 |
| Sau vụ việc mất 500 triệu qua giao dịch trên mạng tại Vietcombank, nhiều người dùng lo lắng về sự an toàn của tài khoản cá nhân. |
Một nhóm kỹ sư về bảo mật nói Việt
Nam là nơi có tỷ lệ máy tính nhiễm mã độc nhiều nhất thế giới, sau sự cố
khách hàng tại Vietcombank bị mất 500 triệu đồng.
Khách hàng tên
Hoàng Thị Na Hương bị mất 500 triệu trong tài khoản vào đêm ngày 3/8 và
rạng sáng 4/8 với nhiều giao dịch được thông báo qua tin nhắn điện thoại
và email.
Báo chí tại Việt Nam dẫn lời Ngân hàng Vietcombank nói
do khách hàng truy cập vào một website giả mạo và tự để lộ tài khoản của
mình. Vietcombank cho biết đã khoanh giữ 300 triệu, còn 200 triệu đã bị
rút khỏi tài khoản từ máy ATM tại Malaysia.
Vụ việc làm dư luận
tại Việt Nam đặt câu hỏi về độ bảo mật khi sử dụng giao dịch ngân hàng
qua mạng, cũng như quyền lợi của khách hàng ra sao khi bị mất tiền.
VNSECURITY là nhóm kỹ sư về bảo mật
đã phân tích về cách mà khách hàng bị tấn công, cũng như giải thích
các nguyên nhân dẫn đến lỗ hổng trên giao dịch ngân hàng điện tử của
Vietcombank.
Bài viết của nhóm này nói họ được “Các kỹ sư Vietcombank đã phản hồi rất tích cực” khi làm các phân tích.
Một
trong những nguyên nhân từng được báo chí tại Việt Nam nêu lên sau sự
cố mất 500 triệu là khách hàng bị lừa vào một website giả, có giao diện
giống hệt trang của ngân hàng.
Cách tránh lừa đảo?
Trao
đổi với BBC Tiếng Việt về các nguy cơ mà khách hàng tại Việt Nam có thể
gặp phải, đại diện của nhóm VNSECURITY nói về chiêu lừa này: “Rất khó
phòng chống tấn công phishing (giả mạo website như đáng tin cậy thật).
Chúng tôi đã từng chứng kiến kỹ sư máy tính chuyên nghiệp cũng bị lừa
đảo thông qua tấn công phishing.”
“Tuy nhiên nếu luôn cảnh giác và
tuân theo một số nguyên tắc như bên dưới, khả năng bị tấn công sẽ giảm
đáng kể, vì bọn tấn công thường chỉ nhắm những nạn nhân dễ tấn công
nhất.”
Hình ảnh trên bản tin của VTV, nói khách hàng đã bị lừa
vào một website giả mạo có giao diện như website ngân hàng thật
Nhóm này đưa ra một số chỉ dẫn cho người sử dụng:
- Kiểm tra kỹ lưỡng các thông tin mình đang tương tác, chẳng hạn như địa chỉ trang web, chứng chỉ số, địa chỉ email gửi/nhận....
- Không click vào đường dẫn gửi qua web, email hay SMS, bất kể do ai gửi. Nếu muốn truy cập vào một dịch vụ nào đó, tự tay mở trình duyệt, đánh địa chỉ vào. Có thể bookmark (đánh dấu lưu lại) địa chỉ đó, tạo một shortcut (đường dẫn tắt) trên máy tính để lần sau chỉ cần click vào đó là được.
- Nếu có người thân hay bạn bè liên lạc qua chat yêu cầu chuyển tiền, tìm cách liên hệ lại với họ qua một kênh khác. Nếu không có cách nào nói chuyện (qua điện thoại, hay gặp mặt trực tiếp), hãy từ chối chuyển tiền.
- Không cung cấp thông tin tài khoản và cá nhân trong tất cả trường hợp nào khác.
- Thường xuyên cập nhật phần mềm máy tính và điện thoại. Không mở các tập tin lạ, không cài đặt sử dụng phần mềm không rõ nguồn gốc.
- Nếu có điều kiện, sử dụng riêng một máy tính, chẳng hạn như một chiếc máy tính Chromebook hay Netbook chạy hệ điều hành Linux giá rẻ, cho việc truy cập các dịch vụ quan trọng như Internet Banking (ngân hàng điện tử), thanh toán điện tử.
“Cách duy nhất để người dùng tránh bị lừa là rèn luyện cho mình
thói quen cẩn thận, kiểm tra các thông tin về trang mạng mà mình đang
tương tác có đúng hay không,” đại diện nhóm VNSECURITY nói với BBC.
