Ngăn chặn lừa đảo trực tuyến trong lĩnh vực ngân hàng: Nâng cao kĩ năng cho người sử dụng dịch vụ ngân hàng trên nền tảng số

Trong bối cảnh công nghệ phát triển mạnh mẽ, các thủ đoạn lừa đảo tài chính ngày càng tinh vi trong khi người tiêu dùng còn chưa kịp cập nhật hết các thủ đoạn. Kẻ gian chủ yếu đánh vào lòng tham hoặc sự lo lắng, sợ hãi của người dùng. Để hạn chế rủi ro, bảo vệ người tiêu dùng dịch vụ tài chính, bên cạnh tăng cường các biện pháp về an toàn thông tin, đầu tư công nghệ bảo mật của ngành Ngân hàng, quan trọng nhất vẫn là nhận thức và sự cảnh giác của người dùng. Do đó, giải pháp cần thiết là ngành Ngân hàng, các tổ chức cung ứng dịch vụ trung gian thanh toán, các công ty tài chính cần tăng cường tuyên truyền và cập nhật thường xuyên các chiêu trò lừa đảo mới, cảnh báo dấu hiệu bất thường cho người tiêu dùng.

Người sử dụng dịch vụ tài chính bị “giăng bẫy” bởi nhiều chiêu trò lừa đảo mới

Mới đây, một số ngân hàng thương mại (NHTM) đã gửi cảnh báo đến khách hàng cho biết đã xuất hiện một số ứng dụng mã độc, giả mạo ứng dụng Dịch vụ công tại Việt Nam, ứng dụng đào tiền ảo… nhằm đánh cắp thông tin tài khoản ngân hàng.

Khi người dùng cài đặt các ứng dụng này thì điện thoại bị nhiễm mã độc, từ đó tội phạm có thể theo dõi và điều khiển, kiểm soát điện thoại của người dùng từ xa, bao gồm các hoạt động như chụp màn hình, tự động mở khóa, thậm chí tự thao tác trên màn hình, đọc tin nhắn… qua đó, thu thập trái phép thông tin cá nhân của người dùng và đánh cắp thông tin về tài khoản, mật khẩu hoặc mã OTP, chiếm đoạt tiền trong tài khoản khách hàng.

Trước đó, ngoài chiêu trò giả mạo tin nhắn, website ngân hàng, các đối tượng tội phạm đã chuyển sang hình thức gửi và yêu cầu người nhận quét mã QR Code qua Zalo, Facebook, Viber khi ra chiêu lừa đảo.

Với chiêu thức này, đối tượng tội phạm sẽ mạo danh là nhân viên ngân hàng, gọi điện từ số máy bàn có dãy số gần giống với số tổng đài của ngân hàng để mời chào khách hàng nâng hạn mức thẻ tín dụng, rút tiền mặt từ thẻ tín dụng hoặc một số dịch vụ tài chính khác. Sau đó, những đối tượng lừa đảo sẽ gửi và yêu cầu khách hàng quét mã QR. Khách hàng quét mã QR mà kẻ gian gửi tới sẽ chuyển đến đường link website giả mạo. Tiếp đó, các đối tượng này yêu cầu khách hàng nhập các thông tin như: Họ tên, căn cước công dân, chụp ảnh căn cước công dân hai mặt, số thẻ, mã bí mật CVV, ngày hết hạn thẻ. Khách hàng cũng được yêu cầu chia sẻ mã OTP gửi về số điện thoại, thông tin đăng nhập user và password tài khoản ngân hàng… Ngay sau khi khách hàng cung cấp thông tin, kẻ gian sẽ chiếm được quyền sử dụng tài khoản Internet Banking hoặc thẻ tín dụng, thực hiện giao dịch chiếm đoạt tiền.

Trước đó, cơ quan công an cũng đã cảnh báo người dân về thủ đoạn lừa đảo quét mã QR chiếm đoạt tài khoản mạng xã hội. Theo đó, các đối tượng tội phạm sử dụng các tài khoản Facebook để gửi tin nhắn cho bạn bè trong danh bạ, yêu cầu truy cập Zalo bằng mã QR để bình chọn một cuộc thi online. Tuy nhiên, sau khi quét mã QR, tài khoản người dùng sẽ lập tức bị chiếm đoạt quyền và gửi tin nhắn cho người trong danh bạ Zalo để hỏi mượn tiền. Nhiều người đã mất tiền theo cách này.

