Sao không chống lừa đảo bằng ‘tư duy ngược’?

(KTSG) – Cho dù áp dụng biện pháp xác thực sinh trắc học thông qua nhận diện khuôn mặt người chuyển tiền, khả năng bọn lừa đảo chiếm đoạt số tiền lớn vẫn có thể xảy ra. Có lẽ phải đến khi nào nhà mạng di động và ngân hàng chịu rũ bỏ chiếc áo “bên liên quan với những trách nhiệm không đáng kể như hiện nay” để gánh vác đúng trách nhiệm của mình thì tình hình mới có thể xoay chuyển theo hướng tốt hơn.

• VCS tham gia tổ chức chống lừa đảo toàn cầu
• Chống lừa đảo bằng xác thực sinh trắc học khi chuyển tiền: Cần nhưng chưa đủ

Trong một năm qua Kinh tế Sài Gòn đã có nhiều bài viết phân tích một số điểm chưa chặt chẽ trong cách tiếp cận chống tội phạm lừa đảo trực tuyến chiếm đoạt tiền trong tài khoản ngân hàng của nạn nhân.

Các bài viết như Tài khoản “ma”, SIM “rác” khiến lừa đảo trực tuyến lộng hành; Chống lừa đảo bằng cuộc gọi định danh vẫn chưa đủ; Món “nợ” SIM rác vẫn chưa trả xong sau một năm chuẩn hóa thông tin; Vì sao SIM “rác” chặt đầu này lại mọc ra đầu khác? Chống lừa đảo bằng xác thực sinh trắc học khi chuyển tiền: Cần nhưng chưa đủ… đề cập đến vấn đề cốt lõi nhất đó là phải nhận diện và có biện pháp ngăn chặn được dòng tiền lừa đảo lưu chuyển.

Thực tế cho thấy, khi nào bọn tội phạm vẫn còn rút được số tiền đã chiếm đoạt được để tẩu tán thì khi đó nạn lừa đảo còn đất sống. Vì vậy, điểm then chốt trong chiến lược chống lừa đảo chiếm đoạt tiền là phải ngăn chặn được dòng tiền của bọn tội phạm, nhận diện được các hoạt động mờ ám liên quan đến dòng tiền này.

Tài khoản ngân hàng ảo: đất sống của lừa đảo

Để làm được điều này, trách nhiệm của nhà mạng điện thoại di động và ngân hàng rất lớn và chính yếu chứ không phải chỉ là bên liên quan với trách nhiệm không đáng kể như hiện nay.

Hai vụ mới nhất lừa đảo chiếm đoạt tiền trong tài khoản ngân hàng gần đây là ví dụ minh họa cụ thể. Vụ đầu tiên là một nữ chủ tịch huyện ở tỉnh Đồng Nai bị bọn lừa đảo chiếm đoạt 171 tỉ đồng trong tài khoản. Số tiền này được chuyển tới 60 tài khoản ở nhiều ngân hàng và rút ra trót lọt.

Mới đây nhất, hôm 2-7, một phụ nữ ở Đà Nẵng bị đối tượng lừa đảo mạo danh công an yêu cầu đến ngân hàng chuyển cho chúng 300 triệu đồng. Người này đã răm rắp làm theo nhưng may mắn được nhân viên ngân hàng phát hiện và ngăn lại.

Vụ lừa đảo này diễn ra ngay cao điểm xác thực sinh trắc học tài khoản ngân hàng, điều này cho thấy, bọn tội phạm vẫn có thể rút tiền dù biện pháp xác thực đã được áp dụng.

Tại một hội nghị của ngành công an tổ chức cuối tháng qua, Cục Cảnh sát Hình sự cho biết, tội phạm lừa đảo hoạt động qua hệ thống ngân hàng ngày càng tinh vi, tỷ lệ điều tra phá án được rất thấp. Các tài khoản ngân hàng để tội phạm sử dụng đều không chính chủ mà thuê, mua lại từ người khác^(*).

Nhận định này từ cơ quan công an cho thấy, tài khoản ngân hàng ảo vẫn tồn tại ở mức độ phổ biến bất chấp nỗ lực chuẩn hóa thông tin thuê bao điện thoại di động lẫn tài khoản ngân hàng.

Hồi năm ngoái, công an thành phố Đà Nẵng đã bắt giữ hai vụ dùng thông tin cá nhân giả để mở và bán tài khoản ngân hàng. Chỉ trong vòng vài tháng, hai nhóm tội phạm này đã đăng ký trực tuyến thành công 33.000 tài khoản ngân hàng bằng 11.000 SIM “rác” dù lúc đó đang là cao điểm kiểm tra SIM chính chủ.

Nhận diện người nhận thay vì người chuyển tiền?

Các biện pháp chống lừa đảo mà mới nhất là bắt buộc xác thực khuôn mặt đang nhắm vào xác thực, nhận diện người chuyển tiền. Việc chuẩn hóa thông tin thuê bao để xác thực thẻ SIM chính chủ cũng là một biện pháp chống lừa đảo theo cách tiếp cận này.

Tuy nhiên trong thực tế, bất chấp đã chuẩn hóa thông tin khách thuê bao thì lừa đảo chiếm đoạt tiền vẫn không giảm như kỳ vọng của các cơ quan chức năng. Trên thực tế bọn lừa đảo vẫn lấy được tiền thông qua các tài khoản “giả như thật” khiến cơ quan chức năng lần không ra dấu vết.

