Nhà mạng cần “vá lỗ hổng” bảo mật tin nhắn SMS dịch vụ ngân hàng

(Banker.vn) Theo Tổng Thư ký Hiệp hội Ngân hàng Nguyễn Quốc Hùng, các nhà mạng cần có trách nhiệm trong việc gia tăng bảo mật, ngăn ngừa và phối hợp với các ngân hàng “vá lỗ hổng” dịch vụ tin nhắn SMS nhằm đảm bảo an ninh, an toàn hệ thống tài chính tiền tệ.

Chiêu trò giả mạo tin nhắn SMS Brandname

SMS Brandname (tin nhắn định danh thương hiệu) là tin nhắn không hiển thị số thuê bao mà chỉ hiện tên các thương hiệu đã được đăng ký và xét duyệt từ các công ty viễn thông (nhà mạng). Đây là phương thức được nhiều nhãn hàng tin dùng, trong đó có ngân hàng nhằm dễ dàng thông tin tới khách hàng. Tuy nhiên gần đây đã xảy ra nhiều vụ việc kẻ gian giả mạo tin nhắn SMS Brandname để dụ đăng nhập vào website không an toàn hòng đánh cắp thông tin tài khoản ngân hàng, chiếm đoạt tài sản.

Chiêu thức phổ biến hiện nay đó là người dùng sẽ nhận được tin nhắn từ đầu số không phải của ngân hàng nhưng có tên hiển thị giống (brandname) với nội dung: "Chung toi phat hien tai khoan cua ban dang tieu dung o nuoc ngoai. Neu khong phai ban dang tieu dung vui long nhap vào https://vn-'tên ngân hàng'.com de huy thanh toan".

Do tin nhắn gửi trùng tên ngân hàng, nhiều người nghĩ rằng nhận được cảnh báo của ngân hàng nên truy nhập vào đường link giả mạo trên và bị lừa hàng trăm triệu đồng.

Nhiều ngân hàng đang là nạn nhân của tin nhắn SMS Brandname giả mạo

Chị H.T.T.Trinh (quận Tân Phú, TPHCM) cho biết: Vừa qua, chị nhận được tin nhắn từ hệ thống của ngân hàng với nội dung "Vietcombank tran trong thong bao tai khoan của quy khach hien tai da bi khoa" kèm theo một đường link để đăng nhập, xác thực. Sau khi nhấp vào đường link và điền các thông tin cá nhân, chị Trinh đã bị trừ hơn 3,2 triệu đồng trong tài khoản.

Tương tự, chị L.N.T.Q. (ngụ quận 7, TPHCM cũng nhận được tin nhắn từ với nội dung: "Phat hien tai khoan cua ban dang nhap khac vung bat thuong, vui long dang nhap http://i-sacombank.com de xac nhan thong tin và thay doi mat khau". Sau đó, chị Q truy cập vào đường link để đăng nhập tài khoản và mật khẩu và bị trừ hơn 38 triệu đồng.

Một nạn nhân khác là chị P.T.T.D. (ngụ Q.Bình Thạnh, TPHCM) cũng nhận được tin nhắn với nội dung: "Buoc sang nam moi, can xac nhan thong tin cua ban, hoan thanh thong tin duoc tang the 50k...". Tuy nhiên, chị D bấm vào đường link kèm trong nội dung tin nhắn để đăng nhập thông tin tài khoản theo hướng dẫn thì thấy bị trừ sạch tiền trong tài khoản.

Hiện trò lừa đảo này vẫn đang diễn ra và có rất nhiều khách hàng mất tiền do truy cập vào các link được gửi kèm tin nhắn. Các ngân hàng đã đồng loạt lên tiếng cảnh báo và hướng dẫn khách hàng ứng phó với tin nhắn giả mạo nhằm giảm thiểu rủi ro. Tuy nhiên, vai trò chính là các nhà mạng cung cấp dịch vụ tin nhắn phải có phương án cụ thể và phối hợp chặt chẽ với ngân hàng, với cơ quan chức năng để giải quyết triệt để vấn đề này. Từ đó có thể “vá lỗ hỏng” bảo mật, cần triển khai các dịch vụ tăng cường bảo mật, đảm bảo an ninh, an toàn hệ thống tài chính tiền tệ.

Theo Cục An toàn thông tin (Bộ Thông tin và Truyền thông), thời gian vừa qua nhiều thuê bao di động nhận được các tin nhắn mạo danh các tổ chức tài chính, ngân hàng gửi các nội dung giả mạo, lừa đảo nhằm chiếm đoạt tiền của người dân. Qua xác minh, đánh giá cho thấy các tin nhắn giả mạo này không xuất phát từ hệ thống của các tổ chức tài chính, ngân hàng mà được phát tán thông qua các thiết bị phát sóng di động giả mạo.

