Kẽ hở bảo mật ngân hàng: Không để ‘kẻ trộm’ vào tận nhà

Hàng loạt kẽ hở trong giao dịch ngân hàng qua mạng, điện thoại chưa được 'vá' khiến người giao dịch có thể vừa mất tiền vừa rơi vào thế 'tình ngay lý gian'.

Kẽ hở bảo mật ngân hàng: Không để ‘kẻ trộm’ vào tận nhà

Ảnh minh họa.

Mới đây, ông V.K.D chuyển 15 triệu đồng cho một người bạn bằng mobile banking của Vietcombank trong khi số dư trong tài khoản ít hơn số tiền chuyển. Trên màn hình của ông báo giao dịch không thực hiện được, nhưng bạn của ông vẫn nhận tin nhắn báo có tiền.

"Về nguyên tắc, nếu số dư tài khoản nhỏ hơn số tiền chuyển đi thì giao dịch sẽ không được thực hiện. Còn ở đây, người nhận vẫn nhận được tin nhắn có tiền và tin "hủy giao dịch" sau đó. Lỗi này khách hàng không bị mất tiền trong tài khoản. Nhưng đặt trường hợp mua đồ, người bán nhận được tin nhắn có tiền và giao hàng cho kẻ gian thì làm sao đòi được tiền? Vietcombank có ghi rõ trong tin nhắn là “hủy giao dịch”, nhưng tốt nhất là điều này không nên xảy ra. Ngân hàng (NH) nên chặn ngay từ lúc chuyển tiền nếu số dư không đủ và không nên có tin nhắn nào hết để hạn chế rủi ro khách hàng bị mất tiền”, ông D. nói. Điều đáng nói, lỗ hổng này đã được khách hàng phản ánh từ nhiều tháng qua nhưng đến nay vẫn chưa được khắc phục.
Để giảm thiểu nguy cơ, các cơ quan, tổ chức doanh nghiệp cần trong trạng thái chủ động nhất, thực hiện những biện pháp rà soát bảo vệ trước những cuộc tấn công có thể xảy ra.
Ông Ngô Tuấn Anh, Phó chủ tịch phụ trách an ninh mạng Tập đoàn công nghệ Bkav
Một người tên N.Đ.D cũng cho biết có lần ông sử dụng mobile banking của Vietcombank để chuyển tiền, lúc nhập mật khẩu OTP xong thì ứng dụng xoay vòng vòng và… đơ luôn. Khi thoát ra thì tài khoản đã chuyển tiền 2 lần liên tiếp. “Tôi gọi NH thì tổng đài bảo liên lạc với người ta nhờ chuyển khoản lại. Tôi hỏi nếu người ta không chuyển trả thì sao? NH không trả lời mà nói cứ gọi xin lại tiền trước đi”, ông N.Đ.D bực bội cho biết.
Những lỗi sơ đẳng, đơn giản khác cũng thường thấy ở các NH. Chị Vũ H., một người sử dụng thẻ của NH DongABank, kể nhiều khi thực hiện 3 - 4 giao dịch liên tiếp nhau thì tin nhắn báo tiền trừ đi hay chuyển tới không theo thứ tự giao dịch mà sau trước lộn xộn. “Lỗi nhỏ nhưng tôi vẫn thấy khó chịu, không an tâm vì lo cho tiền trong tài khoản!”, chị này nói.
Còn ông Đ.Trung, ngụ TP.HCM, chủ thẻ Visa của NH HSBC thì lo lắng khi sử dụng thẻ thanh toán nhưng tin nhắn báo số dư lúc báo lúc không. “Nếu thẻ bị hack, bị mất tiền, mà chủ thẻ không nhận được tin báo, không báo khóa thẻ kịp thời cho NH thì thiệt hại rất lớn. Ngay khi giao thẻ, NH khuyến cáo nên đăng ký tin nhắn thay đổi số dư. Tôi không nhận được tin nhắn, lỡ xảy ra sự cố “tình ngay lý gian” thì sao?”, ông Trung đặt vấn đề.
30% trang web ngân hàng có lỗ hổng
Lĩnh vực NH từng nhiều lần đối mặt với những cuộc tấn công mạng, mà gần đây nhất hacker đã thò tay vào hệ thống và suýt lấy được hơn 1 triệu euro từ NH TMCP Tiên Phong (TPBank). Trước đó, năm 2014 các NH cũng bị rúng động khi 15 website ebanking của NH và cổng thanh toán tại VN bị tấn công do bị dính lỗi OpenSSL Heartbleed. Đây là lỗi rất nghiêm trọng, có thể khiến tài khoản NH, hay các tài khoản thanh toán trực tuyến dễ dàng bị các hacker đánh cắp thông tin. “Điều này cho thấy, kẻ trộm đã vào được tận trong nhà các NH”, một chuyên gia về công nghệ thông tin nhận xét.
