Đã có 22 ngân hàng tại Việt Nam bị sự cố về an ninh an toàn thông tin, trong đó có sự cố về giao dịch ngân hàng trực tuyến. Nhiều lỗ hổng bảo mật sơ đẳng vẫn ung dung “tồn tại” qua nhiều năm.
>>> Phần mềm độc hại tấn công mạnh dịch vụ ngân hàng trực tuyến
Nguy hiểm ở mức cao
Hầu hết người sử dụng dịch vụ ngân hàng hiện nay vẫn cho rằng nhà cung cấp dịch vụ phải có trách nhiệm bảo vệ người tiêu dùng.
Đánh giá nguy cơ của giao dịch ngân hàng trực tuyến hiện nay ở Việt Nam, ông Konstantin Sapronov, Trưởng Phòng thí nghiệm công nghệ chống virus thuộc Kaspersky Labs Trung Quốc cho rằng, mối đe doạ nguy hiểm nhất là keylogger.
Là những chương trình có dung lượng rất nhỏ được cài đặt vào máy tính sau khi xâm nhập thành công thông qua những lỗ hổng bảo mật chưa được vá, keylogger không phá hoại hệ thống nhưng bí mật gửi dữ liệu về mọi hoạt động trên bàn phím cho hacker.
Ngay khi được kích hoạt, keylogger sẽ ghi nhận lại mọi dữ liệu mà người dùng gõ trên bàn phím, chú trọng vào dữ liệu ở các ô có tiêu đề “username” hoặc “password”, đặc biệt có khả năng “nhạy bén nắm bắt” mỗi khi người dùng máy tính truy cập các website chuyên giao dịch tài chính.
“Được sử dụng kèm theo các malware khác, keylogger đã tồn tại ở Việt Nam gần 2 năm qua. Có thể thấy những phương thức bảo vệ mà các ngân hàng và các cơ quan liên quan sử dụng đã không được cập nhật, hacker không cần phải “cải tiến kỹ thuật” vẫn kiếm được lợi”, ông Konstantin Sapronov nhấn mạnh.
Chia sẻ thêm về những mối đe doạ đối với giao dịch ngân hàng trực tuyến ở nước ta, ông Nguyễn Minh Đức, Giám đốc Bộ phận An ninh mạng Bkav cho biết: Từ năm 2008 – 2011, Bkav thống kê được ít nhất 22 ngân hàng bị sự cố về an ninh an toàn thông tin, trong đó có sự cố về Internet Banking, thanh toán ngân hàng trực tuyến. Có rất nhiều lỗ hổng tương đối đơn giản đã được cảnh báo cho ngân hàng nhưng sau một thời gian vẫn chưa được sửa chữa, lại tiếp tục bị hacker lợi dụng tấn công.
Trên thực tế, đến giờ vẫn chưa có vụ thiệt hại nào được công bố, bởi lý do đơn giản là các ngân hàng không muốn bị “mất khách”. Tuy nhiên, theo đại diện Kaspersky, khi một ngôi nhà chưa bị mất cắp không có nghĩa ngôi nhà đó an toàn. Trong suốt những năm qua, giá trị giao dịch ngân hàng của người tiêu dùng ở Việt Nam tương đối nhỏ, và mới chỉ xảy ra một vài trường hợp mất mát số tiền không đáng kể nên giới tội phạm mạng chưa thực sự “để mắt”. Nhưng vài năm tới, Việt Nam ngày càng phát triển kinh tế, giao dịch trực tuyến ngân hàng với giá trị lớn, thậm chí hàng tỷ USD sẽ ngày càng nhiều. Khi đó, hacker sẽ không dửng dưng bỏ qua những “miếng mồi ngon” như vậy.
Người dùng “tiếp tay”
Thực trạng mất an toàn bảo mật nêu trên không chỉ do nhà cung cấp dịch vụ không cải tiến phương thức bảo mật mà còn xuất phát từ sự “hớ hênh” của người tiêu dùng.
“Máy tính và thiết bị mà người dùng sử dụng trong giao dịch trực tuyến ngân hàng đều có những phần mềm, mà phần mềm luôn có lỗ hổng. Mặc dù các nhà phát triển phần mềm liên tục đưa ra các bản vá lỗi nhưng dường như người dùng không chú ý đến việc phải cập nhật bản vá lỗi này”, đại diện Kaspersky nhận xét.
Đồng quan điểm, ông Nguyễn Minh Đức chia sẻ thêm: Ngân hàng đã trang bị các giải pháp bảo vệ như mật khẩu, token… song không ít người sử dụng lại để mất, thậm chí cho mượn. Rất nhiều người còn lơ là, mất cảnh giác khi nhận email có nội dung liên quan đến giao dịch, dẫn đến hệ luỵ là trở thành nạn nhân của hacker mà không biết (đã từng có hacker giả mạo giao diện của ngân hàng gửi email thông báo cập nhật thay đổi hệ thống, yêu cầu thay đổi mật khẩu, người sử dụng bấm vào đường dẫn thì mất tài khoản, khi phát hiện ra thì đã bị hacker lấy mất tiền).
Đừng “mất bò mới lo làm chuồng”
Hầu hết người sử dụng dịch vụ ngân hàng hiện nay vẫn cho rằng nhà cung cấp dịch vụ phải có trách nhiệm bảo vệ người tiêu dùng, phải thông báo kịp thời về những mối hiểm hoạ. Nếu chỉ đơn giản như vậy thì chẳng khác gì “mất bò mới lo làm chuồng”.
Để tránh những thiệt hại không đáng có, tự người tiêu dùng phải tìm hiểu và thực hiện những cách thức để bảo vệ mình trước. Ông Konstantin Sapronov “mách nước” một số “giải pháp” như: nên sử dụng 2 thẻ giao dịch, một thẻ chính thì cất giữ tiền, một thẻ phụ thì chỉ để một lượng tiền nhất định dùng cho việc giao dịch ngân hàng trực tuyến; liên tục cập nhật chương trình chống virus; sử dụng một máy tính được bảo mật tốt cho các giao dịch trực tuyến, để riêng một máy tính khác để lướt web, check mail...
Để đảm bảo an toàn bảo mật cho việc cung cấp, sử dụng dịch vụ ngân hàng trên Internet, Ngân hàng Nhà nước Việt Nam đang dự thảo một Thông tư, trong đó yêu cầu khách hàng cũng phải tuân thủ một số quy định như không chia sẻ các thiết bị lưu trữ mật khẩu, chữ ký số; không đặt tuỳ chọn của trình duyệt web cho phép lưu lại tên và mật khẩu người dùng; thoát khỏi hệ thống Internet Banking khi không sử dụng; không dùng máy tính công cộng, mạng không dây công cộng để truy cập vào hệ thống Internet Banking…
Về phía các ngân hàng, cùng với việc gia tăng dịch vụ mới với công nghệ mới thì cũng cần kịp thời khắc phục những hạn chế, bất cập về an toàn an ninh mạng. “Nếu chỉ chú trọng đến phát triển dịch vụ mà không đảm bảo an toàn cho nền móng core banking thì sẽ tạo ra những kẽ hở đôi khi rất nhỏ song có thể khiến cả hệ thống bị sụp đổ”, ông Đức khuyến cáo.