Đây là các thiết bị có nguồn gốc từ nước ngoài, được các đối tượng mua bán, sử dụng trái phép nhằm mục đích thực hiện các cuộc tấn công phát tán tin nhắn rác lừa đảo người dùng, đặc biệt là người dùng tại các khu vực đô thị.

Cước tin nhắn SMS chưa tương xứng chất lượng dịch vụ

Ông Nguyễn Quốc Hùng, Tổng Thư ký Hiệp hội Ngân hàng Việt Nam cho biết, các ngân hàng trả phí cao cho các nhà mạng cung cấp dịch vụ SMS Brandname thì phải nhận được chất lượng dịch vụ tương xứng và nhà mạng phải có trách nhiệm phối hợp xử lý vấn đề tin nhắn giả mạo một cách triệt để.

Theo ông Hùng, hiện mức giá cước nhà mạng đang thu đối với tin nhắn dịch vụ ngân hàng cao gấp 3 lần so với tin nhắn thông thường. Cụ thể: Mobifone  Vinaphone thu 820 đồng/1tin nhắn, Viettel thu 785 đồng/1 tin nhắn, trong khi cước phí tin nhắn của các nhà mạng này với khách hàng cá nhân chỉ từ 99 – 350 đồng/tin nhắn. Ước tính sơ bộ, một tổ chức tín dụng cỡ nhỏ hàng tháng phải trả phí cước cho 15 - 20 triệu tin nhắn/tháng, còn các tổ chức tín dụng tầm trung trở lên là 50 - 80 triệu tin nhắn/tháng. Ông Hùng kiến nghị nhà mạng cần làm rõ căn cứ tính phí và phải có phương án kỹ thuật, bảo mật, để chất lượng dịch vụ tương xứng với mức phí mà các ngân hàng đang phải chi trả, đồng thời bảo vệ uy tín, thương hiệu của ngân hàng.

Ông Hùng cho biết thêm, gần đây nhiều ngân hàng đã thông tin biến động số dư ngay trên ứng dụng OTT ngân hàng và cung cấp mã bảo mật smart OTP ngay trên các ứng dụng này. “Tôi cho rằng đây cũng là giải pháp hữu ích mà các ngân hàng cần nhân rộng triển khai nhằm đảm bảo an toàn cao nhất cho khách hàng”, ông Hùng chia sẻ. Hiệp hội Ngân hàng sẽ kêu gọi các tổ chức tin dụng hội viên tiếp tục đẩy mạnh các dịch vụ ngân hàng số để tiết giảm chi phí hoạt động, tăng nguồn lực trong bối cảnh chuyển đổi số đang diễn ra mạnh mẽ.

Để phòng tránh các hình thức lừa đảo và đảm bảo an toàn khi giao dịch ngân hàng, người dùng cần lưu ý các vấn đề sau.

1. Tuyệt đối không truy cập các đường link, liên kết trong tin nhắn/email lạ hoặc không rõ nguồn gốc.

2. Chỉ đăng nhập vào dịch vụ ngân hàng điện tử thông qua website chính thức của ngân hàng đang sử dụng, có thể liên hệ với tổng đài ngân hàng để lấy thông tin trang chính thức.

3. Hạn chế dùng máy tính công cộng, mạng không dây công cộng khi truy cập vào hệ thống ngân hàng điện tử.

4. Không cung cấp tên, mật khẩu đăng nhập ngân hàng trực tuyến, mã xác thực OTP, số thẻ ngân hàng qua điện thoại, email, mạng xã hội và các trang web.

5. Đặt mật khẩu khó đoán, thực hiện thay đổi mật khẩu thường xuyên hoặc khi nghi ngờ bị lộ. Không sử dụng các tính năng lưu mật khẩu để đăng nhập tự động, không sử dụng chung một mật khẩu để đăng nhập ngân hàng trực tuyến và mật khẩu thư điện tử hoặc mật khẩu đăng nhập vào các mạng xã hội.

6. Đăng ký nhận thông báo thay đổi số dư giao dịch.

7. Đăng ký sử dụng phương thức xác thực Smart OTP khi giao dịch trực tuyến

Nhóm PV

Theo Tạp chí Thị trường Tài chính Tiền tệ

Theo: Tạp chí Thị trường Tài chính Tiền tệ
    Bài cùng chuyên mục