“Vá lỗ hổng” bảo mật tin nhắn SMS dịch vụ ngân hàng bằng cách nào?
Vốn là lĩnh vực “đi liền khúc ruột”, bất kỳ một dịch vụ nào của ngân hàng liên quan đến tài khoản của khách cũng cực kỳ nhạy cảm và là đối tượng tấn công của nhiều đối tượng tội phạm. Ngoài “đánh” trực tiếp vào khách hàng, gần đây, hiện tượng mạo danh SMS Brandname (tin nhắn định danh thương hiệu) đang rộ lên, gây đau đầu cho các tổ chức tài chính.
Phí dịch vụ cao, hiệu quả vẫn thấp
SMS Brandname (tin nhắn định danh thương hiệu) là tin nhắn không hiển thị số thuê bao, mà chỉ hiện tên các thương hiệu đã được đăng ký và xét duyệt từ các công ty viễn thông (nhà mạng). Đây là phương thức được nhiều nhãn hàng tin dùng, trong đó có ngân hàng nhằm dễ dàng thông tin tới khách hàng. Tuy nhiên, gần đây đã xảy ra nhiều vụ việc kẻ gian giả mạo tin nhắn SMS Brandname để dụ đăng nhập vào website không an toàn hòng đánh cắp thông tin tài khoản ngân hàng, chiếm đoạt tài sản.
Chiêu thức phổ biến hiện nay đó là người dùng sẽ nhận được tin nhắn từ đầu số không phải của ngân hàng nhưng có tên hiển thị giống (brandname), với nội dung: "Chung toi phat hien tai khoan cua ban dang tieu dung o nuoc ngoai. Neu khong phai ban dang tieu dung vui long nhap vào https://vn-“tên ngân hàng”.com de huy thanh toan". Do tin nhắn gửi trùng tên ngân hàng, nhiều người nghĩ rằng nhận được cảnh báo của ngân hàng nên truy nhập vào đường link giả mạo trên và bị lừa hàng trăm triệu đồng.
Danh sách nạn nhân bị lừa đảo bằng tin nhắn định danh thương hiệu ngày càng nhiều. Điều này không chỉ khiến khách hàng thiệt hại, mà còn ảnh hưởng đến uy tín, danh dự của ngân hàng, gây mất niềm tin vào hệ thống các tổ chức tín dụng có uy tín. Hiện trò lừa đảo này vẫn đang diễn ra và có rất nhiều khách hàng mất tiền do truy cập vào các link được gửi kèm tin nhắn. Các ngân hàng đã đồng loạt lên tiếng cảnh báo và hướng dẫn khách hàng ứng phó với tin nhắn giả mạo nhằm giảm thiểu rủi ro.
Cục An toàn thông tin (Bộ Thông tin và Truyền thông) xác nhận, thời gian vừa qua, nhiều thuê bao di động nhận được các tin nhắn mạo danh các tổ chức tài chính, ngân hàng gửi các nội dung giả mạo, lừa đảo nhằm chiếm đoạt tiền của người dân. Qua xác minh, đánh giá cho thấy, các tin nhắn giả mạo này không xuất phát từ hệ thống của các tổ chức tài chính, ngân hàng, mà được phát tán thông qua các thiết bị phát sóng di động giả mạo. Đây là các thiết bị có nguồn gốc từ nước ngoài, được các đối tượng mua bán, sử dụng trái phép nhằm mục đích thực hiện các cuộc tấn công phát tán tin nhắn rác lừa đảo người dùng, đặc biệt là người dùng tại các khu vực đô thị.
Trước thực tế này, theo Tổng Thư ký Hiệp hội Ngân hàng Nguyễn Quốc Hùng, các nhà mạng cần có trách nhiệm trong việc gia tăng bảo mật, ngăn ngừa và phối hợp với các ngân hàng “vá lỗ hổng” dịch vụ tin nhắn SMS nhằm đảm bảo an ninh, an toàn hệ thống tài chính tiền tệ. Chia sẻ thêm, ông Hùng cho biết, các ngân hàng trả phí cao cho các nhà mạng cung cấp dịch vụ SMS Brandname thì phải nhận được chất lượng dịch vụ tương xứng và nhà mạng phải có trách nhiệm phối hợp xử lý vấn đề tin nhắn giả mạo một cách triệt để.
