Mất tiền lúc nửa đêm: Lỗi tại ai?

Lỗ hổng bảo mật

Thanh toán chẳng cần tiếp xúc thông qua thẻ tín dụng, thẻ ghi nợ cực kỳ nhanh chóng, đơn giản và đã tỏ ra đặc biệt có ích trong thời kỳ đại dịch hiện nay. Để tăng cường bảo mật, thông thường người dùng phải nhập mã PIN, mã OTP được gửi về số điện thoại đăng ký trên thẻ để giao dịch một số tiền nhất định. Tuy nhiên, dù được những tổ chức ban hành thẻ, trung gian khẳng định bảo mật thẻ 2 lớp, công nghệ tối tân bậc nhất bảo đảm an toàn, nhưng trên thực tiễn vẫn xuất hiện nhiều trường hợp thẻ bị “hack”, tự động trừ tiền trên thẻ với các giao dịch online. Nếu hạn mức tín dụng cao cũng đều có thể dẫn đến thiệt hại gia sản lớn với chủ thẻ.

Những trường hợp bất thần “bốc hơi” mất một lượng tiền trong thẻ tín dụng không cần là hiếm trong thời gian qua. Chia sẻ với báo chí, chị N.T.T.L tại Hồ Chí Minh cho biết, sáng 30/5, chị nhận được hàng loạt lời nhắn trừ tiền trong tài khoản thẻ Vietcombank MasterCard, thời gian từ 1h16 đến 1h33 sáng, có mọi thứ 7 giao dịch thành công bị trừ tiền, trong đó 3 giao dịch trừ 1 USD/lần và 4 giao dịch trừ 6 triệu đồng/lần. Mặc dù thẻ vẫn hiện diện và chị cũng không thực hành giao dịch nào nhưng hơn 24 triệu đồng trong tài khoản đã không cánh mà bay. Đặc biệt, mọi thứ giao dịch này đều thanh toán cho trung tâm quảng cáo trên Facebook mà không yêu cầu nhập mã OTP.

Sau khi mất tiền, chị L. đã gọi đến tổng đài Vietcombank và được hướng dẫn khiếu nại. Song chị L. không khỏi băn khoăn khi thẻ tín dụng được cất giữ cẩn trọng nhưng vẫn bị lộ thông tin.

Một tình huống khác là anh N.M.H cũng bị trừ tiền tại thẻ MSB Creditcard. Theo đó, năm trước anh H. có mua một trung tâm trên internet và thanh toán bằng thẻ, sau 1 năm công ty này tự động gia hạn mà không có thông báo với khách hàng, cùng lúc trừ tiền trên thẻ cũng không yêu cầu mã OTP. Số tiền anh H. bị trừ mất 200 USD, tương đương hơn 4 triệu đồng. Anh H. đã liên hệ với ngân hàng MSB để làm rõ giao dịch thì được trả lời là vì anh không tắt chức năng gia hạn nên đến “hẹn” tài khoản sẽ tự động khấu trừ.

Giải thích về việc vì sao không cần mã OTP mà thẻ vẫn bị trừ tiền, phía ngân hàng cho biết, này là do thoả thuận giữa nhà phải trả với các đối tác bán hàng chứ không nằm ở phía ngân hàng.

“Sau khi nghe ngân hàng phân tích, mình đã chấp nhận mất số chi phí hơn 4 triệu đồng vì chẳng thể đề xuất bồi hoàn. Nhưng sau đó, mình cũng yêu cầu đóng thẻ vì cảm thấy quá rủi ro khi tài khoản cứ tự động trừ tiền cho các trung tâm mình không sử dụng, không mong muốn, cho dù là cũng có thể có thể bị mất dữ liệu về sau.”, anh H chia sẻ.

Theo một chuyên gia phân tích, có 3 “thủ đoạn” để hack thẻ hiện nay, đó là:

Thứ nhất, hack trang web mua bán: Hackers công nghệ có thể lấy thông tin người sử dụng bằng cách hack trang web mua sắm, dịch vụ,… nơi khách hàng hay sử dụng thẻ tín dụng thanh toán. Một khi kẻ gian đã hack trang web thì tất cả tin tức trong web đó sẽ bị lấy đi, có nghĩa là có thể hàng trăm, hàng ngàn tin tức thẻ tín dụng đều bị ảnh hưởng.

Thứ hai, sử dụng máy quét dữ liệu thẻ (Skimming). Hình thức này ở nước ngoài rất phổ biến, nhất là khi tới nhà hàng, khách sạn, trong lúc đưa thẻ thanh toán đã bị đặt thiết bị quét dữ liệu mà người phải trả không hề hay biết.

Thứ ba, kẻ gian sẽ đặt máy MP3 tại cây ATM , với máy MP3 này, khi khách hàng thi hành giao dịch trên cây ATM, mọi tiếng động gõ phím sẽ được ghi lại và chuyển hóa thành các bộ số chính và mã pin thẻ của khách hàng.

