Các ngân hàng khẳng định, thông tin thẻ của khách hàng buộc phải mã hóa theo quy định khi khách hàng thực hiện giao dịch. Do vậy việc 31.000 thẻ ngân hàng bị lộ sẽ không ảnh hưởng đến tài khoản khách hàng nếu các bên có sự phối hợp tốt với nhau về vấn đề bảo mật.

Liên tiếp xảy ra vụ việc mất tiền trong tài khoản ngân hàng

Ngày 6/11, trên diễn đàn RaidForums, một thành viên đã chia sẻ tập tin chứa 5,4 triệu địa chỉ email được cho là của khách hàng Thế Giới Di Động (TGDĐ). Một file khác xuất hiện ngay sau đó có hơn 61.000 email được cho là của nhân viên công ty này, với định dạng Tên người dùng @thegioididong.com.

Ngày 7/11, thành viên này lại tiếp tục tung lên diễn đàn các dữ liệu khác và tuyên bố là thông tin của khách hàng hệ thống TGDĐ. File excel này chứa hơn 31.000 bản ghi, liệt kê số thẻ ngân hàng, ngày giờ giao dịch, số tiền giao dịch cùng một số thông tin khác. Tập tin cũng liệt kê điểm thực hiện giao dịch chi tiết tới chi nhánh nào của TGDĐ hay Điện Máy Xanh.

Dữ liệu thẻ ngân hàng bị lộ bao gồm sáu chữ số đầu và bốn chữ số cuối, trong khi sáu chữ số ở giữa được che đi. Các giao dịch được cho là thực hiện từ ngày 29/6 đến 18/7/2016.

Trước sự kiện trên, nhiều người lo lắng thông tin thẻ ngân hàng sẽ bị kẻ xấu lợi dụng, đánh cắp tiền. Anh T. (ở Bắc Từ Liêm, Hà Nội) bày tỏ: “Tôi cũng từng mua hàng trả góp ở TGDĐ bằng thẻ ngân hàng. Qua sự việc này tôi lo lắng thẻ của tôi sẽ bị hacker tấn công. Ngoài ra, khi mua hàng trả góp ở cơ sở này, tôi đã cung cấp các thông tin liên quan như số CMT, số điện thoại, email và địa chỉ nơi cư trú. Điều này khiến tôi cảm thấy bất an”.

Những băn khoăn của anh T. cũng là nỗi lo lắng của rất nhiều người, đặc biệt là những khách hàng có tên trong danh sách 31.000 thẻ ngân hàng bị lộ nói trên. Bởi thời gian qua đã xảy ra nhiều vụ việc khách hàng sử dụng thẻ ngân hàng bị đánh cắp tiền trong tài khoản.

Câu chuyện chị Hoàng Thị Na Hương sau 1 đêm bị mất 500 triệu đồng từ tài khoản Vietcombank đã thu hút sự quan tâm của dư luận và khiến nhiều người lo ngại khi để tiền trong thẻ ngân hàng.

Cụ thể, vào đêm ngày 3 rạng sáng ngày 4/8/2016, tài khoản Vietcombank của chị Hương đã bị đối tượng xấu thực hiện giao dịch chuyển nhiều lần sang ngân hàng khác với tổng số tiền của các giao dịch là 500 triệu đồng. Các đối tượng lừa đảo đã chuyển tiền từ tài khoản khách hàng tới nhiều tài khoản trung gian tại 3 ngân hàng khác nhau tại Việt Nam. Sau đó, đối tượng đã rút 200 triệu đồng qua ATM ở Malaysia. Vietcombank đã xử lý các biện pháp khẩn cấp, kịp thời khoanh giữ lại được 300 triệu đồng vẫn chưa kịp chuyển ra khỏi hệ thống Vietcombank.

Theo Vietcombank, nguyên nhân dẫn đến vụ việc do chị Hương đã kích vào đường link giả mạo trên điện thoại di động nên bị đánh cắp thông tin. Tuy nhiên, để rút được tiền thì cần có mã OTP (One time password – mật khẩu xác thực một lần), mà chị Hương không hề nhận được tin nhắn qua điện thoại di động chứa mã OTP để xác thực giao dịch.

Lý giải về điều này với báo giới, ông Đào Minh Tuấn, Phó tổng giám đốc Vietcombank cho biết, lý do là khách hàng đã được chuyển đổi từ dạng nhận OTP qua tin nhắn SMS sang “Smart OTP”. Smart OTP là một phần mềm được cài đặt trên các thiết bị di động (điện thoại di động, máy tính bảng), cho phép người dùng chủ động lấy mã xác thực OTP cho các giao dịch trên Internet Banking của Vietcombank. Đây cũng là hình thức xác nhận được nhiều ngân hàng khác áp dụng.

