Lừa đảo chuyển tiền: mối đe dọa với thị trường đầu tư tài chính
An toàn thông tin - Ngày đăng : 17:20, 02/12/2021
Hầu hết các doanh nghiệp và người tiêu dùng ngày nay ưa thích giao tiếp qua các kênh trực tuyến. Chẳng hạn, chúng ta dựa vào những thứ như email, đến nỗi khi chúng ta nhấn "send", chẳng mấy ai nghĩ đến việc có ai đó đang cố lừa chúng ta ở phía bên kia hay không. Tuy nhiên, lừa đảo email doanh nghiệp (BEC) là một trong những hình thức tội phạm mạng phát triển nhanh nhất và chỉ riêng tổng giá trị lừa đảo trong năm 2019 lên tới 26 tỷ đô la nhằm vào các doanh nghiệp và cá nhân thực hiện các giao dịch điện tử. Các cuộc tấn công an ninh mạng là vấn đề nan giải đối với tất cả các doanh nghiệp nhưng lại ảnh hưởng đến ngành dịch vụ tài chính nặng nề gấp 300 lần so với bất kỳ lĩnh vực nào khác.
Các quỹ đầu tư tư nhân, đầu tư mạo hiểm, bất động sản và các lĩnh vực tài chính khác với dòng tiền giao dịch lớn có rủi ro đáng kể nhất khi nói đến gian lận chuyển tiền. Khi những kẻ lừa đảo thích ứng với công nghệ mới, chúng tìm ra những cách tinh vi hơn để len lỏi vào các giao dịch có giá trị cao. Thật không may, hầu hết các công ty đều đánh giá thấp mức độ dễ dàng khi vô tình làm sai lệch thông tin và tác động tài chính của việc mạo danh thực sự là như thế nào.
Vấn đề lớn đến mức nào?
Vào năm 2020, Trung tâm Khiếu nại Tội phạm Internet (IC3) Hoa Kỳ đã báo cáo mức gia tăng lên tới 70% các cuộc tấn công tội phạm mạng so với năm 2019, thời điểm tổng số đơn khiếu nại báo cáo thiệt hại tài chính hơn 4,1 tỷ USD. Các sự cố tội phạm mạng phổ biến nhất được báo cáo là lừa đảo, BEC, ransomware và gian lận đầu tư, trong đó BEC có tác động đáng kể nhất. Điều quan trọng là, số lượng các cuộc tấn công và tổng thiệt hại về tiền có thể cao hơn nhiều so với những gì đã được báo cáo, vì có một động cơ liên quan tới uy tín để giữ kín các sự cố này.
BEC là phương pháp dễ dàng nhất để những kẻ lừa đảo lừa đảo các doanh nghiệp thông qua "các phương pháp xâm nhập máy tính hoặc phi kỹ thuật". Ví dụ: những kẻ lừa đảo nhắm mục tiêu vào các công ty cụ thể và nhân viên của họ qua email, mạo danh những danh tính đáng tin cậy như CFO hoặc COO của tổ chức này. Hầu hết các sự cố tội phạm mạng đều bắt đầu từ BEC và các yêu cầu thanh toán không được các bên xác minh trong giao dịch có thể dẫn đến việc chuyển tiền vào tay kẻ xấu. Từ năm 2016 đến năm 2019, tác động của BEC khiến các doanh nghiệp tài chính thiệt hại hơn 26 tỷ đô la và vấn đề tiếp tục phát triển, trở nên trầm trọng hơn khi các chính sách làm việc tại nhà và làm việc kết hợp được triển khai.
Internet đã làm cho các giao dịch giữa các công ty tài chính và khách hàng trở nên thuận tiện và dễ tiếp cận hơn bao giờ hết. Email là phương thức liên lạc chính giữa các bên tham gia vào một giao dịch tài chính do sự dễ dàng, thuận tiện và nhanh chóng. Tuy nhiên, việc cung cấp thông tin nhạy cảm và dữ liệu cá nhân thông qua email có nhiều rủi ro vì thông tin được truyền đạt trực tuyến dễ bị xâm phạm hơn phạm vi đánh giá của công ty.
Từ hàng ngũ lãnh đạo cấp cao đến giám đốc, quản lý và nhân viên thông thường, tất cả đều phải thực hiện các biện pháp để bảo vệ tài sản của công ty và ngăn chặn hành vi lùa đảo có chủ đích. Tác động tài chính do các cuộc tấn công như mạo danh có thể rất thảm khốc. Một khi tiền chuyển đến tay kẻ xấu, trách nhiệm pháp lý vẫn chưa rõ ràng, trong khi kẻ lừa đảo lấy tiền và khiến các bên giao dịch trắng tay. Các lỗ hổng mà nhiều người gặp phải từ gian lận chuyển tiền thường bị đánh giá thấp, đây là một vấn đề mà ngành dịch vụ tài chính phải đối mặt do sự không chắc chắn về trách nhiệm pháp lý.