Theo ông Ngô Tuấn Anh, Phó chủ tịch phụ trách an ninh mạng Tập đoàn công nghệ Bkav, việc đảm bảo an ninh mạng an toàn tuyệt đối 100% là không thể. Ngay cả các quốc gia có công nghệ, an ninh mạng phát triển hàng đầu thế giới như Mỹ, Đức, Pháp… cũng từng là nạn nhân của tin tặc qua các vụ tấn công vào hệ thống quốc hội Đức, lấy cắp dữ liệu Sony Pictures, xâm nhập NH JPMorgan Chase…
Thời gian qua, NH được đánh giá mạnh tay đầu tư cho công nghệ thông tin nói chung và bảo mật nói riêng. Nhưng theo kết quả nghiên cứu an ninh mạng trong năm 2015 của Công ty an ninh mạng Bkav, có đến 30% trang web của các NH tại VN tồn tại lỗ hổng và có nguy cơ bị tấn công mạng.
Trong đó, có đến 2/3 trong số các trang web tồn tại lỗ hổng bảo mật ở mức độ nguy hiểm trung bình và cao. Trước đó, từ 2008 - 2010, Bkav đã thống kê có ít nhất 22 NH bị sự cố về an toàn thông tin. Nhiều lỗ hổng tương đối đơn giản đã cảnh báo nhưng một số NH vẫn chậm trễ không sửa chữa, tạo cơ hội cho hacker tiếp tục khai thác để tấn công. “Do đó, để giảm thiểu nguy cơ, các cơ quan, tổ chức doanh nghiệp cần trong trạng thái chủ động nhất, thực hiện những biện pháp rà soát bảo vệ trước những cuộc tấn công có thể xảy ra”, ông cảnh báo.
Ông Ngô Trần Vũ, Giám đốc Công ty NTS Security, phân tích với xu thế giao dịch qua mạng ngày càng phổ biến thì internet banking, mobile banking, ATM và thậm chí cả hệ thống core banking đều có nguy cơ bị tấn công bất kỳ lúc nào. Hay như trong giao dịch NH trực tuyến (online banking) sử dụng mật khẩu dùng một lần OTP phổ biến trên thế giới để bảo mật giao dịch cho khách hàng, vẫn có thể bị tấn công. Thời gian qua, có nhiều cuộc tấn công của hacker đã xuyên thủng OTP và đánh cắp tiền từ nhiều nơi trên thế giới. Vì vậy, sự cẩn trọng và chủ động thực hiện các biện pháp phòng, chống trước các cuộc tấn công là hết sức cần thiết.
Chuyên gia bảo mật Nguyễn Hồng Phúc thì nhận xét, hầu hết các NH của VN không đầu tư cho đội ngũ nhân sự làm công tác bảo mật. Ông Phúc kể, có lần ông sử dụng tài khoản ở một NH nước ngoài thanh toán online trên một trang web nước ngoài. Sau đó trang web bị tấn công, lập tức NH thông báo đóng thẻ và cấp lại thẻ mới cho ông để đảm bảo an toàn. “NH đã chủ động để đảm bảo an toàn cho tài khoản của khách hàng”, ông Phúc nói.
Ngân hàng hành xử chưa chuẩn mực
Ở góc độ cách hành xử của các định chế tài chính đối với những sự vụ mất tiền vừa qua, chuyên gia kinh tế Đinh Thế Hiển cho rằng NH chưa đạt yếu tố chuẩn mực với quan hệ khách hàng.
Cụ thể, dù số tiền nhỏ hay lớn, khách hàng phải được giải quyết thỏa đáng nhất, chi tiết nhất cho đến khi họ không còn thắc mắc nữa. Nếu bước đầu xác định khách hàng không ăn gian, không phải lỗi khách hàng mà có thể do lỗi nghiệp vụ hoặc lỗ hổng bảo mật, số tiền nhỏ thì NH có thể bồi thường ngay, để khẳng định việc luôn đứng về phía khách hàng, quan tâm đến quyền lợi khách hàng.
Khi vẫn không thống nhất, không tìm được tiếng nói chung thì NH cần chủ động hướng dẫn khách hàng đưa vụ việc ra tòa để phân xử, lấy căn cứ để xử lý, nhằm giải quyết “tận gốc” mắc mứu của khách hàng. Còn hiện giờ, NH chủ yếu là đùn đẩy hoặc để mặc khách hàng với nỗi ấm ức mất tiền.

Theo Báo Thanh Niên

BizLIVE - Gặp gỡ