Thẻ Tín Dụng Bị Lộ - Hiểm Họa Tiềm ẩn Khó Phát Hiện

Lỗ hổng bảo mật

Thanh toán không cần tiếp xúc thông qua thẻ tín dụng, thẻ ghi nợ rất nhanh chóng, dễ dàng và đã tỏ ra đặc biệt hữu ích trong thời kỳ đại dịch hiện nay. Để tăng cường bảo mật, thông thường người dùng phải nhập mã PIN, mã OTP được gửi về số điện thoại đăng ký trên thẻ để giao dịch một số tiền nhất định. Tuy nhiên, dù được các tổ chức phát hành thẻ, trung gian khẳng định bảo mật thẻ 2 lớp, công nghệ hiện đại bậc nhất bảo đảm an toàn, nhưng trên thực tế vẫn xuất hiện nhiều trường hợp thẻ bị "hack", tự động trừ tiền trên thẻ với các giao dịch online. Nếu hạn mức tín dụng cao có thể dẫn đến thiệt hại tài sản lớn với chủ thẻ.

Những trường hợp bất ngờ "bốc hơi" mất một khoản tiền trong thẻ tín dụng không phải là hiếm trong thời gian qua. Chia sẻ với báo chí, chị N.T.T.L tại Hà Nội cho biết, sáng 30/5, chị nhận được hàng loạt tin nhắn trừ tiền trong tài khoản thẻ Vietcombank MasterCard, mặc dù thẻ không bị mất và chị cũng không thực hiện giao dịch nào nhưng hơn 24 triệu đồng trong tài khoản đã không cánh mà bay. Đặc biệt, tất cả giao dịch này đều thanh toán cho dịch vụ quảng cáo trên Facebook mà không yêu cầu nhập mã OTP.

Một trường hợp khác là anh N.M.H cũng bị trừ tiền tại thẻ MSB Creditcard. Theo đó, năm trước anh H. có mua một dịch vụ trên internet và thanh toán bằng thẻ, sau một năm dịch vụ này tự động gia hạn mà không có thông báo với khách hàng, đồng thời trừ tiền trên thẻ cũng không yêu cầu mã OTP. Số tiền anh H. bị trừ mất 200 USD, tương đương hơn 4 triệu đồng. Anh H. đã liên hệ với ngân hàng MSB để làm rõ giao dịch thì được trả lời là do anh không tắt chức năng gia hạn nên đến "hẹn" tài khoản sẽ tự động khấu trừ.

Giải thích về việc vì sao không cần mã OTP mà thẻ vẫn bị trừ tiền, phía ngân hàng cho biết, đây là do thoả thuận giữa nhà thanh toán với các đối tác bán hàng chứ không nằm ở phía ngân hàng.

Theo một chuyên gia phân tích, có 3 "thủ đoạn" để hack thẻ hiện nay, đó là:

• Thứ nhất, hack trang web mua bán: Hackers công nghệ có thể lấy thông tin người dùng bằng cách hack trang web mua sắm, dịch vụ,… nơi khách hàng hay sử dụng thẻ tín dụng thanh toán. Một khi kẻ gian đã hack trang web thì tất cả thông tin trong web đó sẽ bị lấy đi, có nghĩa là có thể hàng trăm, hàng ngàn thông tin thẻ tín dụng đều bị ảnh hưởng.
• Thứ hai, sử dụng máy quét dữ liệu thẻ (Skimming). Hình thức này ở nước ngoài rất phổ biến, nhất là khi tới nhà hàng, khách sạn, trong lúc đưa thẻ thanh toán đã bị đặt thiết bị quét dữ liệu mà người thanh toán không hề hay biết.
• Thứ ba, kẻ gian sẽ đặt máy MP3 tại cây ATM, với máy MP3 này, khi khách hàng thực hiện giao dịch trên cây ATM, mọi tiếng động gõ phím sẽ được ghi lại và chuyển hóa thành các bộ số chính và mã pin thẻ của khách hàng.

"Lỗ hổng về bảo mật mà khách hàng hay gặp phải nhất đó là bị lộ số CVV/CVC2 là mã số bảo mật của thẻ tín dụng dùng trong thanh toán quốc tế, để xác minh quyền sở hữu thẻ của người dùng. Mã CVV/CVC gồm 3 chữ số được in ở phần dưới dải băng đen do ngân hàng phát hành thẻ cấp và quản lý giao dịch mỗi khi người dùng thanh toán hoặc chi tiêu trên thẻ. Cũng không loại trừ trường hợp, ngân hàng làm lộ thông tin của khách hàng, như trường hợp tại ngân hàng MSB làm lộ thông tin 2 triệu tài khoản khách hàng trước đây", vị chuyên gia phân tích.

