(KTSG Online) – Các chuyên gia chống lừa đảo đã đề nghị các ngân hàng rà soát lại các quy trình hoạt động, không gửi tin nhắn SMS hay mã OTP qua điện thoại cho khách… Nhưng vụ việc ngân hàng OCBC của Singapore bồi hoàn thiện chí 100% cho khách hàng bị lừa hơn 6,3 triệu đô la Mỹ đã đặt ra thách thức mới đối với cơ quan quản lý, hiệp hội ngân hàng, ngân hàng và cả khách hàng.
Lỗ hổng hệ thống ngân hàng
Những kẻ lừa đảo thường khai thác các kẽ hở trong hệ thống ngân hàng. Tháng 10 năm ngoái, khoảng 40.000 người Thái Lan nhận thấy các giao dịch trái phép trên thẻ ghi nợ và thẻ tín dụng của họ. Số tiền lên đến khoảng 130 triệu baht, gần 3,9 triệu đô la Mỹ.
Hàng trăm vụ chuyển tiền gian lận đã được thực hiện đối với hàng hóa và dịch vụ từ các doanh nghiệp đăng ký ở nước ngoài. Mỗi giao dịch chỉ với số tiền nhỏ khoảng 35-100 baht. Khách và cả ngân hàng không phát hiện. Chủ thẻ đã không nhận được xác minh mật khẩu một lần cho các khoản thanh toán vì một số ngân hàng không kích hoạt tính năng bảo mật OTP cho các giao dịch giá trị thấp.
Kể từ các vụ lừa đảo giá trị nhỏ như thế, nhà chức trách Thái Lan đã đưa ra các hướng dẫn mới cho các ngân hàng, gồm các biện pháp xác minh bổ sung và giám sát các giao dịch đáng ngờ đối với số tiền giao dịch nhỏ và thường xuyên.
Cơ quan quản lý tiền tệ Hồng Kông (HKMA) đã đưa ra cảnh báo hàng tháng trên trang web của mình để cảnh báo về các trang web ngân hàng lừa đảo, e-mail lừa đảo và tin nhắn SMS giả mạo. Hôm 28-1, HKMA đã đưa ra 11 cảnh báo như vậy liên quan đến các ngân hàng Dah Sing, Bank of Singapore và HSBC.
Ngoài các cảnh báo và chiến dịch giáo dục, các chuyên gia ngân hàng như Paul Sutaryono ở Indonesia đề xuất rằng các ngân hàng phản hồi nhanh hơn các khiếu nại và chuẩn bị các công cụ thích hợp để bảo vệ khách hàng trước những kẻ xấu giấu mặt.
Từ tháng 3 đến tháng 11 năm ngoái, Bộ Thông tin và Truyền thông Indonesia đã ghi nhận gần 200.000 báo cáo về hoạt động gian lận, trong đó WhatsApp và Instagram là phương tiện truyền thông được sử dụng rộng rãi nhất.
Vụ bồi thường “vô tiền khoáng hậu” của OCBC
Hôm 19-1, ngân hàng OCBC của Singapore đã đảm bảo với khách hàng rằng họ sẽ “thanh toán đầy đủ với thiện chí” cho khách bị lừa gạt vì tin nhắn giả mạo trong tháng 12 năm ngoái. Có 469 khách bị lừa hơn 8,5 triệu đô la Singapore (hơn 6,3 triệu đô la Mỹ), nhưng cho đến hôm nay vẫn chưa rõ là tất cả có được bồi hoàn 100% hay không. Tất cả tùy thuộc vào quá trình điều tra của OCBC, ngành ngân hàng và cảnh sát.
Sau “nghĩa cử” của OCBC, Cơ quan Tiền tệ Singapore (MAS) đã công bố một loạt các biện pháp bổ sung nhằm tăng cường bảo mật ngân hàng kỹ thuật số. Ngân hàng trung ương đồng thời nhắc nhở mọi người rằng “sự cảnh giác của khách hàng là điều tối quan trọng”.
