Thẻ tín dụng và những rủi ro tiềm ẩn
Hiện nay, thẻ tín dụng ngày càng trở nên phổ biến, giúp người tiêu dùng thanh toán thuận tiện, giảm bớt giao dịch tiền mặt. Chính vì thế, những kẻ gian sẽ lợi dụng các kẽ hở của loại hình giao dịch này để thực hiện hành vi gian lận. Hậu quả đối với từng chủ thẻ bị lợi dụng có thể không nhiều, nhưng xét tổng thể, nó có thể lên tới một con số khổng lồ. Có thể kể đến một số thủ đoạn mà kẻ gian thường sử dụng như:
- Phát tán, lây nhiễm virus trên các thiết bị cá nhân để lấy thông tin của chủ thẻ khi họ sử dụng dịch vụ thanh toán trực tuyến. Trên mạng Internet xuất hiện nhiều virus mà tin tặc (hacker) đã sử dụng để lây nhiễm qua các thiết bị thanh toán để lấy trộm các thông tin cá nhân của chủ thẻ như virus Eurograbber, tin tặc đã sử dụng email, hay các website giả mạo để lừa khách hàng cài virus lên máy cá nhân. Khi khách hàng truy cập các giao dịch trực tuyến, virus sẽ giả mạo thông báo của ngân hàng để dụ khách cài đặt virus lên điện thoại, máy tính sau đó sẽ lấy trộm mã xác thực OTP, các thông tin của chủ thẻ. Với thủ đoạn này nhóm tin tặc sử dụng virus Eurograbber đã lấy trộm 36 triệu euro của các ngân hàng châu Âu.
- Gian lận, giả mạo, làm giả thẻ tín dụng, thanh toán khống qua PoS hoặc thực hiện hành vi rút tiền.“Skimming” là một mánh khóe qua đó thông tin tích hợp trên thẻ từ của quý khách bị đánh cắp khi nó được quẹt trong khi giao dịch mua bán. Những tên trộm sau đó có thể làm lại một cái thẻ giả sử dụng những dữ liệu đã ăn cắp được từ thẻ của quý khách. Một khi đã hoàn thành, những chiếc thẻ giả có thể dùng để thực hiện những giao dịch mua bán cùng lúc với thẻ của quý khách.
Đảm bảo an ninh thẻ tín dụng – Một số giải pháp
Trước tình hình tội phạm thẻ ngày càng gia tăng, để phòng ngừa và giảm thiểu những thiệt hại có thể xảy ra cho ngân hàng cũng như khách hàng, các ngân hàng cần rà soát lại quy trình, chính sách quản lý rủi ro trong từng khâu; có sự đầu tư hợp lý cho các giải pháp công nghệ hiện đại, hệ thống phòng ngừa, quản lý rủi ro. Trách nhiệm của ngân hàng cần được đặt lên hàng đầu. Bên cạnh đó, doanh nghiệp kinh doanh và chính chủ thẻ cũng cần có những biện pháp và nâng cao nhận thức để tự bảo vệ bản thân.
Trước tiên, phải kể đến việc các ngân hàng cần có một chính sách bảo mật an toàn, PCI DSS sẽ giải quyết yêu cầu đó.
Tiêu chuẩn bảo mật PCI DSS
Bộ tiêu chuẩn bảo mật dữ liệu thẻ thanh toán, viết tắt là PCI DSS (Payment Card Indutry Data Security Standard), bao gồm các yêu cầu về kỹ thuật và vận hành giúp các tổ chức xử lý giao dịch thanh toán qua thẻ, phòng ngừa gian lận thẻ tín dụng, hành vi xâm nhập trái phép và những nguy cơ và rủi ro về an ninh.
PCI DSS được hợp thành từ 5 chương trình khác nhau của các “ông lớn” trong lĩnh vực thẻ tín dụng quốc tế, gồm:
- Chương trình Bảo mật Thông tin Thẻ của Visa (Visa Card Information Security Program);
- Bảo vệ Dữ liệu Hiện trường của MasterCard (MasterCard Site Data Protection);
- Chính sách Vận hành Bảo mật Dữ liệu của Amercian Express (Amercian Express Security Operating Policy);
- Yêu cầu tuân thủ và Thông tin của Discover Financial Services (Discover Information and Compliance);
- Chương trình Bảo mật Dữ liệu của JCB International (JCB Data Security Program).
Tiêu chuẩn PCI DSS được phát triển nhằm hỗ trợ các tổ chức thanh toán thẻ bảo vệ dữ liệu của khách hàng, chống lại việc xâm nhập và sử dụng dữ liệu khi chưa được phép. PCI DSS sẽ giúp cho các doanh nghiệp hạn chế các lỗ hổng bảo mật và rủi ro bị đánh cắp thông tin; đồng thời tăng cường bảo vệ dữ liệu lưu trên thẻ. Tiêu chuẩn này được áp dụng cho tất cả các tổ chức có lưu trữ, xử lý hoặc truyền tải dữ liệu lưu trữ trên thẻ và các tổ chức này bắt buộc phải bảo vệ dữ liệu lưu trên thẻ khi họ thực hiện giao dịch.