Đi tìm giải pháp

Một trong những giải pháp được giới ngân hàng và các chuyên gia công nghệ đánh giá cao và được nhiều ngân hàng áp dụng thời gian vừa qua chính là Giải pháp Xác thực giao dịch trực tuyến dành cho thẻ quốc tế 3D-Secure (3DS) giúp nâng cao tính bảo mật của thanh toán trực tuyến và chuyển đổi trách nhiệm đối với các tổn thất gian lận giữa các đơn vị chấp nhận thẻ (ĐVCNT) và đơn vị phát hành thẻ (ĐVPHT). Đồng thời phương thức này sẽ giúp gia tăng thêm một lớp bảo vệ tăng cường cho các chủ thẻ khi giao dịch trực tuyến khi ngoài các bước xác thực thông tin thông thườn, ngân hàng sẽ gửi thêm mật khẩu giao dịch một lần (OTP) qua tin nhắn hoặc email để khách hàng nhập và hoàn tất giao dịch.

Được ra mắt từ năm 1999 với phiên bản đầu tiên là 3D Secure 1.0 (hay còn gọi là 3DS 1.0) đã đáng ứng phần nào việc giảm thiểu các rủi ro cho các hoạt động thanh toán qua thẻ tín dụng. Tuy nhiên, qua quá trình dài sử dụng, giao thức 3DS 1.0 đã bộc lộ một số điểm cần khắc phục, và cần đổi mới nhằm đáp ứng nhu cầu trải nghiệm người dùng ngày càng khắt khe. Trước các hạn chế của phương thức xác thực 3DS 1.0, đồng thời để bắt kịp xu hướng tài chính toàn cầu, phiên bản EMV 3DS (hay còn được biết đến với tên gọi giải pháp 3D Secure 2.0) đã được EMV Co xây dựng với mục tiêu cân bằng tính thuận tiện và tính bảo mật ở mức độ cao nhất cho các đơn vị phát hành và ĐVCNT. Hơn nữa, giải pháp EMV 3DS mang lại hàng loạt các cải tiến giúp đáp ứng và nâng cao các tính năng bảo mật cho người dùng.

Theo các chuyên gia của MK Group cho rằng việc triển khai giải pháp 3D-Secure cho các hoạt động thanh toán qua thẻ tín dụng là hoàn toàn cần thiết bởi sự cân bằng tính thuận tiện và tính bảo mật ở mức độ cao nhất cho các đơn vị phát hành và ĐVCNT với các tính năng.

• Xác thực liền mạch
• Phương pháp tiếp cận thích ứng theo mức độ rủi ro
• Hỗ trợ các thiết bị di động và thương mại IoT
• ĐVCNT không đưa ra quyết định (Merchant Opt-Out)

Các chuyên gia MK Group tin rằng với giải pháp EMV 3DS do MK Group cung cấp, các đơn vị phát hành và ĐVCNT tại Việt Nam sẽ có thêm những phương thức giúp nâng cao tính bảo mật và ngăn chặn gian lận, trong khi đồng thời cải tiến trải nghiệm người dùng và bắt kịp xu hướng áp dụng công nghệ 3D Secure trên toàn Thế Giới.

Bên cạnh các biện pháp bảo mật được các ngân hàng triển khai, bản thân chủ thẻ cũng cần phải nâng cao ý thức trong việc sử dụng thẻ và áp dụng các biện pháp tự bảo vệ các thông tin nhạy cảm của mình.

• Một là cần dán nhãn che 3 số bí mật sau thẻ (mã số CVV/CVC) hoặc ghi nhớ rồi xóa đi.
• Hai là khi sử dụng thẻ tín dụng, hãy chắc chắn rằng thẻ của mình được bảo mật trước sự quan sát của người khác cũng như không cho người khác mượn thẻ tín dụng cá nhân để thanh toán, hoặc đưa thẻ thanh toán cho nhân viên phục vụ làm giúp mình.
• Ba là, không truy cập vào những đường link lạ, không sử dụng các phần mềm lậu do dễ bị cài phần mềm đánh cắp thông tin tài khoản (malwave).
• Bốn là, nếu thường xuyên thực hiện các giao dịch tài chính cần sử dụng các chương trình Antivirus để đảm bảo máy tính sạch, không nhiễm trojan, keylogger đồng thời cần bật chức năng chống giả mạo (Anti Phising) để đảm bảo an toàn khi truy cập các trang ngân hàng điện tử.
• Năm là, sau khi đăng nhập vào các tài khoản ngân hàng, cần đăng xuất ngay và tránh đánh dấu vào tiện ích lưu mật khẩu trên trang.
• Sáu là, không can thiệp vào hệ điều hành của điện thoại như root máy với Android hay jailbreak với iPhone, những hành vi này làm vô hiệu hóa khả năng bảo mật của máy.

-------------Để hiểu rõ hơn về giải pháp EMV 3D Secure, mới độc giả tham khảo bài viết: “EMV 3DS: BƯỚC ĐỘT PHÁ TRONG XÁC THỰC THANH TOÁN THẺ TRỰC TUYẾN” tại đây

(MK Group - theo Diễn đàn doanh nghiệp)