Gần đây nhất là vụ việc mất tiền xảy ra hồi tháng 6 vừa qua, vụ việc chị T.A bỗng dưng mất 2 triệu đồng trong tài khoản ATM mở tại Ngân hàng Nông nghiệp và Phát triển nông thôn VN (Agribank) để nhận lương từ công ty. Tháng 2/2017, một phụ nữ ở Hà Nội đã khiếu nại việc mình tuy không trực tiếp thực hiện giao dịch rút tiền nhưng đã bị “bay mất” gần 9 tỷ đồng tiền gửi tại Ngân hàng TMCP Quốc dân (NCB). Các vụ việc mất tiền trong tài khoản liên tiếp xảy ra đã khiến cho nhiều người đang sử dụng thẻ ngân hàng điện tử hoang mang về sự an toàn về tài sản của mình tại ngân hàng.

31.000 thẻ ngân hàng bị lộ: Ngân hàng có trách nhiệm bảo mật thông tin thẻ và chủ thẻ

Trước sự kiện 31.000 thẻ ngân hàng bị lộ, nhiều người lo lắng thông tin thẻ sẽ bị kẻ xấu lợi dụng, đánh cắp tiền. Ảnh minh họa

 Các ngân hàng có chính sách gì để bảo vệ tài khoản khách hàng?

Liên quan đến vụ việc 31.000 thẻ ngân hàng bị lộ, chia sẻ trên báo PLO, chuyên gia NH Nguyễn Trí Hiếu, chuyên gia tài chính – ngân hàng cho rằng, với những thông tin mà tin tặc đưa ra công chúng như đã có số thẻ thì không có nghĩa là hacker có thể lấy được tiền từ tài khoản NH khách hàng. Lý do là các thẻ tín dụng hay ghi nợ đều có nhiều lớp bảo mật. Chẳng hạn, hacker tuyên bố lấy được số thẻ quốc tế như Visa nhưng nếu không có ba mã số mật mã và các giải pháp như 3D Secure mà thẻ Visa yêu cầu nhằm nâng cao tính bảo mật cho việc thanh toán an toàn thì không có cách nào lấy tiền được.

“Ngay cả các thẻ ATM mà khách hàng Việt dùng để giao dịch mua hàng online hay qua hệ thống POS, các NH trong nước cũng áp dụng nhiều lớp bảo mật như tên đăng nhập, mã PIN, OTP và các giải pháp xác thực theo yêu cầu. Như vậy, tôi cho rằng những khách hàng bị lộ thông tin tại TGDĐ sẽ không bị mất tiền” – ông Hiếu khẳng định.

Trên báo Đầu tư, ông Hiếu cho biết, Ngân hàng nào cũng có quy định về bảo mật thông tin khách hàng. Nếu một nhân viên giữ hồ sơ của khách hàng và sử dụng hồ sơ đó mở tài khoản ở ngân hàng khác thì hành vi này có dấu hiệu lừa đảo, có thể bị truy cứu trách nhiệm hình sự. Các ngân hàng cũng có chính sách bảo vệ khách hàng nhằm tránh trường hợp lừa đảo, như nhân viên không được phép mang hồ sơ lý lịch khách hàng ra khỏi ngân hàng. Trưởng phòng phải kiểm soát điều này.

Ông Lê Minh Huấn, Phó Tổng Giám đốc NH Thương mại Cổ phần Sài Gòn (SCB) cho biết, bên cạnh việc chờ đợi xác minh lại một lần nữa từ phía các cơ quan chức năng để xác định xem dữ liệu bị rò rỉ có phải xuất phát từ TGDĐ hay không, phía SCB liên tục quan sát các giao dịch bất thường trên hệ thống nhờ hệ thống công nghệ thông tin và quan sát của con người. Nếu khi thấy có giao dịch bất thường, chúng tôi sẽ gọi điện thoại ngay cho khách hàng để xác minh giao dịch.

Trao đổi với Tuổi Trẻ về vụ việc, phó tổng giám đốc một ngân hàng lớn có trụ sở tại Q.3 (TP.HCM) cho biết phía ngân hàng đã nắm được thông tin. Tuy nhiên, theo ông này, đây không phải là một vụ lộ thông tin thẻ mà chỉ là lộ sao kê ghi nhận các giao dịch thẻ và hacker không thể biết được số thẻ trọn vẹn.

