Đảm bảo an toàn thông tin khách hàng, ngăn ngừa rủi ro trong giao dịch ngân hàng điện tử

(BANKER.VN) Để hạn chế rủi ro trong giao dịch ngân hàng điện tử, cả ngân hàng và khách hàng cần tuân thủ các nguyên tắc về an toàn, bảo mật thông tin, đồng thời cần sự phối hợp giữa các cơ quan Bộ, ngành trong việc phát hiện, xử lý, bảo vệ người sử dụng dịch vụ và khuyến cáo khách hàng trước các hành vi gian lận trên môi trường mạng.

Đảm bảo an toàn thông tin khách hàng, ngăn ngừa rủi ro trong giao dịch ngân hàng điện tử

Gần đây, các ngân hàng thương mại liên tục có khuyến cáo đến khách hàng về các hình thức lừa đảo nhằm dẫn dụ người dùng để lộ thông tin cá nhân khi truy cập, từ đó chiếm đoạt tiền trong tài khoản. Trước đó, Bộ Công an đã vào cuộc xác minh thông tin liên quan vụ việc hàng ngàn chứng minh nhân dân (CMND) bị rao bán trên mạng.

Các loại hình gian lận và lỗi thường gặp trong giao dịch ngân hàng điện tử

Theo các chuyên gia về công nghệ ngân hàng, các loại hình gian lận phổ biến trong thanh toán điện tử như: (i) Đánh cắp thông tin bảo mật để chiếm đoạt quyền sử dụng tài khoản ngân hàng điện tử/thẻ, cụ thể, kẻ gian đánh cắp/thu thập thông tin bảo mật dịch vụ ngân hàng điện tử/Thẻ của khách hàng (số tài khoản, mật khẩu, mã OTP, mã PIN…) tiếp đó chiếm đoạt quyền sử dụng tài khoản để trục lợi; (ii) Kẻ gian lừa khách hàng tự chuyển tiền cho kẻ gian; (iii) Loại hình khác: Đối tượng lừa đảo lợi dụng giấy tờ bị thất lạc của khách hàng để thực hiện đăng ký mới/kích hoạt lại dịch vụ ngân hàng điện tử của khách hàng tại quầy để chiếm đoạt quyền sử dụng.

Ngoài ra, các đối tượng còn sử dụng hình chụp chứng minh nhân dân, căn cước công dân (CMND/CCCD), sao chép thông tin CMND thật để làm phiên bản giả với dãy số và tên nạn nhân giữ nguyên, nhưng thay ảnh của chính mình vào. Sau đó, chúng dùng CMND giả này đến ngân hàng chiếm đoạt tiền trong tài khoản của nạn nhân (đã nghiên cứu trước). Hiện, một số app vay tiền trực tuyến áp dụng công nghệ eKYC (Know Your Customer - định danh không gặp trực tiếp) cho phép người dùng xác thực tài khoản vay vốn bằng cách cần tải hình CMND/CCCD hoặc hình chân dung đang cầm giấy tờ trên tay. Kẻ gian sẽ lấy hình CMND người khác, hoặc in thành phiên bản giả thay hình chân dung mình vào để vượt qua bước này.

Bằng cách nghiên cứu thông tin trên CMND/CCCD như hình ảnh, tên tuổi, quê quán, nơi ở, giới tính... tội phạm công nghệ cao có thể biết được số điện thoại liên hệ, tài khoản ngân hàng của khổ chủ. Sau đó chúng giả công an, kiểm sát viên, thanh tra, tòa án gọi điện đến hù dọa người này đang bị điều tra vì "liên quan đến vụ án". Nghe chúng đọc vanh vách những thông tin về mình, thậm chí cả tài khoản ở các ngân hàng, người dân rất dễ tin đây là người của cơ quan pháp luật nên thực hiện theo các yêu cầu. Khi đó, họ bị cảnh sát giả hăm dọa "nếu không muốn bị bắt tạm giam" phải chứng minh bản thân trong sạch, tiền đang có không liên quan đến băng nhóm tội phải. Để làm được việc này, người dân phải chuyển tiền đến tài khoản của "cơ quan điều tra" (do chúng cung cấp), khi làm rõ công an sẽ lập tức chuyển trả. Theo thống kê của Bộ Công an, thủ đoạn giả danh này chiếm hơn 65% số vụ lừa đảo trên không gian mạng năm 2020.

