Vừa nhận thẻ, tiền đã 'bay': Lỗ hổng nằm ở đâu trong chuỗi bảo mật ngân hàng?
Hiện nay xuất hiện thủ đoạn lừa đảo tinh vi hơn nhiều: kẻ lừa đảo không cần giả mạo website, không cần gửi link lạ, chỉ dùng dữ liệu thật để tạo lòng tin của người dùng và chiếm đoạt tiền trong tài khoản ngân hàng.
Liên quan đến vụ việc một khách hàng của Vietcombank vừa nhận thẻ Vietcombank Visa Platinum Debit đã "sập bẫy" lừa đảo, mất trắng hơn 100 triệu đồng được VnBusiness phản ánh gần đây, từ góc nhìn của chuyên gia an ninh mạng, chuyên gia Bkav đã có phân tích và dự báo về nguyên nhân và đưa ra cảnh báo cho khách hàng.
Theo các chuyên gia, điều đáng chú ý nhất ở đây không phải việc khách hàng bị lừa đọc OTP mà là cách những kẻ tấn công có thể nắm rõ dữ liệu và thời điểm phát hành thẻ, điều mà thông thường chỉ phía ngân hàng hoặc đơn vị vận chuyển nắm giữ.
Chuyên gia Bkav cảnh báo mỗi cuộc điện thoại yêu cầu đọc OTP đều phải được coi là dấu hiệu nghi vấn.
Chuyên gia của Bkav nhận định vụ việc và nêu hai khả năng chính: Giả thuyết thứ nhất, hệ thống hoặc dữ liệu của ngân hàng hoặc một bên liên kết có khả năng bị xâm nhập hoặc rò rỉ thông tin. Trong bối cảnh nhiều ngân hàng sử dụng hệ thống đối tác để vận hành thẻ, chăm sóc khách hàng hoặc gửi SMS, chỉ một lỗi bảo mật ở khâu trung gian cũng đủ khiến dữ liệu phát hành, thời gian giao thẻ và thông tin cá nhân bị lộ. Nếu kẻ tấn công có được danh sách khách hàng mới nhận thẻ, việc dàn dựng kịch bản “nhân viên xác minh” sẽ trở nên cực kỳ thuyết phục.
Giả thuyết thứ hai, một mắt xích nội bộ hoặc cộng tác viên trong chuỗi phát hành thẻ có thể đã bị lợi dụng hoặc thông đồng. Một nhân viên ở khâu in, giao hoặc kích hoạt thẻ có quyền truy cập thông tin số thẻ, số dư, thậm chí biết trạng thái “đã giao thành công”. Nếu dữ liệu này bị tiết lộ ra ngoài, kẻ gian chỉ cần dàn dựng một cuộc gọi giả danh là đủ khiến nạn nhân tin tưởng tuyệt đối.
"Cả hai hướng trên vẫn chỉ là giả thuyết có cơ sở nhưng cho thấy mối nguy đến từ yếu tố con người trong chuỗi bảo mật, thứ mà không tường lửa hay phần mềm nào có thể kiểm soát tuyệt đối", chuyên gia Bkav nói.
Tuy nhiên, chuyên gia Bkav cảnh báo vụ việc trên đáng lo hơn “một cú lừa” lừa OTP thông thường. Bởi trong hầu hết các vụ lừa đảo tài chính, nạn nhân bị đánh vào tâm lý sợ hãi hoặc tham lợi: tin nhắn trúng thưởng, thông báo khóa tài khoản hay link giả mạo ngân hàng. Nhưng ở vụ việc này, thủ đoạn tinh vi hơn nhiều: kẻ lừa đảo không cần giả mạo website, không cần gửi link lạ, chỉ dùng dữ liệu thật để tạo lòng tin.
“Đây không còn là hành vi ngẫu nhiên của nhóm gọi điện lừa đảo đại trà mà có thể là một mô hình tội phạm có tổ chức, lợi dụng dữ liệu rò rỉ và khai thác yếu tố tâm lý khách hàng ở mức cao”, chuyên gia Bkav phân tích.
Chuyên gia Bkav khuyến cáo người dùng cần hiểu rằng OTP là “chìa khóa cuối cùng”, không bao giờ được đọc cho bất kỳ ai dù người đó xưng là nhân viên ngân hàng hay người thân. Mỗi cuộc điện thoại yêu cầu đọc OTP đều phải được coi là dấu hiệu nghi vấn.
Chuyên gia an ninh mạng Bkav cho biết phần lớn các vụ tấn công tài chính hiện nay không cần kỹ thuật cao mà chỉ cần “chiếm đoạt niềm tin”. Một khi dữ liệu cá nhân bị rò rỉ, kẻ gian có thể dựng lại toàn bộ bức tranh về nạn nhân từ số tài khoản, thẻ, đến thói quen chi tiêu và biến mọi cuộc gọi thành “cuộc gọi thật”.
Bảo mật hệ thống ngân hàng hiện nay thường đã đạt tiêu chuẩn cao nhưng an ninh thông tin không chỉ là tường lửa và mã hóa mà còn là quản trị con người và quy trình. Nếu mỗi nhân viên, mỗi đối tác không được đào tạo nhận thức đủ sâu, chỉ cần một hành vi sơ suất hoặc một hành động liên quan nhỏ liên quan đến dữ liệu cũng có thể khiến hàng nghìn khách hàng bị ảnh hưởng.
