Lỗ hổng chết người khi thanh toán bằng thẻ tín dụng

Mỗi khi bạn cà thẻ và chờ đợi giao dịch được thực hiện, những dữ liệu nhạy cảm như tên, số tài khoản của bạn lại "cuốc bộ" từ cửa hàng đến ngân hàng thông qua mạng máy tính. Nhưng bạn có biết rằng, mỗi một bước đi của chúng đều tiềm ẩn nguy cơ bị hacker tấn công?

Đánh bạc may rủi

Tệ hơn là, dù cho bạn có tuân thủ các khuyến cáo về tự bảo vệ mình trước nạn đánh cắp danh tính, cuộc điều tra mới đây của AP vẫn cho thấy: ngân hàng và các công ty tiếp nhận, xử lý thông tin tín dụng không được cẩn trọng như những gì họ thể hiện ra bề ngoài.

Chính phủ Mỹ giao cho các hãng phát hành thẻ tự xây dựng nên quy định về bảo mật giao dịch. Tuy nhiên, những quy định này rất sơ sài, qua quýt và thậm chí là vô nghĩa. Mỗi một lần bạn trả tiền bằng tấm thẻ nhựa, các công ty lại "đánh bạc" may rủi với dữ liệu cá nhân của bạn.

Kể cả khi giao dịch của bạn không bị hack, bạn vẫn là kẻ thua cuộc: doanh nghiệp phát hành thẻ sẽ kín đáo buộc tất cả các khách hàng của họ phải gánh chịu chi phí phát sinh do vấn nạn lừa đảo. Còn nếu bị hack, đương nhiên hậu quả ai cũng đã biết rõ.

Theo số liệu từ cơ quan Giám sát quyền Riêng tư cá nhân, hơn 70 hãng bán lẻ và thanh toán đã dính phải những vụ lừa đảo liên quan đến thẻ tín dụng trong vòng 3 năm trở lại đây.

Hàng chục triệu thẻ tín dụng và thẻ ghi nợ đã rơi vào tay hacker, khiến cho người dùng ngậm đắng nuốt cay. Mà rất có thể nhiều hãng khác nữa cũng đã bị hacker tấn công nhưng chưa phát hiện ra, hoặc cố tình ỉm đi.

Nguồn: TechCenter

Ngay cả những công ty có số điểm cao nhất về bảo mật (PCI) trong ngành công nghiệp thanh toán điện tử cũng là nạn nhân của những vụ tấn công khổng lồ.

Ấy thế nhưng các hãng phát hành thẻ tín dụng cũng chẳng lấy gì làm vội vàng trong việc siết chặt lại quy định. Họ coi lừa đảo là cái giá tất yếu phải trả trong kinh doanh, và chống chế, bao biện rằng siết chặt bảo mật sẽ khiến cho guồng quay của hệ thống thanh toán bị chậm lại. "Mà nguyên tắc của thanh toán là phải tốc độ, tiện lợi và chi phí thấp", họ nói.

Tích cực dùng tiền mặt

Thái độ dửng dưng này khiến những khách hàng trót đặt niềm tin vào cơ chế bảo mật của các hãng thanh toán càng thêm chán nản và tuyệt vọng.

Pamela LaMotte, 46 tuổi, đã phải mất 4 tháng mới khắc phục hết thiệt hại sau khi hai tài khoản thẻ tín dụng của chị bị hacker "tóm được", sau khi chúng xâm nhập được vào hệ thống thanh toán.

Truy tìm gốc rễ vụ việc, Pam được biết chị "dính đòn" sau khi mua đồ ở quầy thực phẩm Hannaford Bros. Hiện đang thất nghiệp nên Palm buộc phải vay tiền từ mẹ và bạn trai để trả 500 USD tiền phí các loại trong thời gian ngân hàng điều tra sự vụ. May mà cuối cùng số tiền này cũng được hoàn lại.

"Với những người không phải đếm từng đồng để sống qua ngày, sự ảnh hưởng có thể là không lớn lắm. Nhưng với tôi, cuộc sống đã bị đảo lộn hoàn toàn", Pam nói. Giờ đây chị sẽ năng thanh toán bằng tiền mặt và séc hơn, bởi một lần bỏng tay sẽ khiến chị mãi mãi sợ lửa.