Mã xác minh thẻ - CVC/CVV
Mã xác minh thẻ (CVC - với Master Card, CVV – với Visa Card) là số giúp tăng cường bảo mật cho chủ thẻ. CVC/CVV là ba hoặc bốn chữ số cuối cùng của số hiển thị ở mặt sau của thẻ tín dụng trên thanh chữ ký. Vị trí của CVC/CVV và số lượng chữ số khác nhau tùy thuộc vào loại thẻ.
- American Express: CVC là bốn chữ số được đặt ở trước thẻ, phía bên phải.
- Discover, Master, Visa: CVC là ba chữ số cuối cùng của số ở mặt sau của thẻ trên thanh chữ ký.
Việc thanh toán ngoài cung cấp mã xác minh thường kèm theo số thẻ và ngày hết hạn của thẻ. Tất cả các thông tin đều được hiển thị ngay trên chiếc thẻ của bạn. Đây là yếu tố rất dễ để kẻ gian lợi dụng.
Chip-và-PIN (Chip-and-PIN)
Thay vì dải từ tính, thẻ Chip-và-PIN chứa một vi chip được mã hóa để lưu trữ thông tin tài chính. Thẻ này có thêm một lớp bảo mật bằng cách yêu cầu người dùng nhập vào số nhận dạng cá nhân (PIN) trước khi thực hiện một thanh toán. Công nghệ xác thực hai nhân tố này đã được sử dụng trong nhiều thập kỷ gần như tại mọi quốc gia G20 khác và đã được chứng minh là làm giảm đáng kể sự xâm hại. Theo một nghiên cứu do Ngân hàng dự trữ liên bang Kansas City thực hiện cho kết quả nếu Mỹ áp dụng được công nghệ Chip-và-PIN, những vụ xâm phạm thông tin tài khoản trong nước có thể giảm tới 40%.
Hệ thống kiểm tra địa chỉ - AVS
Chip-và-PIN có thể giúp giảm số lượng thẻ gian lận ở các lần giao dịch trực diện, tuy nhiên lại “bó tay” trước hình thức gian lận đối với các giao dịch không trực tiếp sử dụng thẻ (Card not present). Hệ thống kiểm tra địa chỉ (Address Verification System - AVS) giúp kiểm tra địa chỉ chủ thẻ trước khi giao dịch. AVS có thể so sánh địa chỉ của khách hàng ghi trên hoá đơn của nhà phát hành thẻ với địa chỉ trên đơn đặt hàng của họ để đảm bảo rằng khách hàng là chủ thẻ hợp pháp. Đồng thời kiểm tra phần mềm hay các thiết bị xử lý có hỗ trợ AVS không. AVS ra đời nhằm giúp các nhà kinh doanh trực tuyến tránh gặp phải lừa đảo. Một trong những cơ hội lớn nhất mà Internet đem lại đó là khả năng chấp nhận đơn đặt hàng trên toàn thế giới. Một điểm thuận lợi của Internet đó là các mặt hàng "mềm" như phầm mềm được mua và chuyển tải ngay lập tức.
Phần mềm tự động chống gian lận
Rất nhiều ý tưởng được đưa ra nhằm giảm thiểu gian lận trong thanh toán bằng thẻ tín dụng. Tuy nhiên, phần lớn các doanh nghiệp đều muốn tìm kiếm những giải pháp khác, nhanh và hiệu quả hơn.
Để tiếp cận với phương thức kinh doanh trên mạng Internet, vấn đề là phải ngăn ngừa quá trình xử lý tức thời thẻ tín dụng khi giao dịch được thực hiện. Một giải pháp đã được nhiều doanh nghiệp áp dụng đó là xây dựng một ma trận chỉ rõ các cấp độ kiểm tra tương ứng với từng loại đơn đặt hàng khác nhau. Nội dung của ma trận hoàn toàn phụ thuộc vào hàng hóa, địa điểm và mức độ rủi ro mà doanh nghiệp có thể chấp nhận.
Cụ thể ở đây là sử dụng một công cụ kiểm tra tự động: Phần mềm AntiFraud hoặc Hệ thống IVS của CyberSource. Bạn có thể kiểm tra hàng loạt dịch vụ xử lý thẻ tín dụng thông qua các điều khoản chống gian lận cho từng quá trình giao dịch thẻ tín dụng trên Internet.
Tuy nhiên, bất kỳ công nghệ nào cũng có lỗ hổng. Mọi người nên sẵn sàng cho sự thay đổi liên tục trong công nghệ, bởi tin tặc sẽ không ngừng phá vỡ những mô hình bảo mật của các hệ thống được sử dụng.