Đáng chú ý, thời gian vừa qua, Trung tâm Thông tin tín dụng Quốc gia Việt Nam (CIC) cho biết, cơ quan này ghi nhận một số trường hợp mạo danh CIC nhằm thực hiện hành vi lừa đảo, “yêu cầu khách hàng vay chuyển tiền vào tài khoản cá nhân để CIC nâng điểm tín dụng, hỗ trợ quá trình giải ngân vốn vay nhanh hơn”. Theo đó, đối tượng lừa đảo sử dụng hiểu biết về lĩnh vực tài chính nói chung, hoạt động thông tin tín dụng nói riêng, sử dụng các thuật ngữ chuyên môn như “tín nhiệm”, “đóng băng”… gửi đến khách hàng vay “văn bản xử lí” với đầy đủ con dấu, chữ kí giả mạo để thông báo đến khách hàng vay về hiện trạng “hồ sơ tín dụng của khách hàng vay có lỗi, bị khóa, không đủ điểm tín dụng để giải ngân khoản vay” và đề nghị khách hàng chuyển tiền vào tài khoản cá nhân của đối tượng lừa đảo.

Một hình thức tinh vi khác để lừa đảo mà khách hàng cần cảnh giác cao khi giao dịch qua mạng đó là hình thức gửi “biên lai chuyển khoản thành công”. Chiêu trò làm giả biên lai chuyển khoản ngân hàng đang được nhiều đối tượng lừa đảo sử dụng. Chỉ với vài thao tác chỉnh sửa photoshop, nạn nhân sẽ nhận ngay biên lai, hóa đơn hay các giấy tờ giao dịch với các thông tin (họ tên, tài khoản ngân hàng, địa chỉ…) chính xác như vừa cung cấp. Người nhận sẽ bị ngộ nhận đó là ảnh chụp thật của việc chuyển khoản hoặc in hóa đơn, biên lai… nên tin tưởng và làm theo.

Không những thế, các đối tượng còn “giăng bẫy” người tiêu dùng dịch vụ tài chính với chiêu trò chuyển tiền nhầm. Với kịch bản cho vay nặng lãi, đối tượng xấu cố ý chuyển nhầm tiền vào tài khoản của bạn với lời nhắn tương tự cho mượn tiền hoặc giải ngân khoản vay... Khi nạn nhân nhận được số tiền, đối tượng sẽ giả danh người thu hồi nợ, dọa nạt và yêu cầu bạn trả lại số tiền đã nhận cùng với khoản lãi cắt cổ.

Ở một kịch bản khác, đối tượng chiếm đoạt tài sản của người bị hại thông qua đường link giả bằng cách chuyển tiền cho người bị hại, sau đó liên hệ xin nhận lại khoản tiền, tuy nhiên sẽ thông báo rằng mình đang ở nước ngoài, để trả lại số tiền trên thì người nhận tiền chuyển nhầm phải sử dụng dịch vụ chuyển tiền quốc tế qua một đường link. Sau khi điền xong thông tin, toàn bộ số tiền trong tài khoản của người nhận sẽ bị chiếm đoạt.

Có thể thấy, kịch bản lừa đảo chuyển tiền nhầm tài khoản ngân hàng rất đa dạng, ngày càng tinh vi, đánh vào lòng tốt và sự nhẹ dạ, cả tin của nạn nhân. Nếu chưa từng biết đến thông tin về các hình thức lừa đảo này, nhiều người sẽ khó tránh khỏi bị mắc bẫy.

Ngân hàng tăng cường hàng rào bảo mật, đảm bảo quyền lợi hợp pháp của khách hàng

Về phía ngành Ngân hàng, Ngân hàng Nhà nước Việt Nam (NHNN) với vai trò quản lí nhà nước trong ngành Ngân hàng luôn quan tâm và chỉ đạo sát sao công tác bảo đảm an ninh, an toàn hệ thống thông tin trong toàn ngành.

Thời gian qua, NHNN đã ban hành các văn bản quy phạm pháp luật và các văn bản chỉ đạo các tổ chức tín dụng (TCTD) trong việc bảo đảm an toàn thông tin (ATTT) cho việc cung cấp dịch vụ ngân hàng trên Internet, bao gồm các biện pháp phòng, chống hình thức tấn công bằng mã độc để đánh cắp thông tin tài khoản ngân hàng trên thiết bị di động của khách hàng.