Tổng kết từ thực tiễn thì thấy các kịch bản lừa đảo, gian lận phổ biến như:

(i) Lừa đảo qua SMS (giả mạo tin nhắn SMS Brandname của chính ngân hàng);

(ii) Lừa đảo qua tài khoản Facebook Messenger (giả mạo người thân/quen của khách hàng: Hack tài khoản mạng xã hội (Zalo, Facebook…) của bạn bè, người thân của khách hàng và giả mạo bạn bè, người thân của khách hàng. Tiếp đó, đối tượng lừa đảo đề nghị khách hàng cung cấp thông tin, tự chuyển tiền tới tài khoản lừa đảo hoặc nhờ nhận tiền hộ sau đó dụ khách hàng truy cập vào link lừa đảo;

(iii) Lừa đảo qua điện thoại: Giả mạo là cán bộ ngân hàng/công an/tòa án… để gọi điện thông báo khách hàng đã trúng thưởng hoặc tài khoản khách hàng phạm pháp/giao dịch lỗi, đề nghị khách hàng cung cấp thông tin bảo mật để xác thực hoặc đe dọa bắt khách hàng chuyển tiền;

(iv) Lừa đảo qua email (chủ yếu là gửi email chứa link độc hại). Các đối tượng sẽ gửi email cảnh báo giả tới email cá nhân của khách hàng với danh nghĩa là ngân hàng, từ đó yêu cầu khách hàng khai báo thông tin trên các đường dẫn độc được đính kèm email;

v) Đánh cắp thông tin từ website giả mạo (phishing website): Các trang web giả mạo: hacker tạo trang web với giao diện sao chép giống hệt website chính thống của ngân hàng và lừa người dùng truy cập để đánh cắp thông tin hoặc lây nhiễm mã độc.

Về phía người sử dụng dịch vụ, các lỗi thường gặp trong sử dụng tài khoản và mật khẩu liên quan đến quyền truy cập, người dùng cho mượn tài khoản, cấp thừa quyền hạn, hoặc bị lộ mật khẩu (do mật khẩu yếu, dùng chung mật khẩu, lưu mật khẩu không an toàn), đôi khi người dùng ghi mật khẩu ra giấy hoặc file văn bản hoặc sử dụng tính năng ghi nhớ mật khẩu và tự động đăng nhập, hoặc sử dụng chung mật khẩu cho các tài khoản khác nhau.

Thiếu các giải pháp mang tính chống chối bỏ giao dịch hoặc chỉ áp dụng với các giao dịch hạn mức rất lớn trong khi các phương thức xác thực truyền thống như username & password, SMS OTP dễ bị đánh cắp và vượt qua….

Cần tuân thủ nguyên tắc đảm bảo an toàn thông tin khách hàng

Nghị định 117/2018/NĐ-CP về giữ bí mật, cung cấp thông tin khách hàng của tổ chức tín dụng, chi nhánh ngân hàng nước ngoài có quy định: Thông tin khách hàng của tổ chức tín dụng, chi nhánh ngân hàng nước ngoài (sau đây gọi là thông tin khách hàng) là thông tin do khách hàng cung cấp, thông tin phát sinh trong quá trình khách hàng đề nghị hoặc được tổ chức tín dụng, chi nhánh ngân hàng nước ngoài cung ứng các nghiệp vụ ngân hàng, sản phẩm, dịch vụ trong hoạt động được phép, bao gồm thông tin định danh khách hàng và thông tin sau đây: thông tin về tài khoản, thông tin về tiền gửi, thông tin về tài sản gửi, thông tin về giao dịch, thông tin về tổ chức, cá nhân là bên bảo đảm tại tổ chức tín dụng, chi nhánh ngân hàng nước ngoài và các thông tin có liên quan khác.

Tại Điều 4 của Nghị định 117 cũng quy định nguyên tắc giữ bí mật, cung cấp thông tin khách hàng. Theo đó, thông tin khách hàng của tổ chức tín dụng, chi nhánh ngân hàng nước ngoài phải được giữ bí mật và chỉ được cung cấp theo quy định của Luật Các tổ chức tín dụng năm 2010, sửa đổi, bổ sung năm 2017, Nghị định này và pháp luật có liên quan. Tổ chức tín dụng, chi nhánh ngân hàng nước ngoài không được cung cấp thông tin xác thực khách hàng khi truy cập các dịch vụ ngân hàng bao gồm mã khóa bí mật, dữ liệu sinh trắc học, mật khẩu truy cập của khách hàng, thông tin xác thực khách hàng khác cho bất kỳ cơ quan, tổ chức, cá nhân nào, trừ trường hợp được sự chấp thuận của khách hàng đó bằng văn bản hoặc bằng hình thức khác theo thỏa thuận với khách hàng đó.  Cơ quan nhà nước, tổ chức khác, cá nhân chỉ được yêu cầu tổ chức tín dụng, chi nhánh ngân hàng nước ngoài cung cấp thông tin khách hàng theo đúng mục đích, nội dung, phạm vi, thẩm quyền theo quy định của pháp luật hoặc khi được sự chấp thuận của khách hàng và phải chịu trách nhiệm về việc yêu cầu cung cấp thông tin khách hàng. Cơ quan nhà nước, tổ chức khác, cá nhân phải giữ bí mật thông tin khách hàng, sử dụng thông tin khách hàng đúng mục đích khi yêu cầu cung cấp thông tin và không được cung cấp cho bên thứ ba mà không có sự chấp thuận của khách hàng, trừ trường hợp cung cấp theo quy định của pháp luật.  Cơ quan, tổ chức, cá nhân phải lưu trữ, bảo quản theo quy định của pháp luật về lưu trữ, bảo quản hồ sơ, tài liệu đối với thông tin khách hàng, hồ sơ yêu cầu cung cấp thông tin khách hàng, việc giao nhận thông tin khách hàng.