Được biết, với lý do mang tính bảo mật, mức giá cước nhà mạng đang thu đối với tin nhắn dịch vụ ngân hàng hiện cao gấp 3 lần so với tin nhắn thông thường. Cụ thể: MobiFone và Vinaphone thu 820 đồng/1tin nhắn, Viettel thu 785 đồng/1 tin nhắn, trong khi cước phí tin nhắn của các nhà mạng này với khách hàng cá nhân chỉ từ 99 – 350 đồng/tin nhắn.
Ước tính sơ bộ, một tổ chức tín dụng cỡ nhỏ hàng tháng phải trả phí cước cho 15 - 20 triệu tin nhắn/tháng, còn các tổ chức tín dụng tầm trung trở lên là 50 - 80 triệu tin nhắn/tháng. Ông Hùng kiến nghị, nhà mạng cần làm rõ căn cứ tính phí và phải có phương án kỹ thuật, bảo mật, để chất lượng dịch vụ tương xứng với mức phí mà các ngân hàng đang phải chi trả, đồng thời bảo vệ uy tín, thương hiệu của ngân hàng.
7 lưu ý khi giao dịch ngân hàng
Trước sự bùng nổ về lừa đảo, thời gian qua, một số TCTD đã gửi văn bản và nhận được văn bản trả lời từ Bộ TT&TT và các nhà mạng về việc giảm phí. Hiện Hiệp hội Ngân hàng đang tổng hợp báo cáo từ các TCTD để cùng các TCTD hội viên bàn giải pháp, cùng tìm cách thức hiệu quả để giảm chi phí dịch vụ, đặc biệt các chi phí dịch vụ liên quan đến tin nhắn dịch vụ ngân hàng. Tuy nhiên, vị đại diện Hiệp hội cho rằng, căn cứ tính phí của các nhà mạng đang có nhiều điểm cần làm rõ và minh bạch.
“Cần sớm có câu trả lời cho những câu hỏi: Đâu là cơ sở để đưa ra mức giá tin nhắn dịch vụ ngân hàng cao gấp 3 lần so với tin nhắn thông thường? Nếu là do yêu cầu chi phí đầu tư cho bảo mật thì tại sao tình trạng lừa đảo qua tin nhắn giả mạo thương hiệu của các ngân hàng gửi từ nhà mạng vẫn liên tục xuất hiện làm ảnh hưởng tiêu cực đến lòng tin của người dân vào tính an toàn trong giao dịch số với ngân hàng? Ai chịu trách nhiệm cho tình trạng lừa đảo qua tin nhắn giả danh ngân hàng?”, ông Hùng đặt vấn đề.
Trong khi chờ đợi câu trả lời và các giải pháp đến từ nhà mạng, Hiệp hội Ngân hàng đã đưa ra một số lưu ý cho khách hàng khi giao dịch để phòng tránh các hình thức lừa đảo. Thứ nhất, tuyệt đối không truy cập các đường link, liên kết trong tin nhắn/email lạ hoặc không rõ nguồn gốc. Thứ 2, chỉ đăng nhập vào dịch vụ ngân hàng điện tử thông qua website chính thức của ngân hàng đang sử dụng, có thể liên hệ với tổng đài ngân hàng để lấy thông tin trang chính thức.
Thứ 3, hạn chế dùng máy tính công cộng, mạng không dây công cộng khi truy cập vào hệ thống ngân hàng điện tử. Thứ 4, không cung cấp tên, mật khẩu đăng nhập ngân hàng trực tuyến, mã xác thực OTP, số thẻ ngân hàng qua điện thoại, email, mạng xã hội và các trang web. Thứ 5, đặt mật khẩu khó đoán, thực hiện thay đổi mật khẩu thường xuyên hoặc khi nghi ngờ bị lộ.
Không sử dụng các tính năng lưu mật khẩu để đăng nhập tự động, không sử dụng chung một mật khẩu để đăng nhập ngân hàng trực tuyến và mật khẩu thư điện tử hoặc mật khẩu đăng nhập vào các mạng xã hội. Thứ 6, nên đăng ký nhận thông báo thay đổi số dư giao dịch. Thứ 7, đăng ký sử dụng phương thức xác thực Smart OTP khi giao dịch trực tuyến.