Ngày 29/12/2016, Thống đốc NHNN đã ban hành Thông tư số 35/2016/TT-NHNN quy định về an toàn, bảo mật cho việc cung cấp dịch vụ ngân hàng trên Internet và Thông tư số 35/2018/TT-NHNN ngày 24/12/2018 sửa đổi, bổ sung một số điều của Thông tư số 35/2016/TT-NHNN. Theo đó, các TCTD phải thực hiện: Triển khai phần mềm ứng dụng Internet Banking bảo đảm an toàn, bảo mật (Điều 7, 8);  thông tin cho khách hàng về điều kiện cần thiết về trang thiết bị khi sử dụng dịch vụ, bao gồm thiết bị di động để cài đặt phần mềm (khoản 1 Điều 17); hướng dẫn khách hàng thực hiện các biện pháp đảm bảo an toàn, bảo mật khi sử dụng dịch vụ Internet Banking, bao gồm không sử dụng các thiết bị di động đã bị phá khóa để tải và sử dụng phần mềm ứng dụng Internet Banking, phần mềm tạo OTP (khoản 2 Điều 18).

Đối với quy trình mở và sử dụng tài khoản thanh toán, Thống đốc NHNN đã ban hành Thông tư số 23/2014/TT-NHNN ngày 19/8/2014 hướng dẫn việc mở và sử dụng tài khoản thanh toán tại tổ chức cung ứng dịch vụ thanh toán - Thông tư số 23/2014/TT-NHNN (được sửa đổi, bổ sung bởi Thông tư số 16/2020/TT-NHNN ngày 04/12/2020 của Thống đốc NHNN), quy định chặt chẽ về hồ sơ, thủ tục mở tài khoản thanh toán, trong đó, các tổ chức cung ứng dịch vụ thanh toán phải áp dụng đầy đủ các biện pháp nhận biết và xác minh thông tin khách hàng mở tài khoản thanh toán, đảm bảo tuân thủ quy định về phòng, chống rửa tiền.  Đối với việc mở tài khoản bằng phương thức điện tử (eKYC), ngoài việc tuân thủ các quy định chung về mở, sử dụng tài khoản thanh toán, tại Thông tư số 16/2020/TT-NHNN còn bổ sung các quy định chặt chẽ về quy trình mở tài khoản thanh toán bằng phương thức điện tử.

NHNN cũng đã ban hành các văn bản chỉ đạo toàn ngành Ngân hàng trong việc tăng cường phòng, chống, ngăn ngừa hành vi gian lận liên quan đến mở và sử dụng tài khoản thanh toán, có văn bản yêu cầu các ngân hàng tăng cường các biện pháp quản lí rủi ro, đặc biệt là công tác hậu kiểm để kịp thời phát hiện các sai lệch thông tin định danh và dấu hiệu bất thường trong quá trình khách hàng mở và sử dụng tài khoản thanh toán bằng eKYC.

Ngày 22/6/2023, NHNN đã có Công văn số 4884/NHNN-TT gửi các ngân hàng, chi nhánh ngân hàng nước ngoài về việc áp dụng các biện pháp hạn chế việc mở, sử dụng tài khoản thanh toán cho mục đích gian lận, lừa đảo. Theo Công văn số 4884/NHNN-TT, NHNN yêu cầu TCTD rà soát quy trình, quy định nội bộ về mở, sử dụng tài khoản thanh toán và chỉ đạo cán bộ, nhân viên trong toàn hệ thống TCTD thực hiện nghiêm trình tự, thủ tục mở tài khoản thanh toán theo quy định tại Điều 14 và khoản 1 Điều 14a Thông tư số 23/2014/TT-NHNN, Thông tư số 16/2020/TT-NHNN, không thực hiện việc mở tài khoản thanh toán theo danh sách khách hàng lập sẵn, bảo mật thông tin khách hàng mở tài khoản. Đối với các tài khoản thanh toán nghi ngờ nguồn tiền chuyển vào không hợp pháp, TCTD cần yêu cầu khách hàng ra quầy giao dịch để xác minh lại thông tin khách hàng, dừng cung cấp dịch vụ trên Mobile Banking hoặc yêu cầu xác thực giao dịch thanh toán kênh điện tử bằng yếu tố sinh trắc học, hoặc sử dụng chữ kí số, dừng giao dịch nếu có đủ căn cứ xác đáng…