Làm thế nào để thông tin được bảo vệ tốt hơn?
Chuyển tiền qua ngân hàng và hệ thống bù trù điện tử (ACH) là phương thức chính cho các giao dịch ngân hàng và doanh nghiệp, vì các bên có thể nhanh chóng chuyển tiền bằng một vài cú nhấp chuột. Tuy nhiên, điều quan trọng là phải bảo vệ tài khoản công ty trong các giao dịch trực tuyến này để tránh làm ảnh hưởng đến thông tin tài chính và cá nhân nhạy cảm. Nếu không, tác động của hành vi lừa đảo có thể rất nghiêm trọng đối với tất cả các bên tham gia hợp pháp vào giao dịch.
Nhiều công ty cổ phần tư nhân và đầu tư mạo hiểm đã áp dụng xác thực hai yếu tố (2-FA) để làm cho các giao dịch trực tuyến an toàn hơn. Với 2-FA, các bên trong giao dịch được gửi mã đến thiết bị di động của họ và người dùng phải xác minh danh tính của họ bằng cách nhập mã, tên người dùng và mật khẩu của họ. Tuy nhiên, tội phạm mạng đã phát hiện ra những cách mới để vượt qua xác minh bảo mật này bằng các chiến thuật mạo danh email.
Theo Công ty đào tạo về an ninh mạng KnowBe4, tội phạm mạng vẫn có thể giả mạo danh tính đáng tin cậy và gửi email được nhắm mục tiêu yêu cầu người nhận nhấp vào liên kết. Khi người dùng nhấp vào liên kết, họ sẽ được dẫn đến một trang web yêu cầu thông tin đăng nhập và mã được gửi đến điện thoại di động của họ. Sau đó, tội phạm mạng sẽ nhận thông tin đăng nhập thông qua máy chủ của tin tặc và lấy cookie đây là chìa khóa cho một cuộc tấn công mạng thành công.
Khi tội phạm mạng vượt qua 2FA ngày càng nhiều, các doanh nghiệp đã đưa ra các biện pháp bảo mật mới. Xác thực đa yếu tố (MFA) và sinh trắc học là những giải pháp sáng tạo giúp nâng cao hiệu quả của các quy trình kỹ thuật số đồng thời làm cho chúng an toàn hơn. Không giống như 2FA, chỉ yêu cầu hai phương pháp xác minh, MFA là một khuôn khổ nhiều lớp yêu cầu hai hoặc nhiều yếu tố xác thực để cấp quyền truy cập.
Danh tính là quan trọng nhất
Sinh trắc học cung cấp một lớp bảo mật bổ sung, nơi người dùng cung cấp các đặc điểm sinh học hoặc hành vi duy nhất để xác minh danh tính của họ. Trong khi các phương pháp xác thực khác sử dụng mật khẩu và mã, sinh trắc học sử dụng các thuộc tính duy nhất như nhận dạng giọng nói, dấu vân tay, nhận dạng ảnh và các đặc điểm vốn có khác. Không giống như 2FA hoặc MFA, vốn vẫn dễ bị tấn công phi kỹ thuật, xác thực sinh trắc học cung cấp các biện pháp bảo mật mạnh mẽ hơn để ngăn chặn các cuộc tấn công lừa đảo, chiếm đoạt tài khoản và gian lận.
Xác thực sinh trắc học và MFA là các giải pháp an ninh mạng sáng tạo giúp các doanh nghiệp đảm bảo rằng chỉ những người phù hợp mới có thể truy cập vào các cổng và dữ liệu nhạy cảm. Nhiều doanh nghiệp đã triển khai sinh trắc học và hầu hết người dùng công nghệ sử dụng xác minh sinh trắc học hoặc MFA hàng ngày. Điện thoại thông minh, máy tính xách tay và máy tính bảng là những công nghệ kinh doanh hàng đầu sử dụng xác thực sinh trắc học.
Nhờ Apple, công ty lần đầu tiên giới thiệu xác minh vân tay Touch ID vào năm 2013 và sau đó đã phát triển nó thành nhận dạng khuôn mặt, hầu hết các thiết bị thông minh ngày nay đều yêu cầu xác minh sinh trắc học để người dùng truy cập thiết bị hoặc cổng trực tuyến của họ. Các quỹ đầu tư tư nhân và đầu tư mạo hiểm có thể tích hợp các yếu tố xác thực sinh trắc học và MFA tương tự trong quy trình làm việc của họ để giải quyết các vấn đề tội phạm mạng khiến ngành tiêu tốn hàng tỷ đô la mỗi năm. Mặc dù tội phạm mạng sẽ luôn cố gắng thích ứng với các biện pháp bảo mật mới và can thiện vào giữa các giao dịch tài chính, nhưng các công ty tài chính có thể ngăn chặn các cuộc tấn công mạng bằng cách sử dụng dấu vân tay, nhận dạng khuôn mặt và các phương pháp xác minh khác mà không thể bị đánh cắp hoặc giả mạo. MFA và sinh trắc học là các giải pháp có thể tích hợp liền mạch vào quy trình công việc hiện có, cho phép người dùng tiếp tục các chức năng kinh doanh theo cách tương tự nhưng được tăng cường bảo mật.
