăng

Trong quý 3/2022, số lượng mã độc đào tiền ảo bất ngờ gia tăng hơn gấp 3 so với cùng kỳ.

TikToker Nờ Ô Nô bị dân mạng tẩy chay vì miệt thị người nghèo

Nờ ô Nô (Phạm Đức Tuấn) là một hot TikToker với hàng trăm nghìn lượt người theo dõi. Thế nhưng người ta lại nhớ nhiều tới Nờ Ô Nô bởi các nội dung bẩn thay vì những thông tin tích cực.

‘Giải pháp an ninh mạng truyền thống không còn phù hợp với thời chuyển đổi số’

Nhận định các giải pháp an ninh mạng truyền thống không còn phù hợp với chuyển đổi số, chuyên gia bảo mật Vũ Ngọc Sơn cho rằng các đơn vị làm an toàn thông tin cũng cần chuyển đổi để thích ứng.

Hacker nhắm vào các vệ tinh, dùng drone để gieo rắc mã độc

Các hacker sẽ sử dụng một thủ đoạn mới là dùng drone thả rơi USB chứa mã độc với hy vọng người qua đường sẽ nhặt về và cắm vào máy tính.

Đang cập nhật dữ liệu !