Ví dụ, các ngân hàng sẽ phải xóa các liên kết có thể nhấp trong SMS hoặc email được gửi cho khách hàng bán lẻ trong vòng hai tuần trước Tết Nguyên đán. Các biện pháp khác bao gồm trì hoãn ít nhất 12 giờ trước khi kích hoạt mã OTP mới trên thiết bị di động cũng như có các nhóm chuyên trách để xử lý phản hồi về các trường hợp gian lận tiềm ẩn.
Trong một thông cáo chung với Hiệp hội các ngân hàng ở Singapore (ABS), MAS nói rằng các biện pháp này sẽ kéo dài thời gian thực hiện cho các giao dịch ngân hàng trực tuyến nhất định và cung cấp thêm một lớp bảo mật để bảo vệ tiền của khách hàng.
“Mối đe dọa ngày càng tăng của các giao dịch lừa đảo trực tuyến đòi hỏi phải có các bước đi tức thì để tăng cường kiểm soát, trong khi các biện pháp ngăn chặn lâu dài hơn đang được đánh giá để thực hiện trong những tháng tới”, thông cáo viết.
Cuộc tranh luận về trách nhiệm
Trước các hành động có liên quan đến vụ OCBC bồi hoàn cho khách hàng, một cuộc tranh luận lớn hơn đang diễn ra về trách nhiệm của các cơ quan quản lý ở Singapore. Kế đến là liệu các ngân hàng có nên chịu trách nhiệm nhiều hơn, ở một quốc gia mà ngày càng có nhiều người sử dụng các dịch vụ trực tuyến. Hiện tại, các ngân hàng không bị ràng buộc bởi bất cứ nghĩa vụ bồi hoàn nào nếu hệ thống công nghệ thông tin của họ không bị xâm phạm.
Lawrence Loh, giáo sư kinh doanh tại Đại học Quốc gia Singapore (NUS), cho rằng trong khi khách hàng phải chịu một số trách nhiệm, các ngân hàng nên có biện pháp để giảm nguy cơ khách hàng bị lợi dụng bởi những kẻ lừa đảo.
Ông cho biết việc dựa vào SMS để thực hiện xác thực là “liên kết yếu nhất” trong các giao dịch ngân hàng trực tuyến và đây là căn nguyên của hàng loạt các vụ lừa đảo ở OCBC gần đây. “Khách hàng hiện đã quá quen với việc nhận được tin nhắn SMS của ngân hàng. Họ sẽ tin tưởng vào bất kỳ tin nhắn nào, kể cả những tin nhắn giả mạo với tiêu đề giả mạo có vẻ là hàng thật. Lẽ ra, mắt xích yếu nhất phải được xử lý sớm hơn”, vị giáo sư nói.
Các ngân hàng có thể sử dụng các phương tiện xác thực an toàn hơn, chẳng hạn như ứng dụng xác thực có các tính năng bảo mật tốt hơn đã được sử dụng cho tiền điện tử. Ngoài các tổ chức tài chính và cơ quan quản lý, các công ty trong lĩnh vực công nghệ và truyền thông cũng nên đóng vai trò tiền tuyến – giáo sư Loh nói.
Một số nhà quan sát đã kêu gọi giám sát chặt chẽ hơn các hãng viễn thông để ngăn chặn tình trạng kẻ lừa đảo che giấu hay ngụy trang số giống như số của các ngân hàng hợp pháp.
Foong Cheng Leong từ Ủy ban Mạng lưới luật sư của Hội đồng Luật sư Malaysia đề nghị các ngân hàng có thể thiết lập một đường dây nóng trực tiếp và dành riêng cho nạn nhân để đảo ngược, tạm giữ khoản tiền đã chuyển hoặc hỗ trợ nạn nhân trong việc truy danh tính của thủ phạm.
Tuy nhiên, thường là quá muộn vào thời điểm nạn nhân nhận ra mình đã bị lừa. “Tiền được chuyển đến một tài khoản ngân hàng địa phương thường nhanh chóng được gửi đến các tài khoản ngân hàng khác. Ngay cả một chút chậm trễ cũng dẫn đến việc số tiền được chuyển trở nên không thể theo dõi được”, Foong nói.
