“Bỗng dưng” tài khoản mất tiền: Tại ả, tại cả anh

Tại Việt Nam, chỉ cần quan sát tại các nhà hàng, phổ biến là nhân viên cầm thẻ của khách hàng đi “quẹt” giúp...

Giả dụ, chiếc thẻ tín dụng khi vào tay nhân viên bán hàng đi “quẹt” giúp, các dãy số trước và sau mặt thẻ được chụp lại, rủi ro hoàn toàn có thể xảy ra.

Hoàng Vũ

16/08/2016 17:57

Liên tục các vụ việc về rủi ro mất tiền trong tài khoản, từ giao dịch thẻ tín dụng diễn ra gần đây, nếu xét ở khía cạnh “tích cực”, cũng là cơ hội để cả khách hàng và ngân hàng tự rà soát chính mình, cùng khắc phục, điều chỉnh để hoàn thiện hơn nữa một dịch vụ văn minh.

Vật bất ly thân

Tại một khu rừng xa xôi, hẻo lánh của Nam Phi, người viết đã từng bất ngờ, khi nhân viên bán hàng phi chiếc xe cà tàng, đưa thiết bị đọc thẻ phục vụ khách thanh toán, nhanh và gọn, chỉ để mua một ly cà phê hoặc món đồ lưu niệm.

Tại hầu hết các điểm bán hàng nhiều nước trên thế giới, thiết bị đọc thẻ luôn để trước quầy thanh toán, hướng về chủ thẻ, hoặc cơ động đến tận nơi cần giao dịch; nhân viên bán hàng tuyệt nhiên không chạm đến thẻ của khách hàng, không thực hiện giao dịch khi không có sự chứng kiến của chủ thẻ.

Đó như là quy định, tôn trọng và bảo mật thông tin cá nhân chủ thẻ.

Còn tại Việt Nam, chỉ cần quan sát tại các nhà hàng, phổ biến là nhân viên cầm thẻ của khách hàng đi “quẹt” giúp, rất ít điểm chấp nhận nào đưa thiết bị đọc thẻ di động đến trước mặt khách hàng để họ tự thanh toán.

Giả dụ, chiếc thẻ tín dụng khi vào tay nhân viên bán hàng đi “quẹt” giúp, các dãy số trước và sau mặt thẻ được chụp lại, rủi ro hoàn toàn có thể xảy ra. Thực tế, việc giao dịch trực tuyến tại nhiều website bán hàng chỉ cần những thông tin đó là đủ, không đòi hỏi mã xác thực của ngân hàng phát hành.

Gần đây, những vụ việc khách hàng đang ngồi ở Việt Nam mà tin nhắn báo đang giao dịch thẻ ở Mỹ có thể do rơi vào tình huống bị mất cắp thông tin như trên. Một là họ đã từng đến Mỹ và có các giao dịch thẻ, hai là không loại trừ thông tin thẻ bị đánh cắp trong nước rồi bị bán ra nước ngoài.

Điểm được chú ý ở những tình huống trên là: ai là người thụ hưởng những giao dịch giả mạo, đánh cắp đó; ngân hàng có thể truy xuất thông tin người thụ hưởng để truy cứu trách nhiệm?

Câu hỏi trên cũng có trong vụ việc khách hàng mất 500 triệu đồng qua dịch vụ ngân hàng điện tử của Vietcombank, đang thu hút sự chú ý của công chúng hiện nay. Kẻ gian chuyển khoản 500 triệu đó sang các tài khoản khác, đáng chú ý là đến ba ngân hàng khác tại Việt Nam. Tiền phải có điểm đến để đến. Ai là chủ điểm đến/tài khoản thụ hưởng?

Một cán bộ ngân hàng am hiểu vấn đề này cho rằng, kẻ gian vẫn làm giả được tài khoản tại các ngân hàng, hoặc lợi dụng được dịch vụ này.

“Thực ra đây không phải là tài khoản giả, mà kẻ gian có thể thuê, mua lại tài khoản bằng cách nhờ những người không am hiểu, không quan tâm về dịch vụ này đứng ra mở hộ. Có khi về vùng quê nào đó, cho bà con vài triệu đồng và lợi dụng lòng tin nhờ mở tài khoản và thẻ giúp, thậm chí đánh cắp chứng minh thư và ghép ảnh một cách tinh vi để mở tài khoản tại ngân hàng, hoặc trực tiếp làm thẻ giả…”, cán bộ ngân hàng trên nêu tình huống.