Về quyền của khách hàng, Điều 13 Nghị định 117 quy định khách hàng có quyền: Yêu cầu tổ chức tín dụng, chi nhánh ngân hàng nước ngoài cung cấp thông tin của chính khách hàng theo thỏa thuận giữa các bên và phù hợp với quy định của pháp luật; Khiếu nại, khởi kiện, yêu cầu bồi thường thiệt hại theo quy định của pháp luật trong trường hợp cơ quan nhà nước, tổ chức khác, cá nhân, tổ chức tín dụng, chi nhánh ngân hàng nước ngoài cung cấp, sử dụng thông tin khách hàng không đúng quy định của pháp luật.

Còn tổ chức tín dụng, chi nhánh ngân hàng nước ngoài có trách nhiệm: Cung cấp thông tin khách hàng trung thực, đầy đủ, kịp thời, đúng đối tượng và phạm vi thông tin được yêu cầu cung cấp; Đảm bảo an toàn, bí mật thông tin khách hàng trong quá trình cung cấp, quản lý, sử dụng, lưu trữ thông tin khách hàng; Giải quyết khiếu nại của khách hàng trong việc cung cấp thông tin khách hàng theo quy định của pháp luật; Tổ chức giám sát, kiểm tra và xử lý vi phạm quy định nội bộ về giữ bí mật, lưu trữ, cung cấp thông tin khách hàng; Chịu trách nhiệm theo quy định của pháp luật đối với trường hợp vi phạm quy định của Nghị định này, pháp luật có liên quan.

Ngoài ra, tại Thông tư 35/2016/TT-NHNN ngày 29/12/2016 của NHNN quy định về an toàn, bảo mật cho việc cung cấp dịch vụ ngân hàng trên Internet đã quy định rõ trách nhiệm của các TCTD phải bảo vệ quyền lợi của khách hàng khi sử dụng dịch vụ, cụ thể bao gồm: Cung cấp thông tin dịch vụ Internet Banking trước khi khách hàng đăng ký sử dụng dịch vụ. Trong đó bao gồm các điều kiện cần thiết về trang thiết bị sử dụng; cách thức truy cập dịch vụ; hạn mức giao dịch và các biện pháp xác thực giao dịch; các rủi ro liên quan đến sử dụng dịch vụ;  Hướng dẫn khách hàng sử dụng dịch vụ an toàn, bảo mật;  Cung cấp cho khách hàng thông tin về đầu mối tiếp nhận thông tin, số điện thoại đường dây nóng và chỉ dẫn cho khách hàng quy trình, cách thức phối hợp xử lý các lỗi và sự cố trong quá trình sử dụng dịch vụ

Giải pháp tổng thể để tăng cường an ninh thông tin khách hàng

Bên cạnh việc hoàn thiện các chính sách, quy định về đảm bảo an toàn, bảo mật thông tin, dữ liệu khách hàng, thì yếu tố con người và công nghệ là rất quan trọng.

Các tổ chức tín dụng, chi nhánh ngân hàng nước ngoài cần tuân thủ các quy định, hướng dẫn của Ngân hàng Nhà nước về đảm bảo an toàn bảo mật giao dịch ngân hàng trực tuyến.  Đồng thời cần nâng cao chất lượng nhân lực về công nghệ, đầu tư cho hạ tầng kỹ thuật công nghệ có thể đảm bảo an ninh, bảo mật dữ liệu và ứng cứu xử lý kịp thời các tình huống phát sinh. Bên cạnh đó, các tổ chức tín dụng cần đẩy mạnh truyền thông nâng cao nhận thức cho khách hàng; xây dựng đội ngũ giám sát và phân tích, cảnh báo rủi ro về gian lận; đào tạo đội ngũ chăm sóc khách hàng xử lý các trường hợp gian lận; xây dựng các kịch bản, quy trình, hướng dẫn ứng phó chi tiết với các sự cố về gian lận trực tuyến; xây dựng quy trình giám sát, cảnh báo các giao dịch gian lận; xây dựng quy trình kiểm soát chặt ngay từ khâu mở tài khoản tại quầy. Đặc biệt cần đẩy mạnh  truyền thông, giáo dục tài chính qua đó giúp giảm thiểu rủi ro cho khách hàng khi sử dụng dịch vụ tài chính.