Đương đầu với sự cố
Những kẻ xấu có xu hướng lợi dụng mức độ bận rộn của các mục tiêu nhắm đến, với thực tế là bảo mật trong chuyển tiền là một khía cạnh có khả năng bị bỏ qua của bất kỳ thỏa thuận nào. Với thời hạn giao dịch diễn ra nhanh chóng, kẻ xấu chen chân vào đúng lúc bằng cách sử dụng các thủ thuật tự tin hiệu quả để đánh cắp tiền của cá nhân, tổ chức.
Một trong những bước quan trọng nhất trong việc bảo vệ bản thân là thừa nhận rằng bất kỳ khoản truy đòi và khôi phục nào là không thể xảy ra, đây là giải pháp duy nhất để giải quyết vấn đề gian lận chuyển tiền trước khi mất mát còn gia tăng. Một số khuyến nghị dành cho công ty, tổ chức hay cá nhân như sau:
1. Xem lại Chính sách Bảo hiểm về an ninh mạng với nhà môi giới của bạn. Bạn cần hiểu rõ ràng về các biện pháp bảo vệ và giới hạn của mình. Hãy hỏi cụ thể xem chính sách của bạn có điều khoản về tấn công phi kỹ thuật hay không và bất kỳ hạn chế hoặc giới hạn nào đối với gian lận chuyển tiền ngân hàng.
2. Nếu bạn sử dụng kế toán hoặc quản trị viên của bên thứ ba, hãy trao đổi nghiêm túc và xem xét hợp đồng với họ về trách nhiệm pháp lý liên quan đến lừa đảo. Kỳ vọng và trách nhiệm của họ khi cần xác minh các quy trình hoặc khôi phục khoản thanh toán bị lừa đảo? Khi nào họ phải hoặc không phải bù đắp bất kỳ tổn thất nào? Chúng tôi đã gặp phải tình trạng thiếu sự thống nhất giữa các nhà quản lý quỹ tài chính và đội ngũ kế toán thuê ngoài của họ về vấn đề này.
3. Đào tạo nhân viên của bạn về tội phạm an ninh mạng. Điều này khác biệt rõ rệt so với đào tạo nhận thức về bảo mật và lừa đảo tiêu chuẩn. Họ có hiểu cơ chế của tội phạm và cách thức hoạt động của tội phạm không? Họ đã nhìn thấy những ví dụ thực tế đã xảy ra trên thế giới hay chưa?
4. Có chính sách bằng văn bản bao gồm quy trình, vai trò và trách nhiệm đối với tất cả các giai đoạn của chuyển tiền điện tử. Xác định rõ ràng những xác thực nào phải được đáp ứng để chuyển tiền và cây quyết định về lý do và khi nào các cuộc gọi điện thoại xác minh được thực hiện với người nhận, đồng đội và nhân viên ngân hàng của bạn.
5. Bật và tối ưu hóa các biện pháp bảo vệ hiện có mà ngân hàng của bạn cung cấp. Điều này rất quan trọng, nhưng hãy nhớ rằng các biện pháp bảo vệ ngân hàng phù hợp hơn để giải quyết các vấn đề biển thủ hơn là các nỗ lực gian lận chuyển khoản. Trong tội phạm lừa đảo chuyển tiền, tổ chức nạn nhân luôn có ý định gửi tiền, và không có ngân hàng nào có thể ngăn chặn được việc này.
Cuối cùng, câu hỏi phải được hỏi và trả lời nội bộ là liệu hệ thống bạn đang sử dụng có ngăn chặn được một cuộc tấn công, mọi lúc không? Hãy nghĩ về nhân viên bận rộn nhất của bạn, vào ngày bận rộn nhất của cô ấy, nhận được một hóa đơn thuyết phục từ email thực của đối tác của bạn. Hơn nữa, bạn có thể chứng minh một cách rõ ràng rằng bạn đã thực hiện các bước cần thiết và thực hiện các cuộc gọi xác minh thích hợp cho bên đối tác đó với thẩm phán không? Nếu bạn không thể làm những điều này, bạn sẽ gặp rủi ro.