SOHA NEWS
Trước tiên, phần hướng dẫn tổng quan này dành cho những người thật sự quan tâm đến việc hiểu rõ những nguy cơ khi sử dụng ngân hàng trực tuyến (online banking) hay ngân hàng di động (mobile banking), kèm theo các bước bảo vệ hợp lý, ngăn chặn hầu hết những cách thức tội phạm mạng có thể "chôm tiền" trong tài khoản ngân hàng hay tài khoản thẻ của bạn.
1. Đăng ký nhận thông báo qua email và SMS
Hầu hết các ngân hàng tại Việt Nam đều cung cấp cho khách hàng lựa chọn nhận thông báo giao dịch tài khoản hay giao dịch thẻ qua email và SMS đến số điện thoại đăng ký.
Các lựa chọn này thường có khoản phí nhỏ trung bình 10.000 VNĐ/tháng, nhưng lại hay bị bỏ qua. Đây là quyết định sai lầm!
Người dùng nên chọn đăng ký nhận thông báo giao dịch qua cả email và tin nhắn SMS. Theo đó, có thể nắm bắt ngay những giao dịch bất thường từ tài khoản của mình để liên hệ ngân hàng xử lý kịp thời.
Tính năng thông báo giao dịch này đã từng "cứu nguy" cho thẻ tín dụng (credit card) của tác giả khi bị dùng trộm ở... một siêu thị tại Mỹ.
Ngay khi nhận được thông báo SMS cho giao dịch bất thường này, tác giả đã liên hệ bộ phận hỗ trợ ngân hàng khóa thẻ, và làm thư khiếu nại để ngân hàng xử lý, đóng băng số tiền giao dịch và hoàn trả.
2. Mật khẩu cho thẻ quốc tế (credit, debit)
Các loại thẻ thanh toán quốc tế VISA, MasterCard, American Express, JCB... không còn xa lạ với người tiêu dùng tại Việt Nam. Phổ biến là loại thẻ tín dụng (credit card) xài trước trả sau, và thẻ ghi nợ (debit card) có bao nhiêu trong tài khoản thì xài bấy nhiêu.
Theo ông Lê Nguyên Khang, trưởng phòng An toàn thông tin VCCorp tư vấn người dùng nên hỏi ngân hàng cung cấp thẻ về dịch vụ đăng ký VBV (Verified by VISA) cho thẻ VISA, và MSC (MasterCard SecureCode) của MasterCard.
Về cơ bản, đây là chương trình an ninh do VISA và MasterCard cung cấp nhằm đảm bảo chính chủ thẻ hợp pháp đã thực hiện giao dịch thẻ tín dụng hay thẻ ghi nợ.
VBV hoặc MSC (tùy người dùng sử dụng loại thẻ Visa hay MasterCard) sẽ yêu cầu nhập một Mật khẩu (Password) vào khâu cuối cùng của giao dịch để hoàn tất thanh toán, và nếu nhập sai, giao dịch sẽ không hoàn tất thành công.
Mật khẩu VBV hay MSC do ngân hàng phát hành thẻ cung cấp.
Bên cạnh đó, cần tập thói quen thay đổi định kỳ số PIN cho thẻ ATM, ông Khang cho biết.
3. Bảo bọc mã xác thực OTP
Ông Khang khuyến cáo người dùng cá nhân có tài khoản ngân hàng lớn giao dịch qua mạng thường xuyên nên đăng ký nhận mã xác thực giao dịch OTP vào một số điện thoại thứ hai, dùng trên một điện thoại di động "cùi bắp" không phải smartphone.
Thoạt nghe có vẻ kỳ lạ nhưng thực chất đây là một lưu ý quan trọng và hữu ích!
Theo ông khang, đăng ký số điện thoại di động thứ hai (chỉ dùng nhận OTP), không phải số thuê bao bạn đang dùng thường xuyên khiến tội phạm mạng không thể biết dù đã đưa bạn vào tầm ngắm.
Chúng không thể "hack" được điện thoại di động "cùi bắp" từ xa dễ dàng như smartphone, không thể biết số di động nhận mã OTP giao dịch để lấy. Hai yếu tố phòng tránh có chút bất tiện nhưng rất hiệu quả.
Một lựa chọn khác, có thể đăng ký (tốn phí) thiết bị OTP Token được các ngân hàng cung cấp khi khách hàng có yêu cầu. Mỗi khi giao dịch, bạn cần nhập mã OTP Token từ thiết bị xuất ra thay vì do hệ thống của ngân hàng gửi đến email hoặc SMS.
Các ngân hàng còn có một lựa chọn nữa là Thẻ xác thực (Token Card) nhưng thường bị bỏ qua vì không tiện dụng.
Giới chuyên gia bảo mật đều mong muốn các ngân hàng sớm đưa vào áp dụng chữ ký số thay thế cho các phương thức xác thực trên, an toàn ngay cả khi thuê bao di động chủ tài khoản đó bị cướp SIM.
4. Chỉ dùng trên thiết bị "sạch"
"Thiết bị sạch" là yếu tố rất quan trọng mà bất kỳ người dùng ngân hàng trực tuyến trên PC hay di động (mobile) đều cần lưu tâm. Đăng nhập vào tài khoản ngân hàng trên một thiết bị nhiễm mã độc, bị hack không khác gì tự tay dâng thông tin cho kẻ xấu.
Với PC: hạn chế tối đa đăng nhập tài khoản ngân hàng online từ các máy tính công cộng như thư viện, sân bay hay ở dịch vụ Internet. Thông tin tài khoản dễ dàng rơi vào tay kẻ xấu.