“Đối
với những ngân hàng, tổ chức tín dụng sở hữu các trang ngân hàng điện
tử, việc luôn luôn cảnh báo khách hàng của mình khi họ xài dịch vụ ngân
hàng điện tử là điều nên làm.”
“Và thực tế, ví dụ như các ngân
hàng ở Singapore, với thực tế là có nhiều báo cáo về các hành vi lừa
đảo, đều thực hiện việc cảnh báo này cho khách hàng. Về mặt kĩ thuật,
tạo ra một phương thức xác thực chống lừa đảo là một bài toán khó. Chúng
tôi sẽ viết một bài viết về hướng tiếp cận để phát triển một phương
thức như vậy trong thời gian tới.”
Việt Nam 'nhiều mã độc'
“Vì
sự việc khách hàng của Vietcombank bị tin tặc lừa đảo chiếm đoạt tiền
gần đây, nên nhiều người chú ý đến vấn nạn lừa đảo. Nhưng bên cạnh lừa
đảo thì một vấn đề khác đáng được chú tâm hơn, đó là mã độc," đại diện
của nhóm nghiên cứu bảo mật ra đời từ năm 1998 tại Việt Nam cho biết.
“Việt Nam được đánh giá là một trong những nơi có tỉ lệ máy tính nhiễm mã độc nhiều nhất thế giới."
Nhóm này dẫn một báo cáo của hãng máy tính
Microsoft vào tháng 6/2016 tên Báo cáo nhiễm độc Malware 2016
(Walware Infection Index 2016) cho thấy Việt Nam đứng hạng thứ 5 tại
Châu Á Thái Bình Dương về nguy cơ nhiễm mã độc máy tính, và nhận định:
“Với
sự dễ dàng trong việc lây nhiễm, và người dùng quá thiếu kiến thức
trong việc phòng ngừa, việc mất tiền chỉ là sớm hay muộn.
“Riêng
về vấn đề lừa đảo, chúng thường tấn công vào điểm yếu tâm lý của người
dùng. Cách thức tấn công thì rất nhiều và vô cùng biến hoá, chẳng hạn
như giả mạo nhà cung cấp hay người thân, bạn bè gửi các thông tin lừa
trúng thưởng, tặng quà, cập nhật dịch vụ, mượn tiền... qua các phương
tiện truyền thông phổ biến như email, mạng xã hội, tin nhắn, điện thoại
đến nạn nhân.
Sau khi vụ việc xảy ra, Vietcombank đã
có thông báo liên quan đến thay đổi
dịch vụ Smart OTP, vốn là giao thức
đã khiến khách hàng bị mất tiền.
Tìm ngân hàng an toàn?
BBC đặt
câu hỏi liệu một người dùng bình thường không có quá nhiều kiến thức về
công nghệ có thể tìm và chọn được ngân hàng có dịch vụ an toàn hay
không?
Đại diện của nhóm kỹ sư VNSECURITY này trả lời:
“Thay
vì tìm kiếm một ngân hàng có một hệ thống là an toàn - là một điều khó,
có thể là bất khả thi đối với người dùng bình thường, thì tốt hơn là
người dùng nên tìm kiếm ngân hàng nào có thể bảo vệ mình tốt nhất, nếu
không may có sự cố xảy ra.”
“Ví dụ như sự việc lần này đối với
Vietcombank, nếu không xét dưới góc độ an toàn của ứng dụng Smart OTP,
việc chuyển khoản hơn nửa tỉ đồng, trong đêm như vậy là một "hành vi bất
thường", và trong tình huống này, ngân hàng nên giữ giao dịch đó lại và
kiểm tra lại với người dùng, chứ không chỉ đơn giản là chấp nhận giao
dịch đó một cách bình thường.”
Nhóm VNSECURITY cũng là đơn vị tổ
chức sự kiện mang tên "Trà đá hacking" dành cho thanh niên trẻ về các
vấn đề bảo mật tại Thành phố Hồ Chí Minh vào tháng 6/2016.
Hôm 16/8, trả lời BBC, luật sư
Trương Thanh Đức, có kinh nghiệm nhiều năm làm pháp chế ngân hàng,
cho biết những vụ việc tương tự như Vietcombank cũng “xảy ra tương đối
nhiều” nhưng “các ngân hàng cũng hay chấp nhận bồi thường cho khách hàng
vì ít nhiều cũng có lỗi và để giữ hình ảnh của mình trên thị trường."
Theo BBC
0 nhận xét:
Đăng nhận xét