Những vụ mất tiền tại các ngân hàng liên tiếp xảy ra trong tháng 8.2016 khiến rất nhiều người quan ngại về cách thức bảo mật an toàn thông tin của các ngân hàng ở Việt Nam.
Loại trừ nguyên nhân dẫn tới những vụ mất tiền trong tài khoản ngân hàng xảy ra gần đây là do hệ thống máy chủ của các ngân hàng bị tấn công bởi tin tặc, ông Nguyễn Hưng (Tổng giám đốc Ngân hàng TMCP Tiên Phong) khẳng định, trong trường hợp một hệ thống máy chủ bị tấn công, dù tin tặc đánh cắp dữ liệu, làm sai lệch thông tin… các ngân hàng vẫn có thể sao lưu, khôi phục dữ liệu và có quy trình đối chiếu để đảm bảo dữ liệu cá nhân của khách hàng được an toàn. Bên cạnh đó, quy định giới hạn số tiền giao dịch từng lần, từng ngày giữa liên ngân hàng cũng giúp giảm thiểu thiệt hại cho khách hàng cũng như ngân hàng.
Ông Nguyễn Hưng - Tổng giám đốc TPBank
“Vụ mất 500 triệu đồng của khách hàng Na Hương là vụ lừa đảo phishing bên ngoài (lừa đảo nhằm đánh cắp các thông tin cá nhân như tên đăng nhập, mật khẩu hay thông tin về các loại thẻ tín dụng của người dùng) chứ không phải tấn công máy chủ.
Còn vụ khách hàng Trần Thị Thanh Phúc tố cáo Ngân hàng Sài Gòn (SCB) đã thực hiện giao dịch chuyển 4 tỷ đồng không đúng quy định là vụ việc liên quan đến vấn đề pháp lý chứ không phải mất an toàn an ninh của ngân hàng”, ông Hưng nói.
Theo phân tích của ông Hưng, hoạt động giao dịch trên các kênh điện tử như Mobile banking, Internet Banking hay tại quầy giao dịch của khách hàng vẫn luôn tồn tại những rủi ro.
Riêng tình trạng giả mạo thẻ ATM của các ngân hàng đã xuất hiện từ 30 - 40 năm trước. Thời gian qua, ở Việt Nam, đã phát hiện một số kẻ gian đến từ Trung Quốc, mang thiết bị, camera cài lên trạm ATM để quay trộm dải số để in ATM khác và rút tiền của người dùng Việt Nam.
Ông Hưng chia sẻ: “Nhiều người mang thiết bị cài lên đầu đọc thẻ, gắn camera chụp lại thao tác nhập số PIN, chỉ vài giây đọc được hết thông tin khách hàng. Máy làm thẻ từ Trung Quốc mua rất rẻ, có sẵn số PIN... có thể mang đến ATM khác để rút tiền”.
Theo ông Hưng, để hạn chế rủi ro, người dùng cần ý thức hơn việc bảo vệ bí mật thông tin cá nhân của mình. Không nên chia sẻ mã PIN hoặc cho người khác cho mượn thẻ.
Trong khi đó, ông Ngô Tuấn Anh (PCT phụ trách An ninh mạng của BKAV) cho rằng, việc khách hàng Na Hương bị kẻ gian đánh cắp 500 triệu đồng là do NH TMCP Ngoại Thương Việt Nam (Vietcombank) sử dụng phương thức bảo mật thanh toán điện tử theo hình thức mật khẩu dùng một lần (OTP) hoặc phần mềm Smart OTP cài trên điện thoại.
Ông Tuấn Anh phân tích: “Dù là phương thức bảo mật SMS hay mật khẩu OTP thì tin tặc đều có thể tấn công thông qua hình thức tin nhắn. Chúng sẽ tạo ra các phần mềm giao dịch giả để tiến hành tự động những vụ chuyển tiền trực tuyến chứ không cần làm thủ công như phân tích của ngân hàng. Vì thế, tổn thất vẫn có thể ở mức đáng kể”.
Để giải quyết vấn đề này, ông Tuấn Anh đề xuất phương thức sử dụng chữ kí số (một dạng thay thế chữ ký tay trên môi trường điện tử) thay cho phương pháp xác thực như SMS, mật khẩu dùng một lần (OTP) của ngân hàng, bởi ông cho rằng chữ ký tay có thể giả nhưng chữ ký số thì không.
Đồng tình với quan điểm của ông Ngô Tuấn Anh, ông Đặng Minh Tuấn (Chuyên gia bảo mật) đưa ra thông tin: “OTP là một giải pháp xác thực bảo mật đã lỗi thời. Nó ra đời cùng thời với máy nghe nhạc Sony Walkman, vào khoảng 20 năm trước. Trong khi loại máy nghe nhạc này đã không được sử dụng từ lâu trong khi mật khẩu sử dụng một lần OTP vẫn đang được nhiều ngân hàng áp dụng”.
Ngoài ra, ông Tuấn cũng cho rằng, giải pháp chữ ký số sẽ giúp ngăn chặn tình trạng giả mạo chữ ký trong giao dịch ngân hàng, hạn chế tối đa rủi do bởi nó khẳng định tính không thể chối bỏ.
Theo Dân Việt