Bịt lỗ hổng sau hàng loạt vụ tiền "không cánh mà bay"
Nhiều chủ thẻ tín dụng, chủ thẻ ATM tỏ ra lo lắng khi thời gian gần đây xảy ra hàng loạt vụ bỗng dưng mất tiền trong tài khoản ngân hàng như Vietcombank, VPBank, HDBank, Đông Á Bank… Điều này buộc các ngân hàng phải khẩn trương bịt các lỗ hổng, tăng cường bảo mật nhằm bảo vệ khách hàng.
Điều chỉnh hàng loạt dịch vụ
Ngay sau vụ việc khách hàng Hoàng Thị Na Hương bị mất 500 triệu đồng trong tài khoản, Vietcombank cho biết đã rà soát tổng thể và điều chỉnh hàng loạt chính sách cung cấp dịch vụ.
Cụ thể, Vietcombank điều chỉnh hạn mức chuyển tiền trên ngân hàng điện tử (Internet banking); áp dụng phương thức kích hoạt dịch vụ Smart OTP (phương thức xác thực giao dịch trực tuyến) thông qua việc đăng ký trực tiếp tại quầy giao dịch của ngân hàng thay vì qua điện thoại hoặc email.
“Phần mềm Smart OTP đã được bổ sung nội dung thông báo này để tạo thuận lợi về tiếp cận thông tin cho khách hàng. Đề nghị khách hàng tải lại phiên bản mới nhất của phần mềm Smart OTP trên Google Play Store hoặc Apple Store” - đại diện Vietcombank cho biết.
Nhận xét về sự thay đổi này, TS Nguyễn Trí Hiếu, chuyên gia tài chính ngân hàng, nói: “Có thể những cách thức mới này làm phức tạp hóa việc giao dịch nhưng điều đó là cần thiết nhằm đảm bảo an toàn cho khách”.
Tương tự, sau khi vợ chồng anh Thanh ở Đồng Tháp bị mất gần 200 triệu đồng, ông Lê Thành Trung, Phó Tổng Giám đốc Ngân hàng HDBank, cho biết: “Đối với sự cố vừa rồi, chúng tôi yêu cầu các bộ phận nghiệp vụ bằng mọi cách phải tìm ra được nguyên do cũng như khắc phục sự cố để đảm bảo quyền lợi cho khách hàng. Về mức độ xử lý cụ thể cho vụ việc như thế nào thì hiện nay bộ phận nghiệp vụ vẫn đang tích cực giải quyết. Đồng thời sau sự cố này, chúng tôi đẩy mạnh tính bảo mật, nâng cao chất lượng dịch vụ, đảm bảo quyền lợi cho khách hàng”.
Không chỉ Vietcombank, HDBank mà nhiều ngân hàng khác cũng đồng loạt gửi tin nhắn đến các khách hàng sử dụng thẻ ATM cảnh báo tuyệt đối không cung cấp tên hay mật khẩu truy cập ngân hàng điện tử, mã mật khẩu một lần (OTP), số thẻ ngân hàng bằng bất cứ hình thức nào qua điện thoại, email, mạng xã hội hay những trang web, đường link lạ.
Chị Lâm Thanh Hằng, nhà ở quận 2, TP.HCM, chia sẻ: “Không phải vì những vụ mất tiền như thời gian qua mà tôi chia tay với thanh toán trực tuyến hoặc với ATM. Thay vào đó, tôi phải tìm cách tự bảo mật, bảo vệ tiền của mình. Chẳng hạn khi đi rút tiền tại ATM, tôi quan sát xem có các thiết bị lạ gắn trên ATM, nhất là khu vực phía trước bàn phím xem có camera hay không. Nếu như ATM chưa được trang bị thiết bị che bàn phím, tôi dùng tay che bàn phím khi nhập mã PIN để rút tiền nhằm tránh việc kẻ xấu quay camera để trộm dữ liệu”.
Tiêu chuẩn bảo mật vẫn bị coi nhẹ
“Hiện tại không quá 30% ngân hàng ở Việt Nam có chứng chỉ PIC DSS - tiêu chuẩn bảo mật dành cho thanh toán thẻ. Điều này cho thấy tính bảo mật vẫn chưa được quan tâm đúng mức ở một số ngân hàng” - ông Võ Tấn Hoàng Văn, Tổng Giám đốc Ngân hàng SCB, nhận định.
Ông Văn cho rằng bộ tiêu chuẩn PCI DSS sẽ giúp “vạch mặt, chỉ tên” những kẽ hở trong quy trình phát hành và vận hành thẻ của ngân hàng. Chẳng hạn, nó cảnh báo trong hệ thống có điểm nào không an toàn, có kẽ hở nào đó mà kẻ xấu dễ lợi dụng để đánh cắp tiền của ngân hàng hoặc khách hàng. Điều này làm tăng tính an toàn cho ngân hàng và khách hàng khi giao dịch.
