An ninh trong thanh toán số: Nâng cao trách nhiệm của các bên tham gia

	Đề phòng kẻ gian giấu mặt
	Cẩn trọng giả mạo ngân hàng thời Covid

Ông Ngô Tấn Vũ Khanh

Ông có thể chia sẻ khái quát một số thủ đoạn phổ biến của đối tượng lừa đảo hiện nay?

Tôi tạm phân loại thành ba nhóm đối tượng có thể phủ gần như đầy đủ nhất các thủ đoạn chiếm đoạt tiền trong tài khoản/thẻ ngân hàng. Nhóm 1 là nhóm chiếm tỷ lệ đông nhất, sử dụng kỹ thuật Phishing (lừa đảo giả mạo nhằm mục đích đánh lừa người dùng bằng các phương thức sử dụng điện thoại hay internet, tiếp cận và dụ dỗ người dùng từng bước (trực tiếp hay gián tiếp) tiết lộ thông tin cá nhân để chiếm quyền truy cập vào các tài khoản ngân hàng hay các tài khoản quản lý tiền. Các kỹ thuật này không đòi hỏi quá nhiều khả năng về công nghệ hay chuyên sâu về bảo mật vẫn có thể sử dụng tương đối dễ dàng, đó cũng là lý do tại sao phần lớn những vụ mất tiền trong tài khoản/thẻ ngân hàng hiện nay chủ yếu đến từ nhóm đối tượng này.

Nhóm 2 là nhóm có những kỹ thuật và kiến thức tương đối tốt về bảo mật và hiểu rõ các lỗi sử dụng mất an toàn thông tin từ chính người dùng. Thủ đoạn phổ biến là tạo ra những website giả mạo các cổng thanh toán trong quá trình giao dịch online của khách hàng. Có được thông tin và mật khẩu, nhóm này sẽ tiếp tục sử dụng kết hợp một số thủ thuật lừa đảo cơ bản để lấy OTP. Trong nhóm 2 này những năm gần đây cũng xuất hiện một loại hình tạm gọi là “hack cứng”, sử dụng các thiết bị ngoài để lấy được toàn bộ thông tin thẻ của khách hàng khi khách hàng rút tiền từ cây ATM, được gọi là Skimming - một hình thức đánh cắp thông tin thẻ tín dụng bởi một thiết bị nhỏ đặt ở khe nhập thẻ ở các cột ATM.

Nhóm 3 là nhóm hacker chuyên nghiệp, với trình độ sâu về công nghệ nên sẽ tấn công trực diện vào các hệ thống thanh toán trung gian hay các sàn giao dịch điện tử có hệ thống kết nối cổng thanh toán không tuân thủ các quy chuẩn về bảo mật, từ đó có được thông tin về tài khoản/thẻ ngân hàng của khách hàng giao dịch với các sàn thương mại điện tử (TMĐT) hay các điểm chấp nhận thanh toán.

Vậy thách thức đặt ra với ngân hàng là phải thêm các lớp bảo vệ mới cho các dịch vụ của mình?

Thế giới nói chung và Việt Nam nói riêng thì lừa đảo thanh toán tới cá nhân chiếm tỷ lệ cao nhất trong câu chuyện bảo mật thanh toán. Các cơ quan chức năng hay các ngân hàng cần phải tập trung giải quyết bài toán này như là mục tiêu quan trọng nhất, sau đó mới là chuyện xây dựng đội ngũ an ninh thông tin và an ninh mạng cũng như quy trình vận hành chuẩn, cuối cùng mới tới tăng cường các giải pháp bảo mật. Mỗi một giải pháp bảo mật mới đều có những ưu điểm của nó nhưng cũng có những hạn chế đi kèm, ví dụ như xác thực nhiều thì hiệu năng hệ thống giảm.

Cần phải hiểu rằng hầu hết các cuộc tấn công có chủ đích hướng tới ngân hàng đều là thủ thuật tấn công trung gian (hay còn gọi là tấn công lây lan) từ các hệ thống phụ như máy in, máy fax hay thậm chí là máy pha cà phê có kết nối internet cũng như kết nối các thiết bị cầm tay nhằm làm bàn đạp tấn công lên các hệ thống chính của ngân hàng như core bank hay core thẻ. Các cách thức tấn công đa dạng và thay đổi theo sự phát triển của công nghệ, nên nhân viên bảo mật tại ngân hàng luôn phải trong trạng thái cập nhật các kiến thức về lỗ hổng bảo mật. Việc cập nhật các bản vá hay bản nâng cấp của các phần mềm, thiết bị bảo mật được coi như yêu cầu bắt buộc khi vận hành hệ thống ngân hàng.

