Nguyên nhân nào dẫn đến các vụ lừa đảo, chiếm đoạt tài khoản ngân hàng trực tuyến?

3 trường hợp lừa đảo điển hình trong thời gian qua

Tại một sự kiện của ngành Ngân hàng được tổ chức mới đây, ông Đỗ Ngọc Duy Trác, CEO VinCSS đã chia sẻ về một số vấn đề tồn tại và các giải pháp mới trong việc quản lý định danh, xác thực mạnh trên thế giới. 

Cụ thể, ông Trác đã đưa ra dẫn chứng về trường hợp mới đây, khi Công an đã tạm giam 3 đối tượng để điều tra về hành vi sử dụng mạng viễn thông để lừa đảo, chiếm đoạt tài sản. Theo điều tra ban đầu, 3 đối tượng này đã vờ nhắn tin hỏi mua hàng online. Sau khi thống nhất giá, người này yêu cầu người bán gửi số tài khoản ngân hàng cho họ để gửi tiền đặt cọc. Sau đó gửi SMS với nội dung gửi mã giao dịch và đường link truy cập yêu cầu nhập thông tin số tài khoản, mật khẩu ngân hàng và nhập mã xác nhận OTP của ngân hàng, rồi chiếm đoạt tiền của người bán. Bằng thủ đoạn này, từ đầu tháng 1/2021 đến khi bị bắt, ba bị can trên đã lừa đảo hàng trăm nạn nhân trong cả nước với tổng số tiền chiếm đoạt 2,4 tỉ đồng, dù không có nhiều kiến thức về công nghệ.

Trường hợp thứ 2 ở Singapore, với ngân hàng OCBC, khi họ phải đối diện với một chiến dịch phishing tinh vi và gây thiệt hại gần 14 triệu USD Singapore để "bù đắp" cho người dùng. Ngân hàng sau đó đã mở một cuộc điều tra và xác nhận rằng những nạn nhân đã bị những đối tượng lừa đảo để cung cấp thông tin tài khoản ngân hàng trực tuyến và mã PIN dùng một lần của họ. Từ đó, đã tạo điều kiện cho những kẻ lừa đảo chiếm đoạt tài khoản ngân hàng và thực hiện các giao dịch lừa đảo. 

"Đó đều là những SMS giống như những tin nhắn thông thường, với đường link mà khi mở ra có giao diện rất giống với trang web của ngân hàng mà chỉ một thoáng mất tập trung, người dùng có thể nhập những thông tin quan trọng để đối tượng lừa đảo có thể chuyển tiền ra khỏi tài khoản. Khác với trường hợp 1, đây là một chiến dịch được thực hiện bài bản với những nhân sự có khả năng công nghệ cao", ông Trác nhận định.

Trường hợp thứ 3 cũng ở Việt Nam, khách hàng mất 400 triệu trong khi không hề thực hiện các giao dịch này, không biết những người thụ hưởng là ai và cũng không nhận được tin nhắn (SMS) của ngân hàng. Ngay cả ngân hàng khi kiểm tra cũng thấy 4 giao dịch đều hợp lệ, đã gửi 8 tin nhắn tới số điện thoại của chủ tài khoản, trong đó 2 tin nhắn chứa mã xác thực tới số điện thoại của khách hàng để kích hoạt Digibank và Smart OTP đều được nhập chính xác. Như vậy, có thể thấy, đã có sự hiện diện của mã độc nằm trên smartphone của nạn nhân thu thập thông tin và chặn tất cả tin nhắn mà ngân hàng gửi đến để thực hiện cuộc lừa đảo này.

"Mặc dù trình độ công nghệ của kẻ lừa đảo khác nhau nhưng cả 3 cuộc tấn công này đã cho thấy chừng nào mà mã xác thực vẫn được gửi đến người dùng mà họ phải nhập thông tin để thực hiện giao dịch thì khi đó, tin tặc vẫn sẽ có cách để có được nó, như thông qua mã độc hay đường link giả mạo", ông Trác nhấn mạnh.