Về phía khách hàng, để phòng tránh rủi ro, cảnh giác trước các thủ đoạn lừa đảo qua các dịch vụ ngân hàng điện tử, cần chú ý:

Tuân thủ các quy định, hướng dẫn của các ngân hàng cung cấp dịch vụ ngân hàng, đăng ký nhận tin thông báo thay đổi số dư giao dịch;

Đối với mật khẩu truy cập dịch vụ giao dịch trực tuyến cần đặt mật khẩu khó đoán, thay đổi mật khẩu thường xuyên và không sử dụng các tính năng lưu mật khẩu để đăng nhập tự động;

Không cung cấp tên, mật khẩu đăng nhập ngân hàng trực tuyến, mã xác thực một lần (OTP), cũng như số thẻ ngân hàng qua điện thoại, email, mạng xã hội, website;

Trong trường hợp bị lộ hoặc nghi ngờ bị lộ tên đăng nhập/ mật khẩu khách hàng cần nhanh chóng thông báo tới ngân hàng để được hỗ trợ kịp thời;

Hạn chế dùng máy tính công cộng, thiết bị di động kết nối với mạng không dây (Wifi) công cộng để truy cập vào hệ thống ngân hàng điện tử;

Gõ trực tiếp địa chỉ các trang web ngân hàng điện tử thay vì chọn đường link có sẵn, chỉ đăng nhập tại website chính thức của ngân hàng; luôn đăng xuất khỏi các website đã nhập thông tin cá nhân;

Thường xuyên theo dõi, cập nhật các cảnh báo về an toàn bảo mật trong thanh toán trực tuyến từ các ngân hàng cung cấp dịch vụ, từ các phương tiện truyền thông đại chúng.

Người dùng không nên cung cấp thông tin cá nhân, eKYC cho các dịch vụ chưa được đánh giá tín nhiệm một cách rõ ràng. Mỗi người cũng nên lường trước các kịch bản lừa đảo có thể xảy ra với mình và người thân, sẵn sàng thông báo cho cơ quan chức năng khi có những cuộc gọi, thư điện tử nghi ngờ gửi đến.

Trường hợp gặp rắc rối từ CMND/CCCD bị lộ, người dân liên hệ ngay với các tổ chức tín dụng có thông tin tài khoản để khoá và ngăn chặn giao dịch. Nếu thường sử dụng các ứng dụng (app) thanh toán có liên quan đến thông tin, hình ảnh cá nhân thì người dân cần liên lạc với các chuyên gia bảo mật hoặc các công ty về bảo mật có các dịch vụ cung ứng nhằm ứng cứu sự cố để được hỗ trợ nhanh nhất. Bên cạnh đó, người dân cần thông báo nội dung vụ việc đến các tổ chức, cá nhân liên quan và trình bày rõ mình là nạn nhân của hành vi lừa đảo; đồng thời lập vi bằng để có cơ sở bảo vệ lợi ích hợp pháp của mình...

Về chế tài dân sự, nạn nhân có quyền tự mình hoặc được quyền yêu cầu tòa án buộc bên xâm phạm phải chấm dứt hành vi xâm phạm, xin lỗi, cải chính công khai, bồi thường thiệt hại và các yêu cầu khác theo Điều 34 Bộ Luật Dân sự. Đối với những người có hành vi xâm phạm, trao đổi thông tin riêng tư của người khác có thể bị truy cứu tội Xâm phạm bí mật hoặc an toàn thư tín, điện thoại, điện tín hoặc hình thức trao đổi thông tin riêng tư khác của người khác (Điều 159 Bộ Luật Hình sự) và tội Đưa hoặc sử dụng trái phép thông tin mạng máy tính, mạng viễn thông (Điều 288 Bộ Luật Hình sự).

Tài liệu tham khảo:

- Nghị định 117/2018/NĐ-CP ngày 11/9/2018 về việc giữ bí mật, cung cấp thông tin khách hàng của tổ chức tín dụng, chi nhánh ngân hàng nước ngoài;

- Thông tư 35/2016/TT-NHNN ngày 29/12/2016 của NHNN quy định về an toàn, bảo mật cho việc cung cấp dịch vụ ngân hàng trên Internet

Phương Chi

Theo Tạp chí Thị trường Tài chính Tiền tệ