Song song với việc ban hành các văn bản quy phạm, hằng năm, ngoài việc tổng hợp giám sát qua hệ thống báo cáo, NHNN đều tổ chức các đoàn kiểm tra tại chỗ để phát hiện, khuyến nghị và chấn chỉnh kịp thời những tồn tại, hạn chế về an ninh, bảo mật của các TCTD, các tổ chức trung gian thanh toán. Đồng thời, NHNN cũng thường xuyên theo dõi tình hình an toàn thông tin, kịp thời cảnh báo về các rủi ro, lỗ hổng bảo mật và chỉ đạo các TCTD triển khai các giải pháp phòng, chống.

Bên cạnh đó, NHNN là đầu mối thường xuyên tiếp nhận các cảnh báo về lỗ hổng bảo mật, nguy cơ mất an toàn của hệ thống công nghệ thông tin từ Bộ Công an, Bộ Quốc phòng, Bộ Thông tin và Truyền thông và các tập đoàn, công ty công nghệ thông tin đối tác để cảnh báo, chỉ đạo các đơn vị trong toàn Ngành kiểm tra, rà soát và có giải pháp kịp thời phòng, tránh, không để xảy ra các hiện tượng mất an toàn.

Nhằm tập hợp lực lượng và thống nhất chỉ đạo về hoạt động an ninh, bảo mật trong toàn ngành Ngân hàng, ngày 27/5/2016, Thống đốc NHNN đã kí Quyết định số 1126/QĐ-NHNN ban hành Quy chế về điều phối mạng lưới ứng cứu sự cố an ninh công nghệ thông tin trong ngành Ngân hàng. Theo đó, Cục Công nghệ thông tin, NHNN với vai trò là tổ chức điều phối mạng lưới, thực hiện chức năng tiếp nhận, xử lí và điều phối các thông tin, hoạt động ứng cứu sự cố an ninh công nghệ thông tin trong toàn ngành Ngân hàng và định kì hằng năm tổ chức các đợt diễn tập ứng cứu sự cố an ninh công nghệ thông tin nhằm nâng cao khả năng ứng phó, sẵn sàng xử lí các sự cố an ninh mạng cho các đơn vị trong ngành Ngân hàng.

Ngoài ra, NHNN thường xuyên chỉ đạo các TCTD làm tốt công tác truyền thông, tuyên truyền về các thủ đoạn của tội phạm mạng, nâng cao nhận thức của người dân về sử dụng ngân hàng điện tử, từ đó khuyến khích, hỗ trợ người dân trong việc tiếp cận, sử dụng hiệu quả các dịch vụ ngân hàng trực tuyến, thúc đẩy thanh toán không dùng tiền mặt.

Triển khai các văn bản chỉ đạo của NHNN, các TCTD trong toàn ngành Ngân hàng đã quan tâm đầu tư, đổi mới công nghệ, từng bước hoàn chỉnh hạ tầng công nghệ thông tin. Tại Trung tâm dữ liệu chính, Trung tâm dữ liệu dự phòng và các hệ thống quan trọng, các TCTD đã đầu tư, trang bị các giải pháp an ninh bảo mật cơ bản như: Tường lửa (Firewall); hệ thống phát hiện xâm nhập (IPS/IDS); hệ thống phòng, chống virus; xác thực đa thành tố đối với các giao dịch điện tử; mã hóa dữ liệu đối với các hệ thống quan trọng. Hệ thống ứng dụng, máy chủ, máy trạm được quản lí, thường xuyên rà soát, cập nhật kịp thời các bản vá lỗ hổng để ngăn ngừa tội phạm xâm nhập, tấn công vào hệ thống.

Các TCTD đã trang bị các giải pháp tăng cường an toàn, an ninh mạng như: Hệ thống quản lí sự kiện an ninh; hệ thống phòng, chống thư rác; hệ thống lọc nội dung Web; hệ thống quản lí file nhật kí; hệ thống đánh giá điểm yếu ứng dụng và mạng; công nghệ chữ kí số PKI. Bên cạnh đó, nhiều TCTD đã triển khai áp dụng các tiêu chuẩn quốc tế về an ninh bảo mật như ISO 27001, PCI DSS.