Một chuyên gia an ninh mạng cũng nhận định PCI DSS là một trong những quy chuẩn rất quan trọng liên quan đến tổ chức thanh toán thẻ ngân hàng, trang thương mại điện tử. Nhưng việc áp dụng hệ thống theo PCI DSS đòi hỏi chi phí tiền bạc, thời gian, nhân sự lớn với quy trình vận hành rất phức tạp. Ví dụ, một hệ thống ATM cũ không đạt tiêu chuẩn thì phải nâng cấp. Đó là lý do vì sao nhiều ngân hàng chưa mặn mà với công cụ này.
TS Nguyễn Trí Hiếu cho biết thêm để tăng cường tính bảo mật, ngân hàng cần phải đầu tư cho công nghệ thông tin, tạo tường lửa, rà soát lại các quy trình thực hiện, đào tạo và giám sát nhân sự. Điều này đòi hỏi ngân hàng phải bỏ ra chi phí rất lớn có thể lên đến hàng triệu USD mỗi năm nhưng bù lại nó có thể bảo vệ được chính ngân hàng và khách hàng của mình.
Nhiều ý kiến khác cũng cho rằng các ngân hàng không thể cứ mải mê phát triển dịch vụ, tìm kiếm khách hàng mới mà quên việc chấn chỉnh chất lượng dịch vụ, đặc biệt là bảo mật để bảo vệ tiền gửi của khách hàng. Bởi một hệ thống thanh toán không thể được xem là an toàn khi có hàng loạt vụ tiền trong tài khoản bỗng dưng “không cánh mà bay”.
Đánh giá lại toàn bộ quy trình
Sau hàng loạt vụ khách hàng liên tục mất tiền trong tài khoản, thống đốc Ngân hàng Nhà nước (NHNN) vừa có văn bản yêu cầu các tổ chức cung ứng dịch vụ thanh toán phải rà soát, đánh giá lại toàn bộ quy trình, thủ tục, hồ sơ và hợp đồng mở, sử dụng tài khoản thanh toán tại tổ chức mình. Đồng thời tăng cường đào tạo nhận thức về an toàn, bảo mật cho cán bộ, nhân viên và khách hàng sử dụng dịch vụ ngân hàng điện tử.
NHNN còn yêu cầu các đơn vị này không được bớt xén các công đoạn trong các quy trình nghiệp vụ. Khi có các rủi ro, gian lận xảy ra phải báo cáo NHNN và phối hợp với khách hàng, các cơ quan bảo vệ pháp luật và các đơn vị liên quan xử lý nhanh, chính xác, đúng quy định và sớm thông tin cho khách hàng; quyền lợi của người dân, của khách hàng phải được đảm bảo theo đúng quy định của pháp luật.
Đi vắng mà… quên khóa cửa
Hiện khách hàng chưa có thói quen nâng cao tính bảo mật tài khoản vì tin rằng ngân hàng có thể bảo vệ tài sản cho họ. Tư duy này vô cùng sai lầm! Bởi hacker luôn đi trước một bước so với công nghệ thông tin của ngân hàng. Do vậy, không có ngân hàng nào trên thế giới dám khẳng định hệ thống bảo mật của mình sẽ an toàn tuyệt đối 100%. Bởi vậy chính khách hàng cũng phải biết cách tự bảo vệ mình. Ví dụ, thường xuyên kiểm tra xem tài khoản của mình có giao dịch nào đáng ngờ hay không, thường xuyên thay đổi mật khẩu. Tốt nhất nên thay đổi mật khẩu một tháng một lần hoặc ít nhất cũng là ba tháng một lần.
Đến thời điểm này mà vẫn có khách hàng viết mật khẩu lên mặt sau thẻ ATM. Điều này chẳng khác nào đi vắng mà… quên khóa cửa nhà.
TS Nguyễn Trí Hiếu, chuyên gia tài chính ngân hàng
Để phòng tránh thiệt hại khi bị mất thông tin cá nhân, mất tiền trong tài khoản, NHNN khuyến cáo khách hàng cần bảo mật thông tin về tên/mật khẩu đăng nhập các dịch vụ ngân hàng điện tử, mã xác thực giao dịch OTP. Cần bảo vệ điện thoại hoặc thiết bị di động của mình khi sử dụng các thiết bị này cho các dịch vụ ngân hàng trực tuyến như cài đặt phần mềm phòng chống mã độc hại, thiết lập tính năng xác thực khi truy cập bằng mật mã hoặc vân tay…
Theo Thuỳ Linh
Pháp Luật TPHCM