"3 không và 2 nên" để bảo vệ tài khoản ngân hàng
Tại một hội thảo về "Bảo vệ tài khoản ngân hàng trước nguy cơ lừa đảo trực tuyến gia tăng" mới đây, nhiều chuyên gia cho rằng kỹ thuật tấn công của kẻ lừa đảo ngày càng tinh vi. Tôi vừa đồng ý và cũng vừa không đồng ý. Những việc phức tạp thì không đơn giản nhưng không nên cố làm vấn đề trở nên phức tạp hơn!
Hệ thống phòng thủ của ngân hàng được thiết kế dày đặc và kiên cố, chỉ những hacker thượng thặng mới có thể cố gắng xâm nhập để trục lợi bất chính. Còn kẻ lừa đảo thông thường chỉ nhắm vào những việc đơn giản mà nhiều khi hiệu quả như giả danh cán bộ công an, viện kiểm sát, cán bộ thuế hay nhân viên chăm sóc khách hàng.
Trong bối cảnh an toàn thông tin, lừa đảo phi kỹ thuật (Social Engineering attack) là khái niệm liên quan đến thao tác chi phối tâm lý của con người để dụ họ tiết lộ các thông tin bí mật, ở đây là thông tin liên quan đến tài khoản ngân hàng cá nhân.
Chiêu trò có thể mới nhưng về bản chất thì vẫn là những cách lừa đảo xưa như trái đất, hình thành từ khi có con người và xã hội. Nó đánh trúng vào tâm lý và hành vi của con người, vốn không thay đổi nhiều qua hàng trăm năm nay: Lòng tham, sự sợ hãi, mong muốn thoải mái, quan tâm đến người thân yêu... Do vậy, nếu chúng ta chỉ chú ý đến khía cạnh phòng thủ "tinh vi" là bỏ qua mắt xích yếu nhất trong toàn bộ hệ thống: Con người.
Nhờ vào các tiến bộ công nghệ, kịch bản của kẻ lừa đảo thường có lớp lang và có sự hợp lý để qua mắt người bị lừa. Từ việc thu thập thông tin từ các nguồn công khai, miễn phí về một cá nhân hoặc tổ chức - nhờ mạng xã hội và sự phổ biến của các hoạt động trực tuyến, đến sự hỗ trợ của Deep Fake, Deep Voice (các phương thức tạo ra sản phẩm công nghệ giả dưới dạng âm thanh, hình ảnh)…
Hoặc thậm chí đơn giản hơn rất nhiều bằng cách in đè QR code lên QR code của các cửa hàng tiện lợi, quán bún đậu, quán chè…
Như vậy, giải pháp để bảo vệ tài khoản ngân hàng trước nguy cơ lừa đảo trực tuyến không chỉ cần các biện pháp công nghệ mà cần cả sự hiểu biết, ý thức của chủ tài khoản.
Giám đốc điều hành của một ngân hàng đã nói về "3 không và 2 nên" để đối phó với lừa đảo phi kỹ thuật mà tôi thấy rất hay.
3 không là:
- Không bấm vào link lạ;
- Không cài đặt các app lạ;
- Không nghe lời những người lạ (giả dạng công an, viện kiểm soát, thuế vụ, nhân viên chăm sóc khách hàng).
2 nên:
- Nên xác minh các nguồn tin
- Nên chậm lại để suy nghĩ trước khi hành động.
Ngoài ra, theo tôi để phòng chống lừa đảo phi kỹ thuật thì cần đẩy mạnh hơn nữa việc phổ biến kiến thức cơ bản, đảm bảo rằng người dân và nhân viên trong tổ chức liên quan đến lĩnh vực này đều biết về các loại tấn công social engineering và biết cách nhận biết các dấu hiệu.
Chúng ta cũng cần tổ chức các cuộc tập huấn mô phỏng (giả lập tấn công) để kiểm tra mức độ phản ứng của nhân viên trong tổ chức. Về kiểm soát truy cập, cần đảm bảo rằng chỉ những người có quyền thích đáng mới được truy cập vào các tài nguyên và thông tin quan trọng.
Việc xác minh danh tính là rất quan trọng. Đối với các giao dịch bằng tài khoản ngân hàng, bên cung cấp dịch vụ cũng như khách hàng luôn phải tuân thủ các yêu cầu xác minh danh tính thông qua nhiều yếu tố (ví dụ: mật khẩu, mã OTP, sinh trắc học) trước khi tiết lộ thông tin quan trọng.
Ngân hàng và khách hàng cũng cần tăng cường sử dụng công nghệ bảo mật thông tin như: Tường lửa, chương trình diệt virus, và các công nghệ giám sát để phát hiện và ngăn chặn tấn công. Luôn cập nhật các phần mềm bảo mật để bảo vệ hệ thống khỏi các lỗ hổng.
Người dân cần hạn chế việc chia sẻ thông tin trên mạng xã hội, vì thông tin cá nhân có thể được sử dụng để tấn công mục tiêu; luôn xem xét cẩn thận mọi yêu cầu về thông tin cá nhân hoặc thông tin cơ quan, dù là qua email, điện thoại hay gặp mặt trực tiếp; báo cáo nghi ngờ về các hoạt động gian lận cho người có trách nhiệm hay cơ quan chức năng.
Khi một cuộc tấn công xảy ra, cả ngân hàng và khách hàng nên phân tích sự cố để hiểu rõ nguyên nhân, đồng thời cải thiện các biện pháp bảo mật.
Về cơ bản, việc phòng chống lừa đảo phi kỹ thuật đòi hỏi sự tỉnh táo, cẩn trọng, và sự phối hợp giữa các yếu tố kỹ thuật và con người.
Tôi hy vọng mọi người chung tay, góp phần lành mạnh hóa môi trường mạng đang diễn biến hết sức phức tạp để bảo vệ bản thân, gia đình, bạn bè trước những thủ đoạn đơn giản nhưng hiệu quả của kẻ lừa đảo.
Tác giả: Ông Đào Trung Thành học Thạc sĩ an ninh mạng tại Học viện Quốc gia Viễn thông, Pháp; từng kinh qua nhiều vị trí kỹ thuật và quản lý như Phó giám đốc Trung tâm Hỗ trợ Khách hàng và Quản lý cước - VNPT TPHCM; Phó giám đốc Công ty Tin học Bưu điện (Netsoft); Giám đốc Công nghệ Thông tin (CIO) của Hệ thống Vinschool… Hiện ông Thành là chuyên gia tư vấn chiến lược công nghệ thông tin và chuyển đổi số.
Chuyên mục TÂM ĐIỂM mong nhận được ý kiến của bạn đọc về nội dung bài viết. Hãy vào phần Bình luận và chia sẻ suy nghĩ của mình. Xin cảm ơn!