Người dùng internet và điện thoại di động ở Việt Nam thuộc nhóm nước cao nhất thế giới với 156 triệu kết nối điện thoại di động, chiếm 158,3% số dân (theo số liệu của GSMA Intelligence). Vì vậy, Việt Nam được xem là một thị trường lý tưởng cho loại hình ví điện tử do tâm lý số đông không thích cà quẹt thẻ. Thế nhưng, thế mạnh của loại hình thanh toán điện tử này cũng chính là "gót chân Achilles" về bảo mật.
"Tích tiểu thành đại"
Tại một tọa đàm về bảo đảm an toàn cho thanh toán không dùng tiền mặt vừa được tổ chức ở TP HCM, các diễn giả từ những ví điện tử lớn, ngân hàng điện tử và công ty an ninh, bảo mật đều cảnh báo việc tội phạm công nghệ ( hacker ) đang mở rộng đối tượng tấn công.
Theo đó, hacker không chỉ tập trung vào các cơ sở tài chính - ngân hàng mà đang tăng cường tấn công vào người dùng cuối. Điều nguy hiểm là bọn tội phạm mạng mới không chỉ là tin tặc mà còn có những kẻ lừa đảo với những chiêu trò đánh vào tâm lý người dùng phổ thông.
Thay vì thực hiện những vụ xâm nhập hệ thống và đánh cắp số tiền lớn, kẻ lừa đảo hiện có xu hướng dùng kịch bản bẫy người dùng để chiếm đoạt khoản tiền nhỏ. Chiêu thức "tích tiểu thành đại" dễ hơn nhưng hiệu quả cao vì lừa được số lượng lớn người dùng do nạn nhân chỉ mất số tiền nhỏ nên thường bỏ qua.
Lý giải thêm về xu hướng này, ông Ngô Tuấn Vũ Khanh, Giám đốc Kaspersky Việt Nam, cho rằng các giải pháp chống gian lận thanh toán ở phía người dùng cuối là rất hạn chế. Hiện các ngân hàng và dịch vụ thanh toán chỉ bảo vệ ở hệ thống, trong khi thanh toán gian lận xảy ra ở người dùng cuối đến 80%.
Chuyên gia về bảo mật này phân tích: "Nhiều phần mềm có khả năng theo dõi màn hình điện thoại nên bảo mật OTP cũng không phải là hoàn toàn an toàn. Một giao dịch tài chính có nhiều hoạt động thì các phần mềm, giải pháp chống gian lận thanh toán phải theo dõi, gắn cờ lên hành vi trước khi tới người dùng cuối. Các app (ứng dụng) ngân hàng đều có bảo mật theo chuẩn thế giới nhưng cũng chỉ là bảo mật hệ thống hơn là chống gian lận".
Để chống gian lận thanh toán, về mặt kỹ thuật, các hãng bảo mật hiện có những công cụ như sử dụng trí tuệ nhân tạo (AI), máy học, học sâu... có thể phát hiện giao dịch ở các trang web đen (dark web) về tài khoản, thẻ tín dụng, mã nguồn, tài khoản người dùng cuối... Những đường link Internet Banking, tổng đài, app giả mạo cũng có thể bị phát hiện và cảnh báo.
Đừng phó mặc cho nhà cung cấp
Nhiều nhà cung cấp ví điện tử lớn ở Việt Nam cho biết đang tăng cường ứng dụng AI, máy học… nhằm phát hiện ngay những bất thường trong các giao dịch của khách hàng để kịp thời bảo vệ an toàn.
Hiện mã OTP (mật khẩu dùng một lần) được sử dụng trong biện pháp xác thực 2 lớp để tăng cường độ an toàn cho chủ tài khoản. Tuy nhiên, mã này có thể bị kẻ xấu đánh cắp bằng những chiêu trò lừa bịp hay những phần mềm gián điệp được cài đặt trên điện thoại của chủ tài khoản.
Các chuyên gia cảnh báo chủ tài khoản không bao giờ tiết lộ mã OTP cho ai khác, không dùng tùy chọn nhận mã OTP qua cuộc gọi (hacker có thể nghe lén qua phần mềm hay lợi dụng dịch vụ chuyển hướng cuộc gọi vô điều kiện). Để tránh bị các phần mềm gián điệp đọc trộm màn hình, người dùng thiết bị di động nên cài đặt phần mềm bảo mật, chống virus cho thiết bị của mình (như vẫn làm trên máy tính).
Theo ông Ngô Trần Vũ, CEO Công ty Bảo mật Nam Trường Sơn - NTSS, các vụ lừa đảo mà hacker chiếm lấy tài khoản của nạn nhân rồi dùng đi lừa bạn bè của họ vẫn còn phổ biến khiến nhiều người sập bẫy. Kinh nghiệm từ các nước cho thấy sự lơ là bảo mật của người dùng cuối là mắt xích yếu và khó nâng cấp nhất trong các thành phần của hệ thống bảo mật.
Nếu người dùng cuối không ý thức về bảo mật, sơ suất khi giao dịch online thì dù ngân hàng có hệ thống bảo mật hiện đại đến đâu vẫn không thể bảo vệ được. Ngoài ra, việc sử dụng bản quyền bẻ khóa còn phổ biến thì các phương pháp bảo mật chưa hiệu quả tối ưu.
Ông Vũ nhìn nhận: "Nhiều người dùng hiện nay có suy nghĩ sai lầm là phó mặc việc bảo mật cho đơn vị cung cấp dịch vụ, các trang giao dịch mua bán nên không trang bị phần mềm bảo mật trên thiết bị. Người dùng thiết bị di động có thói quen cài nhiều app mà không kiểm soát, tạo cơ hội cho hacker tấn công thiết bị".
Để giúp người dùng, các nhà cung cấp dịch vụ tài chính, phần mềm an ninh bảo mật, các hãng và nhà phân phối thiết bị di động nên hợp tác để cung cấp miễn phí phần mềm bảo mật cho khách hàng.
Tăng cường nhận dạng giao dịch bất thường
Về giải pháp chống gian lận thanh toán, bảo vệ người dùng, theo đại diện Ngân hàng TMCP Sài Gòn Thương Tín (Sacombank), nhiều ngân hàng đã áp dụng các giải pháp tăng tính bảo mật như đi kèm ứng dụng thanh toán là ứng dụng có chức năng duyệt thanh toán.
Ứng dụng này cung cấp OTP thay thế nhận OTP qua tin nhắn gửi tới điện thoại hoặc cung cấp chức năng ký giao dịch - đây là phương thức xác thực cao nhất theo quy định của Ngân hàng Nhà nước. Ngoài ra, ứng dụng ngân hàng và ứng dụng hỗ trợ duyệt thanh toán có những yêu cầu về tính an toàn của thiết bị khi cài đặt làm gia tăng tính bảo mật về sau.
Các ngân hàng đang tăng cường khâu nhận dạng, xác định những giao dịch bất thường nhằm cảnh báo ngay cho khách hàng qua tin nhắn SMS, email, ứng dụng ngân hàng. Phó tổng giám đốc một ngân hàng cổ phần cho rằng khó có giải pháp nào trọn vẹn trong việc chống gian lận thanh toán ở người dùng cuối, vì các công cụ như Soft OTP/Token OTP/ sinh trắc học... đều được triển khai nhưng cuối cùng cũng phải do người dùng cuối bảo vệ mình trước.