Đẩy mạnh truyền thông, nâng cao kĩ năng cho người sử dụng dịch vụ tài chính trên môi trường mạng

Để nâng cao nhận thức cho khách hàng trong việc đảm bảo an toàn bảo mật các giao dịch trực tuyến, các TCTD đã tăng cường công tác truyền thông đến khách hàng về các thủ đoạn của tội phạm mạng và các biện pháp bảo vệ thông tin cá nhân trong việc sử dụng các dịch vụ ngân hàng điện tử và thanh toán thẻ. Tuy nhiên, tội phạm công nghệ ngày càng phức tạp, trên quy mô toàn cầu, các chiêu trò lừa đảo xuất hiện ngày càng nhiều và rất tinh vi. Khi các ngân hàng chú trọng nhiều hơn cho vấn đề an ninh, bảo mật thông tin tài khoản khách hàng, các đối tượng lừa đảo sẽ “nhắm” đến lỗi bất cẩn của khách hàng để chiếm đoạt tiền trong tài khoản.

Do đó, về phía ngành Ngân hàng, cần tiếp tục đổi mới công tác truyền thông giáo dục tài chính. Theo đó, các đối tượng truyền thông hướng tới là người dân khu vực nông thôn, vùng sâu, vùng xa, người yếu thế, người chưa có tài khoản ngân hàng... Hình thức truyền thông cần đa dạng, dễ hiểu, dễ nhớ, dễ vận dụng, tận dụng mạng xã hội và các chương trình truyền hình để tăng sức lan tỏa. Qua đó, giúp nâng cao kiến thức, kĩ năng cho người tiêu dùng tài chính trong tiếp cận và sử dụng dịch vụ tài chính, ngân hàng, đặc biệt là các sản phẩm, dịch vụ ngân hàng trên nền tảng số.

Bên cạnh đó, để tăng cường hàng rào bảo mật hệ thống thông tin ngân hàng và dữ liệu của khách hàng, ngành Ngân hàng cần tiếp tục triển khai các giải pháp sau:

(i) NHNN tiếp tục nghiên cứu, áp dụng các tiêu chuẩn, thông lệ quốc tế trong các văn bản quy phạm pháp luật điều chỉnh hoạt động ứng dụng công nghệ thông tin của các TCTD đảm bảo an toàn, bảo mật. Đưa vào áp dụng khung đánh giá rủi ro công nghệ thông tin theo thông lệ quốc tế để nâng cao chất lượng công tác kiểm tra tuân thủ các quy định về an toàn bảo mật tại các TCTD, tổ chức trung gian thanh toán.

(ii) Đẩy nhanh tiến độ triển khai kết nối khai thác dữ liệu dân cư để làm sạch dữ liệu, xác minh chính xác khách hàng theo Kế hoạch số 01/KHPH-BCA- NHNN ngày 24/4/2023 của NHNN và Bộ Công an về phối hợp triển khai Đề án 06 (Quyết định số 06/QĐ-TTg ngày 06/01/2022 của Thủ tướng Chính phủ phê duyệt Đề án phát triển ứng dụng dữ liệu về dân cư, định danh và xác thực điện tử phục vụ chuyển đổi số quốc gia giai đoạn 2022 - 2025, tầm nhìn đến năm 2030) đảm bảo kiểm tra, đối chiếu khớp đúng thông tin khách hàng mở tài khoản thanh toán với thông tin lưu trữ trên Cơ sở dữ liệu quốc gia về dân cư (CSDLQGvDC) nhằm hạn chế việc mở tài khoản thanh toán bằng giấy tờ tùy thân giả mạo, cho thuê, mượn tài khoản thanh toán...

(iii) Phối hợp với các cơ quan chức năng: Bộ Thông tin và Truyền thông, Bộ Công an, Ban Cơ yếu Chính phủ và các tổ chức cung cấp dịch vụ hạ tầng công nghệ thông tin... để chia sẻ thông tin và hỗ trợ hoạt động đảm bảo an toàn, an ninh mạng của ngành Ngân hàng.