Có thể thấy rằng, mấu chốt ngăn chặn lừa đảo nằm ở chỗ phát hiện được các hoạt động bất thường nơi người chuyển tiền và nhận diện được người nhận tiền. Việc phát hiện các dấu hiệu bất thường trong hoạt động các tài khoản ngân hàng trực tuyến tương tự như việc nhân viên ngân hàng phát hiện dấu hiệu bất thường của khách hàng khi họ đến điểm giao dịch trực tiếp.

Điểm khác biệt là việc nhận biết trực tuyến đòi hỏi khả năng rà soát hàng ngàn giao dịch mỗi phút. Để làm được điều này, ngân hàng phải đầu tư những hệ thống công nghệ chuyên biệt để quản lý định danh (ID). Muốn ngăn chặn xâm nhập tài khoản trái phép thì hệ thống quản lý ID phải nhận diện kịp thời những dấu hiệu đáng nghi ngờ, chẳng hạn như vị trí địa lý nơi tài khoản đăng nhập khác lạ so với các địa điểm đăng nhập hàng ngày hay đăng nhập từ thiết bị lạ. Người dùng tài khoản Facebook, Google, Microsoft, Apple… có trải nghiệm rõ nhất về quản lý đăng nhập dạng này.

Việc phát hiện kịp thời các dấu hiệu bất thường sẽ giúp hệ thống quản lý định danh đưa ra quyết định yêu cầu bổ sung thêm biện pháp xác thực. Thông qua đó hệ thống sẽ kiểm tra xem người đăng nhập để chuyển tiền có đúng là chính chủ hay bị một ai khác chiếm đoạt ID để đăng nhập.

Việc trang bị một hệ thống quản lý định danh hiệu quả cho phép ngân hàng có thể thay đổi theo kiểu “tư duy ngược”. Thay vì chỉ kiểm soát phía người chuyển tiền như hiện tại thì hệ thống tập trung xác định mọi dấu hiệu hoạt động có vẻ bất thường từ người nhận tiền. Các vụ chuyển tiền chiếm đoạt được trong thời gian qua cho thấy, việc tẩu tán tiền lừa đảo khá dễ dàng. Như vậy, đây mới là kẽ hở lớn cần tập trung ngăn chặn.

Khi phát hiện người chuyển tiền có dấu hiệu không bình thường, việc chuyển sẽ được “treo” lại để áp dụng các biện pháp xác minh bổ sung, chẳng hạn như nhân viên ngân hàng gọi điện trực tiếp cho chủ tài khoản để xác minh.

Song song với việc xác minh nơi người chuyển tiền, hệ thống cũng rà quét người nhận tiền trong giao dịch có nghi vấn để tìm ra những dấu hiệu bất thường. Khi đó hệ thống có thể tạm thời chưa chuyển tiền cho tài khoản nhận mà “treo” lại để xác minh thêm. Biện pháp này sẽ khiến bọn tội phạm lo sợ, thậm chí bỏ chạy không dám nhận tiền khi thấy tài khoản đang bị nghi ngờ thông qua việc ngân hàng đưa ra các yêu cầu xác minh, cung cấp thêm thông tin nhận diện.

Ngoài ra, cơ quan chức năng quản lý nhà nước cũng cần tính đến việc ban hành các quy định liên quan đến trách nhiệm của ngân hàng và nhà mạng di động. Ngân hàng Nhà nước cần bổ sung quy định về tiêu chuẩn bắt buộc đối với hệ thống quản lý định danh. Dù đây là khoản đầu tư tốn kém nhưng các ngân hàng sẽ có thể phát hiện các giao dịch bất thường để ngăn chặn kịp thời hơn.

Không chỉ bắt buộc ngân hàng đẩy nhanh tiến trình nâng cấp hệ thống quản lý ID, cơ quan chức năng cần yêu cầu tương tự đối với nhà mạng di động. Khi có hệ thống quản lý ID khách hàng mạnh và hiệu quả, các tài khoản, thuê bao có dấu hiệu nghi vấn sẽ dễ bị khoanh vùng để tìm ra hơn, nhất là thông tin SIM dính líu với tài khoản ngân hàng được bọn lừa đảo sử dụng.

Hiện nay đã có ít nhất hai nước là Nga và Singapore đã tiếp cận theo hướng bảo vệ mới: khi khách hàng bị lừa mất tiền thì ngân hàng và nhà mạng di động phải liên đới trách nhiệm chia sẻ thiệt hại theo thứ tự ngân hàng – nhà mạng – khách hàng. Khi ràng buộc trách nhiệm trực tiếp với việc khách hàng bị lừa mất tiền trong tài khoản ngân hàng thì hai đơn vị liên đới này sẽ buộc phải đầu tư công nghệ, tăng cường kiểm soát. Việc chống tài khoản lừa đảo, giả mạo cũng là để bảo vệ tiền của họ vì tiền bị mất không còn chỉ một mình khách hàng gánh chịu nữa.

Cũng không phải lo ngại nhiều về các khoản đầu tư phát sinh vì trong suốt lịch sử thành lập, các ngân hàng và nhà mạng Việt Nam năm nào cũng lời hàng trăm, hàng ngàn tỉ đồng, chưa bao giờ bị lỗ cả. Việc buộc họ phải nâng cấp công nghệ để bảo vệ khách hàng là yêu cầu hợp lý và sòng phẳng hơn việc bắt khách hàng một mình gánh chịu thiệt hại như hiện nay.

(*) https://tuoitre.vn/chu-tich-huyen-nhon-trach-bi-lua-171-ti-dong-toi-pham-chuyen-tien-qua-hon-60-tai-khoan-20240624212025441.htm