Máy PC có cài đặt các chương trình bảo vệ gồm tường lửa (firewall), anti-virus, hay có thêm tính năng bảo vệ giao dịch ngân hàng trực tuyến như Safe Money của Kaspersky Internet Security 2016, cùng những quy tắc bảo mật cho PC khác như cập nhật bản vá lỗi cho hệ điều hành, không lướt web thường xuyên (dễ nhiễm mã độc)...
Với Thiết bị di động (smartphone và tablet): người tiêu dùng thường có tâm lý bất cẩn khi sử dụng trên smartphone hay tablet vốn không được bảo vệ kỹ càng. Một số quy tắc cơ bản sau có thể phần nào hạn chế nguy cơ:
- Không đăng nhập tài khoản ngân hàng trên smartphone "bẻ khóa" (jailbreak).
- Chỉ tải ứng dụng mobile banking do chính ngân hàng đó cung cấp qua các chợ ứng dụng chính thức như Google Play, Apple App Store, thường xuyên cập nhật phiên bản mới nhất từ ngân hàng cung cấp.
- Không kết nối tài khoản ngân hàng với các ứng dụng bên thứ ba. Chỉ dùng khi thật sự hiểu rõ cơ chế bảo vệ thông tin và dữ liệu của ứng dụng đó.
- Không tải nhiều ứng dụng, trò chơi trên smartphone thường xuyên giao dịch ngân hàng online. Các lỗ hổng từ ứng dụng khác, hay chính các ứng dụng gây hại có thể là bước đệm cho tội phạm mạng cướp tài khoản mobile banking của bạn.
Ở cả hai trường hợp, nếu đăng nhập tài khoản bằng trình duyệt web, cần gõ đúng địa chỉ website ngân hàng trực tuyến với ký tự nhận dạng HTTPS phía trước địa chỉ. Ví dụ: HTTPS://NGANHANG... phòng tránh các website giả mạo.
5. Trứng để vào... nhiều rổ
Các chuyên gia đều khuyên người dùng thường xuyên giao dịch trên mạng nên tạo một tài khoản phụ và chỉ dùng tài khoản này hay thẻ thanh toán đăng ký từ tài khoản này để giao dịch, mua sắm.
Người dùng cần đăng ký các hạn mức giao dịch cho tài khoản phụ, luôn cho chúng ở mức thấp.
Ví dụ không giao dịch quá 10 triệu đồng/ngày, hay trong tài khoản có bao nhiêu tiền thì được dùng bấy nhiêu (khi cần giao dịch thì chuyển tiền vừa đủ vào trước).
6. Mua sắm qua di động, mua trên mạng
Nhịp Sống Số từng có nhiều bài viết hướng dẫn thanh toán trên mạng an toàn do phần này cần nhiều nội dung chi tiết.
Về cơ bản, người tiêu dùng nên lựa chọn các website bán hàng hay cung cấp dịch vụ trực tuyến có hỗ trợ các dịch vụ thanh toán trung gian như Paypal hay các kênh uy tín như CleverBridge.
Paypal được tin dùng toàn cầu và được phần lớn website thương mại điện tử đưa vào như là một lựa chọn khâu thanh toán. Người dùng thông qua Paypal trả tiền cho nơi bán. Nếu giao dịch bất ổn về hàng hóa, lừa đảo... thì Paypal theo chính sách dịch vụ có thể hoàn trả số tiền giao dịch.
Nạp số thẻ credit hay thẻ debit trực tiếp trên các website luôn mang nhiều nguy cơ mất thông tin thẻ. Có thể bị hack từ chính thiết bị bạn đang dùng, hoặc hacker tấn công thẳng vào website lưu trữ thông tin giao dịch thẻ.
7. Quẹt thẻ cẩn trọng
Không chỉ "lên mạng" mà khi quẹt thẻ ở cửa hàng, trung tâm mua sắm, nhà hàng hay quán cà phê, thông tin thẻ cũng có thể bị mất từ hai nguy cơ: mã độc lây nhiễm trong máy POS, và kẻ xấu tiếp cận trực tiếp thông tin thẻ.
Bạn đọc có thể xem chi tiết về mã độc nhiễm trong máy POS quẹt thẻ gây hại ra sao trong "Quẹt thẻ mất tiền vì mã độc máy PoS mới".
Nguy cơ thứ hai đến từ việc đưa thẻ cho nhân viên đi quẹt thẻ thanh toán. Giới chuyên gia khuyến cáo bạn nên trực tiếp đến nơi quẹt thẻ, và thậm chí cần che dãy số thẻ và số cvv bằng keo mỏng, chỉ để lộ lớp từ để quẹt vào máy.
Tuy nhiên trong thực tế, hầu hết chúng ta đều buộc lòng giao phó cho... đạo đức của người phục vụ. Họ có thể chỉ cần 2-3 giây chụp hình toàn bộ thông tin thẻ mặt trước và mặt sau bằng smartphone, hoặc một kẻ xấu khác ở quanh khu vực quẹt thẻ có thể chộp lấy thông tin này.
Từ những cảnh báo trên, ta có thể thấy rõ có nhiều nguy cơ tồn tại khi giao dịch tài khoản trên mạng. Cần có kiến thức và chịu khó tập làm quen với các bước bảo vệ để hạn chế tối đa những nguy cơ kẻ xấu và tin tặc có thể "bốc hơi" tiền trong tài khoản.