(iv) Tiếp tục đẩy mạnh hoạt động của mạng lưới ứng cứu sự cố an ninh công nghệ thông tin ngành Ngân hàng với trọng tâm: Từng bước kiện toàn nguồn nhân lực cùng với cơ sở vật chất phục vụ diễn tập, giám sát sự kiện an ninh mạng; bổ sung kinh phí, trang thiết bị, giải pháp công nghệ hỗ trợ cho hoạt động của mạng lưới nhằm nâng cao năng lực xử lí và ứng cứu sự cố; đào tạo chuyên sâu về an ninh thông tin trong ngành Ngân hàng theo hình thức phối hợp giữa các TCTD và NHNN triển khai các khóa đào tạo theo yêu cầu; hằng năm hoặc 6 tháng một lần, tổ chức các khóa đào tạo về an ninh mạng kết hợp với diễn tập ứng cứu sự cố; xây dựng diễn đàn trao đổi thông tin riêng cho các thành viên mạng lưới; định kì tổ chức hội thảo về an toàn, an ninh thông tin và ứng cứu sự cố an ninh mạng.

(v) Các NHTM tăng cường áp dụng những giải pháp, công nghệ tiên tiến và các tiêu chuẩn quốc tế về an ninh, an toàn bảo mật cho hệ thống công nghệ thông tin. Triển khai các giải pháp giám sát, phát hiện, báo cáo, ngăn ngừa kịp thời các giao dịch vượt ngưỡng, giao dịch đáng ngờ, các giao dịch thực hiện không đúng quy định của pháp luật. Đồng thời, phối hợp chặt chẽ với các đơn vị thuộc Bộ Công an và các cơ quan liên quan trong nghiên cứu, triển khai các phương án kết nối, chia sẻ, khai thác thông tin, dữ liệu từ cơ sở dữ liệu, căn cước công dân, thông tin trên căn cước công dân gắn chíp để phục vụ việc định danh, xác minh chính xác thông tin nhận biết khách hàng.

Về phía khách hàng, để bảo mật thông tin cá nhân, tài khoản ngân hàng, khách hàng cần lưu ý: Chỉ nên cài đặt ứng dụng từ các cửa hàng chính thức như Google Play và App Store. Khi cài đặt ứng dụng vào thiết bị cần kiểm tra thông tin nhà phát triển ứng dụng, xem xét kĩ quyền hạn của các ứng dụng. Thường xuyên cập nhật hệ điều hành của thiết bị để thiết bị nhận được các bản vá bảo mật mới nhất của hãng sản xuất. Trong trường hợp thiết bị bị nhiễm mã độc hoặc nghi ngờ bị nhiễm mã độc, khách hàng cần nhanh chóng thông báo tới ngân hàng để được hỗ trợ kịp thời. Đồng thời, khách hàng cần tuân thủ các quy định, hướng dẫn của các ngân hàng cung cấp dịch vụ giao dịch trực tuyến, đăng kí nhận tin thông báo thay đổi số dư giao dịch; thường xuyên theo dõi, cập nhật các cảnh báo về an toàn bảo mật trong thanh toán trực tuyến từ các ngân hàng cung cấp dịch vụ, từ các phương tiện truyền thông đại chúng. Khách hàng không cung cấp thông tin bảo mật (tên đăng nhập, mật khẩu đăng nhập Internet Banking, mã OTP, thông tin thẻ,…) cho bất kì ai, với bất cứ hình thức nào (gọi điện, tin nhắn SMS, email, chat zalo, viber hoặc các link giả mạo…), chỉ thực hiện truy cập dịch vụ từ website và ứng dụng chính thức của ngân hàng… Khi có bất kì nghi vấn lừa đảo, khách hàng liên hệ ngay và thông báo cho ngân hàng theo số đường dây nóng, hoặc đến điểm giao dịch gần nhất để được tiếp nhận và hướng dẫn giải quyết.

Trường hợp chủ tài khoản bỗng dưng nhận được một khoản tiền “chuyển nhầm” cần lưu ý: Không sử dụng số tiền này vào việc chi tiêu cá nhân, để không vi phạm quy định tại Bộ luật Hình sự¹ về tội cố ý chiếm giữ trái phép tài sản bị chuyển nhầm; cần chủ động liên hệ, phối hợp với ngân hàng để được hướng dẫn, xử lí theo quy định của pháp luật.