Lộ thông tin thẻ tín dụng: Thủ đoạn tin tặc ngày càng tinh vi hơn

Chuyện không phải bây giờ mới có

Anh T.K (quận Hà Đông, Hà Nội) cho biết, đầu giờ sáng ngày 14/7/2020, trước khi đi làm anh bỗng tá hỏa khi nhận được email thông báo tài khoản thẻ tín dụng của anh bị trừ gần 50 USD vào 0h sáng, với nội dung tin nhắn AMZN Mktp US. Ngay lập tức, anh đã ra chi nhánh ngân hàng gần nhất để thông báo cắt thẻ tín dụng và tiến hành tra soát. Phải đến giữa tháng 10/2020 anh K mới nhận lại được số tiền bị mất của mình, sau 2 lần ngân hàng tiến hành tra soát.

Ngoài trường hợp của anh T.K, chị N.T.L cũng cho biết việc bị tin tặc (hacker) "lột sạch tiền" khi sử dụng thẻ Debit của qua website nước ngoài vào cuối tháng 4/2020 với số tiền khoảng vài trăm USD. "IP thực hiện giao dịch ở Hàn Quốc, trong khi tôi đang ở Việt Nam, cũng không cho ai mượn thẻ và không hề xuất ngoại trong quãng thời gian trên", chị N.T.L khẳng định.

Việc bị lộ thông tin thẻ tín dụng không phải là chuyện xưa nay hiếm tại Việt Nam cũng như trên thế giới. Hiện nay, có những website rao bán cả triệu thông tin thẻ của Visa hay Master Card để lấy tiền.

Trong đó có rất nhiều nguyên nhân như do jailbreak nên bị hacker khai thác thông tin thẻ; bị kẻ xấu mượn thẻ để chụp lại thông tin khi giao dịch quẹt thẻ offline tại các cửa hàng; nhập thông tin vào các trang thứ 3 không uy tín, có biện pháp bảo vệ đủ mạnh; hacker khai thác dữ liệu các trang web và lấy cắp thông tin khách hàng... Năm 2018, các trang web du lịch có số lượng người dùng lớn như Booking, Agoda... cũng bị tố lộ thông tin khách hàng cho các khách sạn, nhà nghỉ.

Theo đại diện công ty VSEC, việc hacker sử dụng thông tin thẻ tín dụng để tiêu tiền của nạn nhân đã diễn ra từ rất lâu. Hiện nay, dù đã có nhiều phương pháp để nâng cao bảo mật khi chi tiêu bằng thẻ tín dụng, người dùng cũng đã có nhận thức về an toàn bảo mật khi sử dụng thẻ tín dung nhưng tình trạng lộ thông tin và bị hacker khai thác vẫn đang khá phổ biến.

"Lý do là các hacker có những phương pháp tinh vi hơn để lửa đảo cũng như đánh cắp thông tin người dùng", đại diện VSEC cho biết thêm.

Lộ thông tin do thanh toán trên các website giả mạo hoặc có lỗ hổng bảo mật

Cụ thể, các nguyên nhân khiến người dùng bị lộ thông tin thẻ tín dụng, đầu tiên đó là việc thực hiện thanh toán qua các website giả mạo. Theo đó, hacker thường sẽ gửi email thông báo về các chương trình siêu khuyến mãi để dẫn dắt người dùng thực hiện thanh toán trên website giả.

Việc bị lộ thông tin thẻ tín dụng còn đến từ việc người sử dụng thực hiện thanh toán trên các website chứa lỗ hổng bảo mật. "Việc lưu lại thông tin thẻ của khách hàng trên hệ thống website bán hàng là không được phép, do đó, khi website bị tấn công cũng sẽ không bị rò rỉ thông tin thẻ. Tuy nhiên các hacker đang sử dụng một kỹ thuật gọi là web skimmer, hacker sẽ chèn các đoạn mã độc trên trang bán hàng và sẽ đọc dữ liệu thẻ của người dùng ngay khi họ nhập thông tin mà chưa cần gửi đi", đại diện VSEC chia sẻ thêm.

Nguyên nhân cuối cùng là do người dùng sử dụng máy tính, thiết bị nhiễm mã độc. "Ngoài những nguyên nhân trên việc để lộ thông tin thẻ có thể do bản thân người dùng, do website bán hàng có lỗ hổng bảo mật, hoặc có thể lỗi một phần do ngân hàng nếu ngân hàng không cung cấp được phương thức xác thực an toàn", đại diện VSEC cho biết.

Sau khi lấy được thông tin của thẻ tín dụng, hacker sẽ lấy tiền trong thẻ của nạn nhân bằng cách mua hàng hóa tại các trang web nước ngoài hoặc nạp tiền vào các ứng dụng, game, quảng cáo cho phép thanh toán online. Các thanh toán này thường diễn ra vào buổi đêm để tránh đánh động đến nạn nhân.

Về lý do tại sao hacker thường mua hàng ở nước ngoài vì sẽ khó truy vết hơn khi thanh toán các trang ở Việt Nam. "Chưa kể đến các trang web nước ngoài có nhiều lựa chọn khi thanh toán, cho phép thanh toán qua thẻ quốc tế", đại diện VSEC nhấn mạnh.

Hiện tại thì tất cả các giao dịch qua thẻ tín dụng người mua cần cung cấp đầy đủ thông tin thẻ bao gồm cả thông tin mặt trước thẻ và số CVV2. Tuy nhiên, một số trang web quốc tế như Amazon, do tính tiện lợi nên người dùng chỉ cần điền thông tin đằng trước thẻ, dù điều này dễ tạo điều kiện cho tin tặc khai thác.

Chỉ sử dụng thẻ tín dụng khi thực sự cần thiết

Theo đại diện VSEC, để có thể bảo vệ mình tránh bị hacker hỏi thăm khi sử dụng thẻ tín dụng, người sử dụng chỉ dùng thẻ khi thực sự cần thiết, không thanh toán online trên các thiết bị dùng chung và sử dụng tính năng 3D Secure do ngân hàng cung cấp.

Còn đối với các ngân hàng, cần bắt buộc xây dựng hệ thống xác thực 3D Secure cho thanh toán qua thẻ tín dụng, cũng như hệ thống cảnh báo, phát hiện giao dịch bất thường và có quy trình hỗ trợ khách hàng thương lượng với bên cung cấp sản phẩm để hoàn toàn cho khách hàng nếu có thể.

7 nguyên tắc bảo mật thẻ tín dụng mà khách hàng cần nắm vững

1. Giữ bí mật thông tin ngân hàng điện tử và thẻ. Không cung cấp thông tin ngân hàng điện tử (tên truy cập/mật khẩu truy cập/tên truy cập/mã OTP) và thẻ (số thẻ/mã PIN/ngày hết hạn/mã CVV/mã CVC) cho bất kỳ ai.

2. Xác thực người đề nghị thực hiện giao dịch tránh việc đối tượng gian lận giả mạo danh tính người quen để lừa đảo.

3. Chỉ thực hiện giao dịch tại các website uy tín.

4. Luôn tải và cập nhật các phần mềm bảo mật, diệt virus mới nhất.

5. Đăng xuất khỏi tài khoản sau khi hoàn thành giao dịch.

6. Che bàn phím mã PIN khi thực hiện giao dịch quẹt thẻ. Kiểm tra vị trí khe đọc thẻ, bàn phím, camera trước khi giao dịch tại ATM đề phòng có các thiết bị ăn cắp thông tin.

7. Chủ động khóa/mở ví điện tử để kiểm soát các giao dịch tài chính trực tuyến.