Lý do là dữ liệu thẻ ngân hàng bị lộ chỉ bao gồm sáu chữ số đầu và bốn chữ số cuối, trong khi sáu chữ số ở giữa được che đi. Theo ông này, đây là quy định mã hóa của ngân hàng và tổ chức thẻ nhằm đề phòng rủi ro. Nếu chỉ có sáu chữ số đầu và bốn chữ số cuối thì cũng không thể lợi dụng các thông tin để thực hiện các giao dịch mua hàng trên mạng. Do vậy chủ thẻ không bị rủi ro.

“Chỉ trong trường hợp bị lộ tất cả thông tin về số thẻ, ngày hết hạn, ba số bí mật phía sau thẻ…thì mới có thể thực hiện giao dịch trên mạng. Tuy nhiên theo quy định thì các cửa hàng không được lưu tất cả những thông tin này của chủ thẻ. Ngay cả khi ngân hàng gửi thông báo sao kê qua email cho chính chủ thẻ thì trong sao kê cũng ẩn đi 6 hoặc 8 số giữa thẻ, thay bằng các ký tự XXX để trong trường hợp email bị tấn công thì thông tin thẻ cũng không bị lộ”, vị phó tổng giám đốc này nói.

Trong khi đó, nhiều ngân hàng khác cho biết bộ phận rủi ro của ngân hàng đang kiểm tra lại thông tin. Tuy nhiên các ngân hàng này cũng khẳng định là thông tin thẻ của khách hàng buộc phải mã hóa theo quy định khi khách hàng thực hiện giao dịch.

 

Theo Thông tư 19/2016/TT-NHNN của Ngân hàng Nhà nước Việt Nam, các ngân hàng (tổ chức phát hành thẻ) phải có nghĩa vụ bảo mật thông liên quan đến hoạt động thẻ; thực hiện đầy đủ các quy trình kỹ thuật nghiệp vụ để bảo mật thông tin chủ thẻ.

Cụ thể, theo điều 18 của thông tư này, Đơn vị chấp nhận thẻ phải thực hiện đầy đủ các biện pháp, quy trình kỹ thuật nghiệp vụ và bảo mật thông tin chủ thẻ, phát hiện gian lận, giả mạo trong thanh toán thẻ được Tổ chức thanh toán thẻ hướng dẫn và phải chịu trách nhiệm về các thiệt hại nếu Đơn vị chấp nhận thẻ không thực hiện đúng các quy định của ổ chức thanh toán thẻ.

Khi tham gia vào các thỏa thuận với tổ chức khác về phát hành, thanh toán thẻ, Tổ chức phát hành thẻ, tổ chức thanh toán thẻ phải thỏa thuận về việc các bên liên quan có trách nhiệm tuân thủ quy định của pháp luật về bảo vệ dữ liệu cá nhân, quyền riêng tư cá nhân, bảo mật tài liệu, thông tin thẻ, giao dịch thẻ và tài khoản của chủ thẻ.

Thế nhưng trong nhiều trường hợp, rủi ro có thể đến từ các đơn vị bán hàng, cung cấp dịch vụ hoặc đến từ các hacker…

Khi bị mất thẻ ngân hàng hoặc lộ thông tin thẻ, điều đầu tiên người dùng nên làm là khóa thẻ lại. Để khóa thẻ lại chúng ta có thể gọi đến tổng đài hoặc đường dây nóng của ngân hàng nơi mình đăng ký làm thẻ.

Theo điều 19 của thông tư 19/2016/TT-NHNN, khi mất thẻ hoặc lộ thông tin thẻ, chủ thẻ phải thông báo ngay cho tổ chức phát hành thẻ. Ngoài ra, khi nhận được thông báo của chủ thẻ, Tổ chức phát hành thẻ phải thực hiện ngay việc khóa thẻ và phối hợp với các bên liên quan để thực hiện các biện pháp nghiệp vụ cần thiết khác nhằm ngăn chặn các thiệt hại có thể xảy ra, đồng thời thông báo lại cho chủ thẻ. Thời hạn Tổ chức phát hành thẻ hoàn thành việc xử lý thông báo nhận được từ chủ thẻ không quá 05 ngày làm việc đối với thẻ có BIN do Ngân hàng Nhà nước cấp hoặc 10 ngày làm việc đối với thẻ có BIN do Tổ chức thẻ quốc tế cấp kể từ ngày nhận được thông báo của chủ thẻ.

Trong trường hợp thẻ bị lợi dụng, gây ra thiệt hại, Tổ chức phát hành thẻ và chủ thẻ phân định trách nhiệm và thương lượng cách xử lý hậu quả. Trường hợp hai bên không thống nhất thì việc xử lý được thực hiện theo quy định của pháp luật.