Ông cũng cho rằng luật pháp Malaysia đã có những quy định đối phó với những trò gian lận, nhưng vấn đề chính là thực thi. “Các trò gian lận thường được thực hiện qua mạng xã hội, chủ yếu là bằng cách mạo danh. Các nạn nhân thường tự nguyện gửi tiền đi”, ông nói.
Một số khách hàng lập luận rằng ngân hàng có nghĩa vụ không thực hiện lệnh chuyển tiền của họ nếu có căn cứ hợp lý để nghi ngờ hoạt động gian lận. Tuy vậy, các ngân hàng cho rằng khách hàng phải xác minh thông tin chi tiết về việc họ đang chuyển tiền cho ai.
Và trong khi một số ngân hàng đang trở nên chủ động hơn trong việc gửi cảnh báo lừa đảo, tội phạm mạng cũng đang tìm ra những cách mới để đánh lừa nạn nhân của chúng.
Chuyên gia an ninh mạng Pavan Duggal đồng thời là luật sư tại Tòa Tối cao Ấn Độ nói rằng nhiều người cao tuổi ở Ấn Độ đã rất phấn khích khi được tiêm chủng. Họ đã chia sẻ trên mạng xã hội giấy chứng nhận tiêm chủng của mình và gia đình. Tội phạm có thể sử dụng thông tin này để vạch ra kế hoạch lừa đảo.
Apar Gupta, một luật sư và là giám đốc điều hành của Internet Freedom Foundation, cho biết các ngân hàng có thể làm nhiều hơn nữa để bảo vệ người cao tuổi. Ví dụ: ngay cả trong trường hợp nạn nhân tự nguyện cung cấp mã OTP, những kẻ lừa đảo cũng sẽ cần phải có các chi tiết khác về tài khoản đó thông qua một vụ vi phạm dữ liệu tại ngân hàng.
“Các ngân hàng cần phải thực hiện các cuộc kiểm toán mạng thường xuyên để đánh giá các hệ thống công nghệ của họ đủ sức để nhận dạng khách hàng, đặc biệt khi nhận dạng điện tử eKYC ngày càng phổ biến. Công chúng cũng cần sự minh bạch hơn nữa bởi nhà băng không thích công khai các vụ làm lộ dữ liệu khách hàng bởi sợ ảnh hưởng tiêu cực. Nếu điều đó xảy ra, có nghĩa là thông tin không được chia sẻ”, Gupta nói với South China Morning Post.
Và cuối cùng, khách hàng cần phải chịu trách nhiệm bảo vệ thông tin của mình và không để cơ hội cho kẻ xấu sử dụng tài khoản của mình để lừa đảo. Tại Singapore, hôm 26-1, một thanh niên 22 tuổi đã bị phạt ba tháng tù giam vì đã để người lạ sử dụng tài khoản của mình tại OCBC cho những vụ lừa đảo trực tuyến. Anh này được hứa trả công 500 đô la Singapore để mở tài khoản mới, đưa thẻ ATM, mã PIN và tài khoản ngân hàng trực tuyến cho người lạ. Khoảng 35.500 đô la Singapore mà bọn xấu gạt từ tám người nhẹ dạ đã được chuyển vào tài khoản trên.
Nhà cung cấp dịch vụ và người sử dụng đều không thể vô can trong câu chuyện rủi ro trên không gian mạng. Tự bảo vệ mình và có giải pháp phòng ngừa từ xa vẫn là phương thức hữu hiệu nhất trong lúc này. Một nhà cung cấp có uy tín vẫn khó có thể tránh bị trừng phạt hoặc tống tiền bởi các hacker điêu luyện. Một người sử dụng thành thạo đôi khi vẫn có những sơ hở chủ quan chết người. Đừng tiếc 300 ngàn/ năm để xài phần mềm bảo an của BKAV, đây là việc nên làm, mặc dù sẽ không chắ loại trừ hết các nguy cơ. Rốt cuộc, sẽ không có lựa chọn nào khác ngoài việc biết cách chung sống với rủi ro. Bởi lẽ, ta không thể quay trở lại những giải pháp cổ truyền. Chấp nhận cuộc chơi một cách khôn ngoan lại là triết lý thông thái nhất.