Cần tuân thủ các quy định về an ninh, bảo mật trong sử dụng dịch vụ ngân hàng điện tử

Tăng cường an ninh, bảo mật vì lợi ích của cả ngân hàng và khách hàng

Đối với giao dịch ngân hàng điện tử, Ngân hàng Nhà nước (NHNN) đã thường xuyên theo dõi, nắm bắt tình hình và có những văn bản cảnh báo tới các tổ chức tín dụng (TCTD), yêu cầu triển khai thực hiện đầy đủ các công việc nhằm đảm bảo an toàn hệ thống website và các dịch vụ ngân hàng cung cấp trên mạng Internet, cũng như tăng cường truyền thông cho khách hàng về các rủi ro mất an toàn thông tin và hướng dẫn khách hàng thực hiện giao dịch điện tử an toàn, bảo mật.

Tại Thông tư 35/2016/TT-NHNN ngày 29/12/2016 của NHNN quy định về an toàn, bảo mật cho việc cung cấp dịch vụ ngân hàng trên Internet đã quy định rõ trách nhiệm của các TCTD phải bảo vệ quyền lợi của khách hàng khi sử dụng dịch vụ, cụ thể bao gồm: Cung cấp thông tin dịch vụ Internet Banking trước khi khách hàng đăng ký sử dụng dịch vụ. Trong đó bao gồm các điều kiện cần thiết về trang thiết bị sử dụng; cách thức truy cập dịch vụ; hạn mức giao dịch và biện pháp xác thực giao dịch; rủi ro liên quan đến sử dụng dịch vụ; hướng dẫn khách hàng sử dụng dịch vụ an toàn, bảo mật; cung cấp cho khách hàng thông tin về đầu mối tiếp nhận thông tin, số điện thoại đường dây nóng và chỉ dẫn cho khách hàng quy trình, cách thức phối hợp xử lý các lỗi và sự cố trong quá trình sử dụng dịch vụ…

Trong thời gian qua, NHNN đã rà soát, ban hành mới hoặc sửa đổi nhiều văn bản quy phạm pháp luật hướng dẫn TCTD triển khai các dịch vụ ngân hàng điện tử đảm bảo an toàn, bảo mật. Đồng thời, NHNN chủ động theo dõi và nắm bắt tình hình an ninh mạng trong ngành và là đầu mối thường xuyên tiếp nhận các cảnh báo về lỗ hổng bảo mật, nguy cơ mất an toàn công nghệ thông tin (CNTT) từ các đơn vị, đối tác và cảnh báo các đơn vị trong ngành kịp thời cập nhật các lỗ hổng bảo mật và sẵn sàng các biện pháp để phát hiện, ngăn chặn và xử lý kịp thời các sự cố (nếu có phát sinh).

Hàng năm, NHNN tổ chức kiểm tra tuân thủ quy định về an toàn bảo mật tại các TCTD, tổ chức trung gian thanh toán để đánh giá, phát hiện và xử lý sớm các rủi ro, sai phạm cũng như khuyến nghị, chấn chỉnh kịp thời những tồn tại hạn chế về an ninh, bảo mật tại các TCTD.

Về phía ngân hàng thương mại (NHTM), để đảm bảo an toàn bảo mật cho giao dịch ngân hàng và thông tin, tài khoản khách hàng trước nguy cơ tấn công mạng, các NHTM đã tăng cường phối hợp với NHNN để thực hiện các chính sách đã ban hành về CNTT trong lĩnh vực ngân hàng; chủ động trong giám sát hoạt động hệ thống CNTT và xử lý các sự cố phát sinh (nếu có); tăng cường các biện pháp giám sát, theo dõi hoạt động và nhật ký của các hệ thống thông tin quan trọng, các cổng, trang tin điện tử, hệ thống Internet Banking để kịp thời phát hiện và xử lý sự kiện nghi ngờ là hành động tấn công (nếu có); thực hiện sao lưu và lưu trữ đầy đủ dữ liệu cũng như sẵn sàng kịch bản và phương án đảm bảo hoạt động liên tục cho các hệ thống thông tin quan trọng, các cổng, trang tin điện tử, hệ thống Internet Banking.

Bên cạnh đó, NHTM cũng đẩy mạnh công tác truyền thông, nâng cao nhận thức của khách hàng trong sử dụng ngân hàng điện tử, khuyến khích, hỗ trợ người dân trong việc tiếp cận, sử dụng hiệu quả các dịch vụ ngân hàng trực tuyến; đồng thời tiếp nhận ý kiến trực tiếp từ khách hàng nhằm hoàn thiện và nâng cao chất lượng sản phẩm, dịch vụ.

