Thương mại điện tử Việt Nam bị phủ một vết mờ sau “vụ hack nửa tỷ” vào Vietcombank?

Thành Lương

10:42 26/08/2016

Nền thương mại điện tử có doanh thu trên 4 tỷ USD đang có những hoang mang, khi vấn đề bảo mật đang khiến người dùng nghi ngại, sau hàng loạt sự cố liên quan đến các tài khoản thẻ sử dụng dịch vụ Internet Banking và tài khoản quốc tế Visa, hoặc Master Card do các ngân hàng phát hành.

Thương mại điện tử Việt Nam bị phủ một vết mờ sau “vụ hack nửa tỷ” vào Vietcombank?

Ảnh minh họa.

Theo Kế hoạch tổng thể phát triển thương mại điện tử giai đoạn 2016 - 2020 vừa được Thủ tướng phê duyệt, tới năm 2020, 50% doanh nghiệp sẽ có trang thông tin điện tử, 80% doanh nghiệp thực hiện đặt hàng hoặc nhận đơn đặt hàng thông qua các ứng dụng thương mại điện tử.

Trong 4 năm tới, doanh số thương mại điện tử giữa doanh nghiệp và khách hàng (B2C) có thể lên đến 10 tỷ USD, đồng thời giá trị mua hàng trực tuyến của mỗi người đạt 350 USD, tức là hơn gấp đôi so với thời điểm năm 2015.

Như vậy, hướng tới một nền thương mại điện tử không cần sử dụng nhiều tiền mặt là những điều mà Chính phủ và người dân đều đang tính đến. Nhưng chỉ trong vòng một tháng, các vụ tấn công vào hệ thống bảo mật đình đám là vụ Vietnamairlines bị các tin tặc đánh cắp thông tin trên 400.000 khách hàng của chương trình Bông sen vàng và loạt sự cố liên quan đến thẻ của Vietcombank đã làm cho người dùng đang sử dụng thẻ tín dụng cảm thấy hoang mang.

Trong khi, vụ khách hàng của Vietcombank là chị Hoàng Thị Na Hương bị các hacker thực hiện các giao dịch từ xa, chiếm đoạt thành công 200 triệu trên tổng số 500 triệu đánh cắp được từ tài khoản Vietcombank của chị còn chưa kết thúc, lại có thêm hai khách hàng khác của Vietcombank là Vietcombank là khách hàng Vũ Thành Phương (Quận 9, TP.HCM) báo về việc thẻ của anh bị quẹt tại TOKYO DISNEY RESORT CHIBA JPN, MARRIOTT HTL và BOOKHAVEN NY với số tiền là 17 triệu đồng, trong khi đó chị Quỳnh Nga (Biên Hoà, Đồng Nai) báo bị thực hiện các giao dịch trái phép tại RSW ESERVICE SINGAPORE với số tiền là 592 SGD.

Khu Tokyo Disney Resort tại Chiba, Nhật Bản, nơi thẻ của anh Phương bị quẹt. Ảnh: Thành Lương.

Cả 3 vụ việc đều trong trạng thái đang được điều tra và chưa công bố nguyên nhân chính thức, cũng như hướng giải quyết quyết của ngân hàng đối với khách hàng, điều này làm những người sử dụng các tài khoản tín dụng cảm thấy vô cùng hoang mang.

Chị Nguyễn Quyên (Thanh Xuân, Hà Nội), một trong những khách hàng của Vietcombank đang kinh doanh các mặt hàng đặc sản Tây Bắc chia sẻ, chị không có nhu cầu mua sắm trực tuyến nhiều, nhưng lại thường xuyên sử dụng tài khoản của Vietcombank để thanh toán tiền quảng cáo Fanpage cho Facebook, mỗi lần chị sử dụng xong lại yêu cầu... khoá tính năng thanh toán trực tuyến, đề phòng bị tấn công, đánh cắp tiền trong tài khoản.

Sau khi vụ việc chị Na Hương được thông tin, chị Quyên càng lo lắng cho số tiền của mình: "sợ để tiền trong nhà nên mới gửi ngân hàng, ngân hàng không an toàn thì không biết gửi vào đâu", chị nói. Trước mắt, chị đã khoá tính năng thanh toán trực tuyến tài khoản của mình.

Chị Nguyễn Phương Mai, một khách hàng của Vietcombank tại Hải Phòng cũng bày tỏ sự lo ngại: "Ngân hàng là người giữ tiền cho khách hàng, để tiền ở nhà nhiều lo ngại, người ta mới gửi ra ngân hàng, đến gửi tiền ngân hàng người ta còn vào ăn trộm được, tôi biết tin ai đây". Chị Mai thường xuyên sử dụng dịch vụ ngân hàng điện tử của Vietcombank, nhưng hiện chị cũng đang bối rối nghĩ xem mình có nên thay đổi ngân hàng cung cấp dịch vụ hay không.

Anh Dương Ngọc Thái, kỹ sư bảo mật tại Google và hai thành viên khác của diễn đàn bảo mật khá có tiếng Vnsecurity (VNSEC), để thử kiểm tra kỹ thuật về hệ thống Smart OTP của Vietcombank và cho rằng, nhóm đã phát hiện một lỗ hổng trong quá trình giải thuật Smart OTP của Vietcombank, lỗ hổng này được phát hiện vào ngày 13/8. Mặc dù vậy, nhóm không khẳng định đây là lỗ hổng mà các hacker đã khai thác.