“Lỗ hổng về bảo mật mà khách hàng hay gặp phải nhất đó là bị lộ số CVV/CVC2 là mã số bảo mật của thẻ tín dụng dùng trong thanh toán quốc tế, để xác minh quyền nắm giữ thẻ của người dùng. Mã CVV/CVC gồm 3 chữ số được in ở phần bên dưới dải băng đen do ngân hàng phát hành thẻ cấp và quản lý giao dịch mỗi khi người dùng thanh toán hoặc chi tiêu trên thẻ. Cũng không loại trừ trường hợp, ngân hàng làm lộ thông tin của khách hàng, như tình huống tại ngân hàng MSB làm lộ tin tức 2 triệu tài khoản khách hàng trước đây”, vị chuyên gia phân tích.

Đi tìm giải pháp

Thời gian vừa qua, rất nhiều ngân hàng đã áp dụng phương thức 3D-Secure (3DS) là một lớp bảo vệ tăng cường cho các chủ thẻ khi giao dịch trực tuyến. Với phương thức này, khi thực hành các giao dịch trên các website thương mại điện tử, cạnh bên các bước xác thực thông thường, ngân hàng sẽ gửi thêm mật khẩu giao dịch một lần (OTP) qua tin nhắn hoặc email để khách hàng nhập và hoàn chỉnh giao dịch.

3DS đảm nói rằng chỉ có khách hàng, với tư cách là chủ thẻ, sẽ được mật khẩu để hoàn tất giao dịch đó. 3DS được những tổ chức thẻ nước ngoài áp dụng và mang tên thường gọi không trùng lặp như Safe Key (Amex), Verified by Visa (Visa), Mastercard SecureCode hoặc Master ID check (Mastercard), J-Secure (JCB).

Tuy nhiên, theo một chỉ huy ngân hàng cho biết, việc không áp dụng 3DS là do thỏa thuận giữa Visa, MasterCard với những doanh nghiệp cung cấp dịch vụ. Cụ thể, với những doanh nghiệp lớn đã được xác thực danh tánh (verified merchant) như Facebook, Google, Apple…, các giao dịch đều không đòi hỏi mã OTP. Đây cũng là kẽ hở nhiều đối tượng lợi dụng để lừa đảo.

“Ngân hàng muốn áp dụng 3DS để an toàn cho khách hàng, nhưng các dịch vụ cung cấp công ty không hỗ trợ, thì ngân hàng cũng không có cách nào. Dù vậy, nếu khách hàng phát giác và khiếu nại sớm, chúng tôi sẽ kết phù hợp với Visa, MasterCard điều tra và gần như 100% giao dịch liên quan đến Facebook, Google, Apple… đều được hoàn trả trong khoảng 30 – 90 ngày, đồng thời cấp thẻ mới cho khách hàng”, vị chỉ đạo khẳng định.

Trao đổi với Diễn đàn Doanh nghiệp, ông Đinh Hồng Sơn, Tổng giám đốc đơn vị Cổ phần Tài chính Thế hệ mới cho rằng, việc lộ thông tin bảo mật thẻ tín dụng không những xuất phát từ lòng tham của các tin tặc mà phần nào nguyên do cũng do người sử dụng không cẩn thận trong việc bảo mật. Người dùng cần lưu ý một số điều sau để bảo mật thông tin thẻ an toàn:

Một là cần dán nhãn che 3 số bí mật sau thẻ (mã số CVV/CVC) hoặc ghi nhớ rồi xóa đi.

Hai là khi sử dụng thẻ tín dụng, hãy chắc chắn rằng thẻ của mình được bảo mật trước sự giám sát của người khác cũng giống không cho người khác mượn thẻ tín dụng cá nhân để thanh toán, hoặc đưa thẻ thanh toán cho nhân viên phục vụ làm giúp mình.

Ba là , không truy cập vào những đường link lạ, không sử dụng các ứng dụng lậu do dễ bị cài ứng dụng đánh cắp thông tin tài khoản (malwave).

Bốn là , nếu thường xuyên thực hành các giao dịch tài chính cần dùng các chương trình Antivirus để đáp ứng máy tính sạch, không nhiễm trojan, keylogger cùng theo đó cần bật chức năng chống giả mạo (Anti Phising) để đảm bảo an toàn khi truy cập các trang ngân hàng điện tử.

Năm là , sau khi đăng nhập vào các tài khoản ngân hàng, cần đăng xuất ngay và tránh đánh dấu vào tiện ích lưu mật khẩu trên trang.

Sáu là , không can thiệp vào hệ điều hành của điện thoại như root máy với Android hay jailbreak với iPhone, những hành vi này làm vô hiệu hóa khả năng bảo mật của máy.

Còn đối với những ngân hàng, cần có phải xây dựng hệ thống xác thực 3D-Secure cho thanh toán qua thẻ tín dụng, cũng như hệ thống cảnh báo, phát hiện giao dịch thất thường và có quy trình hỗ trợ khách hàng thương lượng với bên cung cấp sản phẩm để hoàn toàn cho khách hàng nếu có thể.

(Theo Diễn Đàn Doanh Nghiệp)

mất tiền trong tài khoản,hacker,thẻ tín dụng,ngân hàng, lừa đảo

Bài viết (post) Mất tiền lúc nửa đêm: Lỗi tại ai? được tổng hợp và biên tập bởi: suamaytinhpci.com. Mọi ý kiến đóng góp và phản hồi vui lòng gửi Liên Hệ cho suamaytinhpci.com để điều chỉnh. suamaytinhpci.com xin cảm ơn.