Hannaford Bros là một chuỗi siêu thị đáp ứng đủ tiêu chuẩn PCI. Tuy nhiên, hacker đã cài đặt được phần mềm phá hoại vào máy chủ của Hannaford. Mỗi khi dữ liệu được gửi từ máy POS của siêu thị đến ngân hàng để chờ được duyệt, malware này sẽ âm thầm ghi lại và gửi về cho hacker.

Theo kết quả điều tra của AP, hacker đã lẻn được vào hai hãng chuyên xử lý thanh toán và cũng có chứng nhận PCI. Heartland Payment Systems đã đánh mất số thẻ, ngày hết hạn và nhiều dữ liệu khác của hàng trăm triệu người dùng, trong khi RBS WorldPay "cúng" cho hacker hơn một triệu số thẻ Bảo hiểm xã hội. Nên biết rằng Bảo hiểm Xã hội chính là tấm vé vàng để hacker tiến hành mọi thể loại lừa đảo.

Trong quá khứ, mỗi hãng thẻ tín dụng đều có một quy chế bảo mật riêng, gây rắc rối và khó khăn cho các cửa hàng trong việc thanh toán. Nhưng từ năm 2006, nhóm các đại gia gồm Visa, MasterCard, American Express, Discover và JCB International đã lập ra Hội đồng Chuẩn bảo mật Thẻ thanh toán (PCI SSC), đồng thời xây dựng một quy chế bảo mật chung cho mọi doanh nghiệp.

Chỉ là hình thức

Chuyên gia Avivah Litan của Gartner cho biết các hãng bán lẻ và thanh toán đã chi khoảng 2 tỷ USD để nâng cấp bảo mật cho phù hợp với chuẩn PCI. Hiện đã có khoảng 93% hãng bán lẻ lớn tại Mỹ và 88% hãng bán lẻ cỡ trung tuân thủ PCI.

Tất nhiên, vẫn còn khá nhiều nhà bán lẻ đứng ngoài cuộc và họ sẽ phải đối mặt với những án phạt khá nặng: 25.000 USD cho doanh nghiệp lớn và 5000 USD cho doanh nghiệp trung đối với mỗi tháng không áp dụng chuẩn.

Chỉ có điều, giới chuyên gia bảo mật đều đánh giá chuẩn PCI rất hời hợt, thiển cận và chỉ mang tính phô diễn bề ngoài (chẳng hạn như yêu cầu các cửa hàng phải chạy phần mềm diệt virus và cài đặt tường lửa - những thao tác đương nhiên phải có đối với doanh nghiệp dùng máy tính).

"PCI chỉ yêu cầu tiến hành các cuộc diễn tập chống hacker một lần một năm, và doanh nghiệp có thể tự mình kiểm tra khả năng chống đỡ của mình. Điều này chẳng khác gì bạn đến khám bác sĩ và nhờ ông ta theo dõi huyết áp cho mình. Nếu như huyết áp bình thường, bạn được kết luận luôn là sức khỏe tốt", ông Tom Kellerman, cựu chuyên gia bảo mật của Cục dữ trữ Ngân hàng Thế giới bình luận.

Ngay cả các hãng phát hành thẻ cũng ngày càng phủi tay, đứng ngoài cuộc. Hai năm trước, Visa đã thu hẹp diện kiểm tra hồ sơ giao dịch của các hãng bán lẻ đối tác. Lý do mà hãng đưa ra là việc kiểm tra mất quá nhiều thời gian, công sức, trong khi chuẩn PCI đã cải thiện năng lực bảo mật của toàn ngành "một cách đáng kể" rồi.

Việc kiểm tra thiếu thường xuyên, chiếu lệ này chính là một lỗ hổng chết người cho những vụ đột nhập và tấn công. Hacker có thể thoải mái ra vào hệ thống mà chẳng ai hay biết, bởi doanh nghiệp có áp dụng các quy định về bảo mật hay không cũng chẳng có người kiểm tra.