Người dùng là mắt xích yếu nhất, dễ tấn công nhất của tin tặc

Nguyên nhân của những trường hợp này thường được quy về do nhận thức người dùng, từ đó các ngân hàng đã tập trung các chiến dịch gừi email cảnh báo, truyền thông trên các báo chí, truyền hình… để nâng cao nhận thức. Tuy nhiên, một thực tế cho thấy, dù nhiều cảnh báo đã được đưa ra nhưng ngày càng nhiều nạn nhân với thiệt hại ngày càng lớn. "Như vậy, cách chúng ta giải quyết vấn đề này chưa đúng và nguyên nhân thực sự nằm ở đâu", ông Trác đặt câu hỏi.

Vì vậy, theo ông Trác, có 2 nguyên nhân chính khiến gây ra tình trạng các vụ lừa đảo xuất hiện ngày càng nhiều. Đầu tiên, trong quá trình "chạy đua" CĐS trong lĩnh vực tài chính ngân hàng nhưng nhiều đơn vị chưa thật sự quan tâm đầu tư chiều sâu về ATTT đã làm gia tăng bề mặt tấn công, tạo cơ hội cho tin tặc. Điều này cũng vô tình khiến khách hàng trở thành "con mồi" lớn cho những kẻ tấn công. Bởi vì, trong thế giới tin tặc, nơi nào có lợi ích, có động cơ thì họ sẽ đầu tư nghiên cứu, phát triển để lừa đảo. Chưa kể, tin tặc luôn đi trước một bước về công nghệ, sự đầu tư, chiến thuật.

Nguyên nhân thứ 2, trong tất cả các cuộc tấn công, lĩnh vực tài chính - ngân hàng luôn là mục tiêu yêu thích số 1 của tin tặc vì ở đó có lợi ích, có tiền ngay lập tức. Sau đại dịch COVID-19, có sự gia tăng rõ rệt đầu tư của tin tặc làm gia tăng mạnh mối nguy nhắm vào lĩnh vực tài chính - ngân hàng, thậm chí có những ứng dụng được "may đo" giống hệt các phần mềm ngân hàng, có khả năng phát hiện các luồng tin nhắn OTP mà ngân hàng gửi đến máy nạn nhân.

Theo ông Trác, có 4 kiểu tấn công để làm việc này, đó là: Gửi email phishing để dụ người dùng tải và cài đặt mã độc; Tấn công phi kỹ thuật (social engineering) thông qua việc gọi điện để lừa đảo nạn nhân đọc mã OTP nhận được; Mã độc trên mọi môi trường, từ máy tính cá nhân, smartphone cho đến đám mây và tấn công nạn nhân trước khi các phần mềm bảo mật cập nhật dữ liệu; Tấn công spoofing, một hình thức giả mạo các nguồn đáng tin cậy như địa chỉ email, tên, số điện thoại, SMS hoặc URL trang web.

Các hình thức tấn công này đều nhắm đến mắt xích yếu nhất của chuỗi xác thực là người dùng cuối. Điều này diễn ra không chỉ ở Việt Nam mà cả trên thế giới, khi mà công nghệ định danh và xác thực chưa bắt kịp với xu thế, dẫn đến không đủ để bảo vệ triệt để người dùng khỏi các kiểu tấn công phổ biến hiện nay. Để dẫn chứng, ông Trác đã đưa ra báo cáo quý 2/2022 của Nhóm công tác chống lừa đảo (Anti-phishing working group - APWG), cho thấy, tấn công lừa đảo tăng không ngừng trong suốt 1 năm qua, nhất là trong bối cảnh dịch COVID-19 và khó khăn kinh tế toàn cầu. 

Báo cáo cũng cho thấy, các tổ chức tài chính - ngân hàng là nhóm lĩnh vực được tin tặc "nhòm ngó" nhiều nhất với 27,6%. "Phishing là một trong các hình thức tấn công nhắm vào tâm lý người dùng và luôn thành công với một tỷ lệ nhất định", ông Trác cho biết thêm.

Vì vậy, bên cạnh việc các tổ chức tài chính tập trung CĐS thì các đơn vị này cũng cần quan tâm đến việc bảo vệ người dùng cuối, nếu không những rủi ro như 3 trường hợp trên là không thể tránh khỏi và sẽ ngày càng gia tăng.

