 |
| thách thức không nhỏ trong việc phát triển ngân hàng số chính là yếu tố rủi ro tội phạm công nghệ. Ảnh TL minh họa |
“Công nghệ” của tội phạm ngày càng tinh vi
Thời gian vừa qua, mật độ cảnh báo của các ngân hàng và các tổ chức tài chính đến khách hàng và người dân về ý thức đề phòng rủi ro ngày càng dày đặc hơn. Điều này cũng cho thấy tính chất của vấn đề an toàn trong sử dụng dịch vụ ngân hàng số đang được các ngân hàng quan tâm nhiều hơn.
Gần đây nhất, Ngân hàng MSB đưa ra cảnh báo về thủ đoạn gian lận mới. Đối tượng mạo danh cán bộ các cơ quan nhà nước, chính phủ để lừa đảo người dân cài đặt các ứng dụng giả mạo nhằm đánh cắp thông tin, chiếm đoạt tiền trong tài khoản. Sau khi cài đặt, ứng dụng giả mạo yêu cầu cấp quyền truy cập điện thoại (như xem, điều khiển màn hình, sử dụng danh bạ, hình ảnh, tin nhắn,...) và thực hiện hành vi tương tác trên màn hình mà không cần hành động từ người sở hữu thiết bị di động.
| Cách thức tấn công của phần mềm độc hại FjordPhantom Phần mềm độc hại FjordPhantom được phát tán chủ yếu qua email, tin nhắn SMS và các ứng dụng nhắn tin. Khi ứng dụng này được cài đặt, những kẻ tấn công, đóng giả là đại diện dịch vụ khách hàng, hướng dẫn người dùng các bước để chạy ứng dụng. Phần mềm độc hại sử dụng kỹ thuật ảo hóa tạo vùng chứa ảo để chạy ứng dụng này và kẻ tấn công có thể theo dõi hành động của người dùng và đánh cắp thông tin đăng nhập của họ. |
Tình hình phức tạp về tội phạm công nghệ, đặc biệt trong lĩnh vực tiền tệ - ngân hàng, không chỉ là diễn ra ở Việt Nam mà là vấn đề phức tạp trên phạm vi toàn cầu. Vừa qua, Công ty An ninh mạng Promon (Na Uy) đưa ra báo cáo cho thấy, phần mềm độc hại FjordPhantom bắt đầu tấn công người dùng kể từ đầu tháng 9/2023 và các quốc gia mà phần mềm độc hại này nhắm mục tiêu bao gồm Việt Nam, Malaysia, Thái Lan, Indonesia và Singapore. Cho đến cuối tháng 11/2023, phần mềm độc hại FjordPhantom đã lừa đảo và chiếm đoạt của các nạn nhân khoảng 280.000 USD.
Phần mềm độc hại Android mới này đã sử dụng công nghệ ảo hóa để nhắm mục tiêu vào các ứng dụng ngân hàng của người dùng. Các nhà nghiên cứu an ninh mạng cho rằng, kỹ thuật này chưa từng được quan sát thấy trong bất kỳ phần mềm độc hại nào trước đây. FjordPhantom lây lan thông qua các dịch vụ nhắn tin và kết hợp phần mềm độc hại dựa trên ứng dụng với tấn công phi kỹ thuật (social engineering) để đánh lừa khách hàng đang sử dụng các ứng dụng ngân hàng.
Không thể có "đường lùi"
Mặc dù đối diện với tội phạm, nhưng việc mở rộng các ứng dụng công nghệ trong phát triển dịch vụ ngân hàng vẫn nằm trong nhiệm vụ chung của chuyển đổi số quốc gia, không thể lùi bước. Kế hoạch chuyển đổi số ngành ngân hàng đã đặt ra các mục tiêu rất cụ thể: Đến năm 2025, 50% các nghiệp vụ ngân hàng được số hóa; 70% giao dịch khách hàng thực hiện trên kênh số; 50% khoản vay nhỏ lẻ, vay tiêu dùng khách hàng cá nhân được số hóa, tự động... Ngoài ra, từ tháng 9/2023, Thông tư 06/2023/TT-NHNN về hoạt động cho vay của các tổ chức tín dụng đã mở hướng cho phép thực hiện cho vay bằng phương thức điện tử.