Kể từ ngày 4/8 cho đến lần cập nhật mới nhất vào ngày 16/8, Vietcombank đã có ít nhất 3 lần cập nhật Smart OTP mà không cho biết liệu những lần cập nhật này liên quan đến lỗ hổng về Smart OTP được nhắc đến hay không.

Ông Nguyễn Quốc Cường, Trưởng ban CNTT và dịch vụ GTGT của VNPT cho biết, ông không bình luận về hệ thống bảo mật của doanh nghiệp bạn, do không có thông tin. Tuy nhiên, qua những vụ việc liên quan đến bảo mật, ngân hàng, có thể thấy người dân đang ngày càng có xu hướng sử dụng các giao dịch trực tuyến và đó là những tín hiệu tốt cho thương mại điện tử, đồng thời cũng có cả những rủi ro trong các hoạt động này.

"Đôi khi để đánh đổi về các tiện ích khi giao dịch, chúng ta phải chịu những rủi ro liên quan đến bảo mật, tôi không đánh giá cao giao thức Smart OTP", ông Cường cho biết.

Chuyên gia công nghệ của VNPT nói, trong các sự cố liên quan đến bảo mật, cần xem xét lỗ hổng từ rất nhiều phía, trong đó cũng cần nâng cao nhận thức của người sử dụng dịch vụ, bởi đó là điểm dễ tấn công nhất.

Ông Cường lấy ví dụ, một trong những kỹ thuật tấn công mà các hacker ưa thích nhất, dễ làm nhất và cũng hay thành công đó là là kỹ thuật Social Engineering chỉ tập trung vào những người dùng thiếu những kiến thức cơ bản về công nghệ, sử dụng điểm yếu của người dùng để đánh bại cả hệ thống an ninh thông tin.

Nhiều hacker thành thạo kỹ thuật Social Engineering tới mức họ hiểu rõ việc tạo lập các website giả mạo và cả hành vi của người dùng, dẫn dụ thành công người dùng vào việc đăng nhập tài khoản và mật khẩu, chìa khoá để vượt qua các hệ thống bảo mật.

Cũng theo chuyên gia này, kịch bản đơn giản nhất cho các hacker trong vụ khách hàng Vietcombank bị rút ruột tài khoản là phishing . Để đánh lừa chị Na Hương, hacker đã xây dựng một trang web giả mạo giống y hệt trang mà người dùng muốn truy cập, trong trường hợp chị Hương là trang web giống như giao diện thực hiện các giao dịch Internet Banking của Vietcombank để đánh cắp thông tin cá nhân, sau đó chuyển từ việc nhận OTP qua SMS sang dịch vụ nhận OTP bằng Smart OTP.

Trên thế giới, để hạn chế tối đa việc các hacker sử dụng kỹ thuật phishing, nhiều doanh nghiệp đã mua những domain vệ tinh, gần liên quan đến domain chính để tránh việc người dùng có thể gõ nhầm, hoặc nhìn nhầm domain của họ. Doanh nghiệp nước ngoài xem xét rất kỹ những vấn đề này, nhưng doanh nghiệp Việt thì chưa, ông Cường nhận định.

Chúng ta có thể lấy trường hợp của Google.com, nếu bạn có gõ Gogle.com thì trang đích vẫn dẫn đến trang chủ của Google.

Trang chủ của Vietcombank là vietcombank.com.vn, tuy nhiên, chỉ cần một dấu - ở giữa các domain này cũng có thể khiến điều hướng đến trang đích bị thay đổi. Ví dụ, các hacker có thể lợi dụng những tên miền như vietcom-bank.com.vn, viet-combank.com.vn… để giả lập giao diện website của Vietcombank, dẫn dụ người dùng vào việc làm cho họ nhầm tưởng rằng, họ đang truy cập vào trang chủ của Vietcombank. Vietcombank không áp dụng phương pháp bảo mật bằng cách mua những tên miền gần gũi với thương hiệu của mình, những tên miền nói trên vẫn đang trong trạng thái sẵn sàng để đăng ký.

Trước loạt vụ việc của Vietcombank, trong tháng 5/2016, khách hàng của BIDV là Vũ Hoàng Nam (Thái Phiên, Hà Nội) và khách hàng của HSBC là Cao Thị Hương cũng bị các hacker tấn công vào tài khoản ngân hàng nhúng trên Facebook và quảng cáo cho các Fanpage lạ với tổng số tiền của cả hai vụ khoảng 50 triệu đồng.

Sau khi vụ việc xảy ra, BIDV và HSBC đã làm việc với Facebook và số tiền được hoàn trả cho anh Vũ Hoàng Nam và chị Cao Thị Hương.

Những năm gần đây, cùng với sự xuất hiện của các trang thương mại điện tử, nhu cầu mua sắm trực tuyến của người dân ngày càng cao, nhưng những vụ tấn công vào các tài khoản của những ngân hàng đình đám như Vietcombank dễ làm người dùng chùn tay.

Lòng tin của người dùng vào dịch vụ của ngân hàng đã ít nhiều giảm sút và có thể điều này cũng kìm hãm sự phát triển của cả nền thương mại điện tử.

Theo ICTNews

Từ khóa: ngân hàng, vietcombank

Bảng giáThị trường

VN-Index 773.29 ▼ -0.59 (-0.08%)

 
VN-Index 773.29 -0.59 -0.08%
HNX-Index 99.78 0.35 0.35%
UPCOM 56.46 0.53 0.95%
DJIA 21,613.43 100.26 0.46%
Nasdaq 6,412.17 1.36 0.02%
Nikkei 225 20,050.16 94.96 0.47%
FTSE 100 7,460.6 25.78 0.35%