Singapore đề xuất ngân hàng và viễn thông đền bù trong các vụ lừa đảo nếu không tuân thủ nghĩa vụ
Các cơ quan quản lý của Singpore đề xuất các ngân hàng và công ty viễn thông gánh trách nhiệm đền bù cho khách hàng trong các vụ lừa đảo phishing nếu họ không tuân thủ đầy đủ các nghĩa vụ. Lừa đảo phishing liên quan đến việc gửi các đường link giả mạo ngân hàng, trang web giao dịch trực tuyến, ví điện tử, công ty thẻ tín dụng để ăn cắp tiền bằng cách lừa người dùng chia sẻ thông tin nhạy cảm như tài khoản ngân hàng, mật khẩu đăng nhập, mật khẩu giao dịch, thẻ tín dụng.
Trong tài liệu lấy ý kiến tham vấn về khung trách nhiệm chia sẻ tổn thất trong các vụ lừa đảo phishing, Cơ quan Tiền tệ Singapore (MAS) xác định ngân hàng phải bồi thường đầy đủ cho khách hàng nếu họ không thực hiện đầy đủ các nghĩa vụ chống rủi ro phishing. Ảnh: The Asian Banker
Hôm 25-10, Cơ quan Tiền tệ Singapore (MAS) và Cơ quan phát triển truyền thông Infocomm (IMDA) của Singapore công bố tài liệu lấy ý kiến tham vấn về cách chia sẻ tổn thất phát sinh từ các vụ lừa đảo phishing giữa các công ty liên quan và người tiêu dùng.
Tài liệu cho rằng “trách nhiệm ngăn chặn lừa đảo không chỉ thuộc về người tiêu dùng mà còn với các bên liên quan trong ngành”, chẳng hạn như các tổ chức tài chính (ngân hàng đầy đủ và nhà cung cấp dịch vụ thanh toán có liên quan) và công ty viễn thông.
Tài liệu nhấn mạnh, các tổ chức tài chính đóng “vai trò quan trọng như người gác cổng chống lại dòng tiền chảy ra ngoài do lừa đảo”, trong khi các công ty viễn thông đóng “vai trò hỗ trợ” với tư cách là nhà cung cấp cơ sở hạ tầng cho tin nhắn SMS.
Dựa trên lập luận đó, tài liệu đề xuất khung trách nhiệm chia sẻ trong các vụ lừa đảo dựa theo “cách tiếp cận thác nước”. Theo đó, trách nhiệm về các tổn thất tài chính sẽ đổ dồn bắt đầu các tổ chức tài chính, rồi đến các công ty viễn thông và cuối cùng mới đến người tiêu dùng, nếu các công ty này không đáp ứng các nghĩa vụ của họ như đã đặt ra trong khung trách nhiệm.
Những nghĩa vụ này bao gồm việc ngân hàng không gửi thông báo xác nhận giao dịch cho người tiêu dùng và các công ty viễn thông không triển khai bộ lọc lừa đảo tin nhắn SMS có kèm link chứa mã độc.
Các ngân hàng và các công ty viễn thông dự kiến sẽ chịu toàn bộ trách nhiệm bồi thường cho khách hàng trong các vụ lừa đảo phishing nếu họ không thực hiện nghĩa vụ tương ứng của mình. Nếu cả ngân hàng lẫn công ty viễn thông đều đã thực hiện đầy đủ nghĩa vụ, người tiêu dùng sẽ phải chịu toàn bộ tổn thất.
“Do đó, điều quan trọng là người tiêu dùng phải luôn cảnh giác và không nhấp vào bất kỳ đường link đáng ngờ và không mong muốn nào”, MAS và IMDA cho biết trong một thông cáo chung.
Hai cơ quan này cho biết khung trách nhiệm được đề xuất hiện tại sẽ chỉ bao gồm các hành vi lừa đảo phishing được kích hoạt bằng kỹ thuật số có “mối liên hệ rõ ràng với Singapore”. Điều này có nghĩa là bất kỳ thực thể nào bị mạo danh trong các vụ lừa đảo phishing đều phải có trụ sở đặt ở Singapore hoặc các thực thể có trụ sở ở nước ngoài đang cung cấp dịch vụ cho người dân Singapore.
Khung trách nhiệm nói trên lần đầu tiên được đề cập vào tháng 2-2022 sau khi gần 800 khách hàng của ngân hàng OCBC bị lừa lấy cắp tổng cộng 13,7 triệu đô la Singapote. Lúc đó, MAS cho biết sẽ công bố dự thảo khung trách nhiệm để lấy ý kiến tham vấn của công chúng trong 3 tháng tới. Tuy nhiên, quy trình này rốt cục lâu hơn dự kiến do tính phức tạp của các vấn đề liên quan.
Việc đưa các công ty viễn thông vào khung chia sẻ tổn thất khiến Singapore trở thành quốc gia đầu tiên làm như vậy. Tài liệu của MAS và IMDA cho biết: “Hiện tại, không có khu vực pháp lý nào đưa các nhà khai thác viễn thông hoặc các nhà cung cấp dịch vụ cơ sở hạ tầng khác vào khung bồi thường trong các lừa đảo có liên quan đến họ”.
Các bên liên quan có thời hạn đến ngày 2 -12-2023 để gửi bình luận về khung trách nhiệm nói trên.
Trang tin CNA của Singapore chỉ ra một kịch bản mà ngân hàng phải chịu bồi thường hoàn toàn thiệt hại của khách hàng:
Kẻ lừa đảo mạo danh một ngân hàng và liên hệ với người tiêu dùng qua email lừa đảo, trong đó, thông báo rằng tài khoản ngân hàng của anh ta sắp bị đình chỉ. Người này nhấp đường link trang web được cung cấp trong email vì tin rằng sẽ đưa anh ta đến một trang trực tuyến nơi có thể ngăn tài khoản bị đình chỉ. Anh ta nhập thông tin đăng nhập tài khoản theo yêu cầu của trang web.
Sau đó, kẻ lừa đảo sử dụng thông tin xác thực và mật khẩu một lần được cung cấp để chiếm đoạt tài khoản và thiết lập mã thông báo kỹ thuật số mới trên thiết bị của chính mình. Mã thông báo kỹ thuật số này cho phép đăng nhập liền mạch vào ứng dụng ngân hàng trực tuyến cá nhân.
Do lỗi hệ thống, ngân hàng liên quan không áp dụng thời gian chờ xét duyệt 12 giờ đối với các hoạt động có rủi ro cao như tăng hạn mức giao dịch, thay đổi mật khẩu sau khi kích hoạt mã thông báo kỹ thuật số mới. Do đó, kẻ lừa đảo có thể tăng giới hạn giao dịch trực tuyến của người tiêu dùng từ 5.000 đô la Singapore lên 10.000 đô la Singapore, được coi là hoạt động có rủi ro cao.
Người tiêu dùng nhận được thông báo về việc kích hoạt mã thông báo kỹ thuật số mới và tăng hạn mức giao dịch nhưng anh ta không có hành động nào để ngăn chặn. Kẻ lừa đảo sau đó tiến hành thực hiện nhiều giao dịch rút tiền trị giá 10.000 đô la Singapore mỗi lần từ tài khoản của người tiêu dùng.
Trong trường hợp này, ngân hàng liên quan sẽ chịu trách nhiệm bồi thường đầy đủ tổn thất cho người tiêu dùng dù anh ta đã sơ suất khi cách nhấp vào đường link lừa đảo và cũng bỏ qua các cảnh báo được gửi cho anh ta.
Theo CNA