Ông Phạm Anh Tuấn - Vụ trưởng Vụ Thanh toán, Ngân hàng Nhà nước (NHNN) cho biết, 72,3% tổ chức tín dụng đã và đang dự tính triển khai các API (giao diện lập trình ứng dụng), trong đó 47,6 % đã xây dựng các API để cho các bên thứ ba kết nối, triển khai API Portal để các đối tác có thể kết nối vào hệ sinh thái ngân hàng.
 |
| Ảnh minh họa |
Ngoài ra, hoạt động thanh toán xuyên biên giới cũng vẫn tiếp tục được phát triển mở rộng. Động thái gần đây nhất là từ tháng 12/2023, NHNN và Ngân hàng Quốc gia Campuchia đã kết nối thanh toán bán lẻ song phương sử dụng QR code giữa Việt Nam và Campuchia.
Cũng trong tháng 12/2023, Công ty cổ phần Thanh toán quốc gia Việt Nam (NAPAS) và Công ty TNHH Mạng lưới thanh toán quốc gia Lào (LAPNET) đã ký kết thỏa thuận hợp tác về nghiên cứu triển khai thí điểm kết nối thanh toán bán lẻ song phương sử dụng mã QR giữa Việt Nam và Lào.
Trong bối cảnh các yêu cầu về mở rộng phạm vi của các dịch vụ thanh toán và ngân hàng số, đặc biệt không chỉ trong nội bộ mà còn mở rộng xuyên biên giới, “cuộc chiến” chống tội phạm công nghệ càng trở nên cam go hơn.
Trong cuộc chiến này, nhóm đối tượng có vai trò quan trọng chính là người sử dụng dịch vụ vì theo các chuyên gia bảo mật, khâu yếu nhất trong chuỗi các hàng rào bảo vệ mà các đối tượng tội phạm nhắm chính là mắt xích tại khâu người sử dụng.
Bà Trần Thị Thanh Mai - Trưởng Phòng phát triển sản phẩm NAPAS, cho biết thực chất việc tấn công vào hệ thống của các tổ chức tài chính là rất khó, vì đây là các hệ thống được quản lý và được nâng cấp liên tục. Tuy nhiên, thủ đoạn của tội phạm công nghệ thường rất tinh vi để đánh lừa người dùng, đánh cắp thông tin bằng nhiều thủ đoạn khác nhau.
Về quan điểm của ngành Ngân hàng trong “cuộc chiến” với tội phạm công nghệ, đại diện NHNN cho biết cũng đang đưa ra một số yêu cầu về tăng cường các giải pháp công nghệ vì tội phạm cũng dùng công nghệ nên việc đối phó với công nghệ chỉ có thể là công nghệ mạnh hơn. Ngoài ra, ngành Ngân hàng cũng đang đặt sự quan tâm việc tăng cường cảnh báo các rủi ro có thể xảy ra, khai thác thông tin từ trung tâm thông tin.
| Một số giải pháp về pháp lý và công nghệ cần hoàn thiện NHNN cho biết đang rà soát, đề xuất nội dung sửa đổi, bổ sung tại dự thảo Luật Các tổ chức tín dụng (sửa đổi) các nội dung về giao dịch điện tử trong hoạt động ngân hàng, bảo mật thông tin, dữ liệu khách hàng, cơ chế thử nghiệm có kiểm soát việc ứng dụng công nghệ, cung ứng sản phẩm dịch vụ và triển khai mô hình kinh doanh mới. NHNN cũng sẽ trình Chính phủ dự thảo nghị định về thanh toán không dùng tiền mặt, cơ chế thử nghiệm có kiểm soát hoạt động công nghệ tài chính trong lĩnh vực ngân hàng (Sandbox)..; nghiên cứu, xây dựng thông tư về Open API và rà soát sửa đổi, ban hành các quy định về hoạt động thanh toán; giao dịch điện tử và an ninh an toàn bảo mật, biện pháp xác thực giao dịch; tiêu chuẩn kỹ thuật, tiêu chuẩn dữ liệu... |