Người dân, DN cần nâng cao ý thức bảo mật thông tin liên quan đến giao dịch ngân hàng

Nói như vậy việc đảm bảo an ninh trong thanh toán không chỉ ngân hàng mà cần có sự tham gia của các bên liên quan?

Chính xác là như vậy, tất cả các bên tham gia hệ sinh thái thanh toán cho dù trực tiếp hay gián tiếp đều có trách nhiệm và nghĩa vụ đảm bảo an ninh và bảo mật trong thanh toán cho chính sản phẩm và dịch vụ mình cung cấp. Có như vậy chúng ta mới xây dựng được một hệ sinh thái thanh toán mạnh mẽ và an toàn. Hiện nay, khi xảy ra một sự cố mất an toàn thông tin trong thanh toán gây ra hậu quả nghiêm trọng thì câu chuyện “trách nhiệm thuộc về ai?” luôn được nói tới. Ngân hàng là đơn vị đầu sóng ngọn gió và thường bị “nêu tên”, nhưng các bên tham gia, các cổng thanh toán, các sàn giao dịch TMĐT và quan trọng nhất là người dùng cuối mới là các mắt xích dễ tuột” nhất trong vấn đề mất an toàn thông tin trong hệ sinh thái thanh toán. Đó cũng chính là lý do tại sao khi nhắc tới bảo mật cho hệ thống thanh toán thì tất cả các tổ chức tư vấn đều đề cập tới: Point-to-point encryption (P2PE mã hóa điểm - điểm: là tiêu chuẩn mã hóa thành lập để cung cấp một giải pháp bảo mật mạnh mẽ cho các giao dịch tài chính điện tử - PV).

Theo ông đâu là giải pháp để nâng cao an toàn và góp phần tạo dựng một chu trình bảo mật khép kín?

Đối với người dùng cuối (khách hàng) nên tự giác nâng cao hiểu biết về bảo mật ở mức cơ bản nhất khi tham gia vào hệ sinh thái thanh toán. Tự trang bị cho mình một số công cụ bảo mật cá nhân như phần mềm bảo vệ các thiết bị đầu cuối dành cho di động hay máy tính.

Đối với các đơn vị cung cấp dịch vụ và giải pháp thanh toán, chúng ta có thể tập trung vào một số yếu tố. Thứ nhất là yếu tố con người, cần nâng cao năng lực bảo mật của đội ngũ vận hành. Thứ hai là tuân thủ các quy trình và quy chuẩn về bảo mật như PCI DSS hay ISO 27001. Thứ ba là tập trung giải quyết bài toán P2PE khi giải pháp này được xem là một trong những cách tốt nhất để bảo vệ các giao dịch của khách hàng.

Cổng thanh toán an toàn sử dụng P2PE để ngăn chặn tin tặc có thể chặn dữ liệu thanh toán khi nó chuyển từ một khách hàng sang bộ xử lý thanh toán. Thêm nữa, mã hóa Tokenization là quy trình bảo mật tự động mã hóa số thẻ của khách hàng thành Token (những dãy ký tự đặc biệt) nên được áp dụng nhiều trong TMĐT và thanh toán bán lẻ, được xem như một giải pháp tốt để tách các giao dịch liên tiếp vì mỗi giao dịch đều xác thực bằng một token khác nhau. Cũng cần quan tâm tới việc mở rộng hệ thống xác thực thông tin khách hàng.

Cuối cùng, trong xu hướng về bảo mật hiện nay đối với các ngân hàng và tổ chức thanh toán, không nên chờ đợi và xử lý hậu quả các cuộc tấn công hay phá hoại của tin tặc nữa mà cần chuyển từ trạng thái “bị động” sang chủ động, săn lùng các mối nguy hại chưa đến nhờ vào các trung tâm giám sát an ninh mạng SOC (Security Operations Center) có tích hợp AI và các công cụ dò quét lỗ hổng hoặc săn lùng mối nguy hại (Threat hunting).

Xin cảm ơn ông!