Cũng theo ông Trác, không ai thích mật khẩu/mã OTP ngoài các tin tặc. Bởi vì, mật khẩu/mã OTP: Tạo trải nghiệm người dùng kém, một số ngân hàng còn bắt mật khẩu phải có ký tự in hoa, in thường và ký tự đặc biệt; Rất dễ bị vượt qua bởi tin tặc; Chi phí duy trì cao và khó quản lý. Như vậy, vấn đề cần giải quyết là việc cơ chế xác thực hiện nay dựa trên mật khẩu/OTP đã quá lỗi thời, nhiều bất cập và cần được thay thế bằng một công nghệ xác thực mới, có đủ khả năng chống 4 kiểu tấn công thường gặp nhắm vào người dùng cuối.

Đủ khả năng làm chủ công nghệ không mật khẩu để triển khai ở Việt Nam

Để giài quyết vấn đề này, ngay từ năm 2012, các hãng công nghệ lớn như Google, Apple, Microsoft…cũng như các ngân hàng lớn đã lập ra tổ chức FIDO và đề ra một tiêu chuẩn mới với mục tiêu giải quyết các vấn đề về xác thực, giảm sự phụ thuộc vào mật khẩu trên toàn thế giới. Theo nghiên cứu của Security Insider năm 2021, việc xác thực không cần mật khẩu (passwordless) giúp giảm 91% các cuộc tấn công lừa đảo và đánh cắp danh tính, giàm 14% chi phí vận hành và tăng 64% hiệu quả trải nghiệm người dùng, tăng 21% tỷ lệ CĐS thành công.

Nhiều quốc gia đã triển khai các giải pháp xác thực mạnh, xác thực không mật khẩu. Tiêu biểu như Đài Loan, bắt đầu từ 2019, Taiwan FidO được Bộ Nội vụ Đài Loan triển khai, đăng ký thông qua căn cước công dân và cung cấp dịch vụ công gồm đóng thuế, truy cập dịch vụ MyData, biểu quyết ở đại hội cổ đông các công ty lên sàn… Tháng 2/2022, Taiwan FidO kết hợp với các dịch vụ khác và trở thành dịch vụ "Mobile Citizen Digital Certificate" hỗ trợ xác thực số cho công dân và ký số trên toàn quốc chỉ bằng một ứng dụng trên điện thoại di động.

Hay tại Malaysia, ứng dụng FIDO cho các dịch vụ xác thực và chứng thực điện tử của chính phủ điện tử với sự tham gia của chính phủ, các đơn vị trong lĩnh vực viễn thông, ngân hàng, giao thông vận tải,...

Đánh giá xác thực không mật khẩu là bước đột phá tiếp theo trong CĐS an toàn. Theo ông Trác, công nghệ đã tiến bộ rất nhiều trong 5 năm qua, hiện tại công nghệ xác thực mạnh đa khoá không mật khẩu (Passwordless MFA) theo chuẩn FIDO2 quốc tế có thể triển khai diện rộng với chi phí rất thấp, bất kỳ người dùng nào có điện thoại thông minh đều có thể tiếp cận dễ dàng. 

"Passwordless MFA theo chuẩn FIDO2 đang diễn ra mạnh mẽ trên thế giới và đã trở thành xu thế không thể đảo ngược", ông Trác khẳng định.

Đề xuất với các cơ quan quản lý, theo Tổng Giám đốc VinCSS, Việt Nam cần tham gia vào nhóm các thành viên chính phủ của FIDO Alliance để học hỏi, tiếp thu kinh nghiệm triển khai xác thực mạnh cấp chính phủ từ các quốc gia tiên phong. Từ đó, ban hành các chính sách khuyến khích áp dụng rộng rãi công nghệ xác thực mạnh Passwordless MFA ở cả khu vực công và khu vực tư nhân, xem xét bắt buộc áp dụng công nghệ này đối với một số hệ thống, một số dịch vụ và lĩnh vực để bảo vệ thành quả chuyển đổi số.

Sau đó, sẽ phải triển khai xác thực mạnh trung tâm cho các dịch vụ công, các nền tảng công nghệ thiết yếu để bảo vệ tốt dữ liệu, đảm bảo an toàn an ninh nhằm tạo tiền đề cung cấp mạnh mẽ hơn nữa các dịch vụ công online và thúc đẩy quá trình CĐS tại Việt Nam. "Các doanh nghiệp trong Hệ sinh thái "Make In Vietnam" đủ khả năng để làm chủ hoàn toàn công nghệ Passwordless MFA theo chuẩn FIDO2 để triển khai rộng rãi cho Việt Nam", ông Trác bày tỏ./.