Nhận diện hành vi lừa đảo của tội phạm mạng

Mới đây, hệ thống giám sát của CyRadar đã phát hiện 2 địa chỉ mạng với hơn 180 tên miền, hiện đang tấn công lừa đảo người dùng bằng cách mạo danh rất nhiều ngân hàng và ví điện tử phổ biến tại Việt Nam. Hacker tấn công an ninh mạng liên quan đến ngân hàng, trong đó chủ yếu là các vụ đánh cắp mã OTP giao dịch của người dùng (OTP là từ viết tắt của One Time Password, có nghĩa là mật khẩu sử dụng một lần. Thời gian tồn tại của mã OTP cũng rất ngắn, thường trong vòng 30 giây). Cách thức chính của hacker là lừa người dùng cài đặt phần mềm gián điệp trên điện thoại để lấy trộm tin nhắn OTP, thực hiện giao dịch bất hợp pháp. Trung bình mỗi tháng, hệ thống giám sát virus của Bkav đã phát hiện hơn 15.000 phần mềm gián điệp trên điện thoại di động.

Các ngân hàng cũng đưa ra cảnh báo về những bước lừa đảo của tội phạm công nghệ đối với người dùng dịch vụ ngân hàng điện tử hiện nay như:

Bước 1: Thu thập thông tin khách hàng

Bằng nhiều cách thức khác nhau kẻ gian thực hiện thu thập thông tin liên quan đến khách hàng, từ thông tin cá nhân (tên, số điện thoại, ngày tháng năm sinh, địa chỉ, số chứng minh nhân dân, địa chỉ email….) tới các thông tin về thẻ tín dụng (số thẻ; số CVV - là viết tắt của cụm từ Card Verification Value là mã dùng để xác minh thẻ Visa bao gồm thẻ ghi nợ và thẻ tín dụng; hạn sử dụng; thông tin về tài khoản (username, mật khẩu, số dư, lịch sử giao dịch,…). Nhiều người bán hàng online đang là nạn nhân của những kẻ lừa đảo trên mạng, do thường đăng tải và tiết lộ các giao dịch/số tài khoản của mình lên trên Facebook.

Bước 2: Lừa đảo khách hàng

Sau khi đã có một số thông tin, kẻ gian sẽ giả danh nhân viên ngân hàng, tổng đài của ngân hàng, hoặc cơ quan chức năng… để liên hệ với khách hàng qua điện thoại hoặc tin nhắn. Với thông tin đã có từ trước, kẻ gian dễ dàng chiếm lòng tin của khách hàng và khai thác thông tin nhạy cảm như mã số OTP.

Bước 3: Kẻ gian chiếm đoạt tiền

Khi đã có các thông tin bảo mật do khách hàng cung cấp, kẻ gian chiếm đoạt tài khoản và lập tức rút hết tiền trong tài khoản.

Khuyến cáo khách hàng

Nhìn chung, khách hàng cần tuân thủ các quy định, hướng dẫn của các ngân hàng cung cấp dịch vụ ngân hàng, đăng ký nhận tin thông báo thay đổi số dư giao dịch. Đối với mật khẩu truy cập dịch vụ giao dịch trực tuyến cần đặt mật khẩu khó đoán, thay đổi mật khẩu thường xuyên và không sử dụng các tính năng lưu mật khẩu để đăng nhập tự động.

Tuyệt đối giữ bí mật các thông tin bảo mật ngân hàng điện tử E-Banking, bao gồm tên đăng nhập/ mật khẩu đăng nhập/ mã Smart OTP; Nên cập nhật hệ điều hành và phần mềm F@st Mobile phiên bản mới nhất; Nên thực hiện giao dịch điện tử trên các website mua bán hàng hóa chính thức, có độ bảo mật cao; Nên xác thực người đề nghị thực hiện giao dịch khi nhận được yêu cầu chuyển tiền, nạp tiền; Nên đăng xuất khỏi tài khoản E-banking ngay sau khi thực hiện giao dịch.

Không cung cấp thông tin bảo mật E-banking như tên đăng nhập/ mật khẩu đăng nhập/Smart OTP và nội dung các tin nhắn thông báo từ ngân hàng cho bất kì ai, kể cả người tự xưng là công an, cơ quan điều tra, nhân viên ngân hàng...; Không cài đặt các phầm mềm Crack, can thiệp vào thiết bị, hệ điều hành; Không nhập mật khẩu đăng nhập/ mã OTP trên các trang mạng không rõ nguồn gốc, hoặc đường link lạ;  Không thực hiện giao dịch trên các thiết bị công cộng, tiềm ẩn rủi ro cao, hay lưu thông tin tự động đăng nhập Ngân hàng điện tử tại bất kì đâu; Không nên cung cấp thông tin, đưa thông tin giao dịch lên mạng, đặc biệt là những giao dịch bán hàng online, vì sẽ tạo điều kiện cho kẻ lừa đảo.

Trong trường hợp bị lộ hoặc nghi ngờ bị lộ Tên đăng nhập/ Mật khẩu, khách hàng cần nhanh chóng thông báo tới ngân hàng để được hỗ trợ kịp thời;  Hạn chế dùng máy tính công cộng, thiết bị di động kết nối với mạng không dây (Wifi) công cộng để truy cập vào hệ thống ngân hàng điện tử; Gõ trực tiếp địa chỉ các trang web ngân hàng điện tử thay vì chọn đường link có sẵn, chỉ đăng nhập tại website chính thức của ngân hàng; luôn đăng xuất khỏi các website đã nhập thông tin cá nhân.