Trong trường hợp tiền thụ hưởng qua giao dịch giả mạo được rút ra qua tài khoản như trên, có các quy định liên quan cũng được chú ý trong trường hợp này: ngân hàng khống chế lượng tiền mặt rút qua ATM mỗi lần giao dịch, hạn mức mỗi ngày để giảm thiểu rủi ro; mặt khác, khe nhả tiền của các máy ATM không thể một lúc nhả ra lượng tiền lớn…

Nhưng, để đảm bảo tối đa, như các ngân hàng vẫn liên tục khuyến nghị, thẻ ATM hay thẻ tín dụng là vật bất ly thân, không đưa người khác giữ hộ, “quẹt” hộ; thậm chí nhiều người có thói quen ghi nhớ và xóa 3 số cuối dãy số mặt sau thẻ tín dụng để giảm thiểu rủi ro thông tin bị đánh cắp.

Tại Việt Nam, tình trạng sở hữu hoặc giữ thẻ người khác không lạ, như bố mẹ giữ hộ con, hoặc ngược lại… Nhưng, ngay chính lãnh đạo một ngân hàng thương mại Việt Nam cũng từng gặp rắc rối, khi bị cơ quan xuất nhập cảnh Úc tạm giữ, mời luật sư tới làm việc, cùng xác minh khắt khe, cảnh cáo..., chỉ vì sơ suất giữ thẻ tín dụng mang tên người khác.

Mở két khác phá két

Liên quan đến những vụ việc gần đây, lãnh đạo một ngân hàng thương mại từng khẳng định: “Với 7 lớp bảo vệ, tài khoản của khách hàng để tại ngân hàng không thể bị tấn công (hack) được. Nhưng dù sao, ngân hàng cũng có lỗi trong những vụ việc này”.

Lỗi ở đây trước hết được xác định: vì cạnh tranh dịch vụ và chiều khách, ngân hàng đã trao chiếc khóa cuối cùng cho chủ thẻ, tạo tiện ích một cách tối đa. Thứ nữa, vì chạy đua doanh số và chỉ tiêu, việc mở tài khoản và thẻ thời gian qua có phần dễ dàng và khá đơn giản, ngay cả với thẻ tín dụng.

Cũng vì trao cho chủ thẻ chiếc khóa cuối cùng, một phần rủi ro nằm ở sự tự bảo vệ của khách hàng.

Như trên, lãnh đạo ngân hàng trên khẳng định tài khoản khách hàng không thể bị tấn công. Nói một cách hình ảnh, chiếc két không thể bị phá, nhưng lại mở được nếu có chìa khóa. Vị này lưu ý rằng, mở két khác với phá két trong những vụ việc gần đây.

Chìa khóa nằm trong tay khách hàng, kẻ gian dùng những giao dịch giả mạo để lấy cắp. Như vụ việc mất 500 triệu tại Vietcombank, một tình huống đang được định hình để có thể lý giải nguyên do, trước khi có kết luận cuối cùng của cơ quan điều tra.

Tình huống đưa ra: qua tương tác trực tuyến, kẻ gian dẫn dụ chủ thẻ vào đường dẫn (link trang web) giả mạo. Cũng lưu ý rằng, trên một số loại điện thoại thông minh, đường dẫn sau khi kích hoạt không hiện ra chi tiết trên trình duyệt, hoặc người dùng không để ý và kiểm tra kỹ.

Với giao diện giả mạo thiết kế như của ngân hàng, khi khách hàng điền thông tin tài khoản, mật khẩu, mã xác nhận…, dữ liệu được chuyển ngay tới kẻ gian như hình thức trò chuyện trực tuyến vậy. Kẻ gian dùng dữ liệu đó giao dịch song song và đồng thời trên nền dịch vụ thật của ngân hàng, từ đó ngân hàng gửi mã xác nhận đến điện thoại khách hàng, kích hoạt Smart OTP. Chủ thẻ tiếp tục nhập mã này vào nền giao dịch giả mạo, tức là trao luôn chìa khóa mở két cuối cùng cho kẻ gian.

Với tình huống trên, kẻ gian mở cổng, mở cửa, đi vào nhà, mở két một cách đúng chuẩn. Cả ngân hàng và khách hàng chỉ biết khi tài sản trong két bị rút ra.

Liên quan đến tình huống trên, ngoài việc tăng cường chỉ dẫn và khuyến nghị khách hàng cảnh giác, tự bảo vệ thông tin và khóa của mình, ngân hàng đã có những điều chỉnh về cung cấp dịch vụ.

Như với Vietcombank, điều chỉnh mới là co hẹp hạn mức chuyển khoản, áp cơ chế đăng ký Smart OTP tại quầy… Bản thân khách hàng, qua những vụ việc này cũng thận trọng hơn, như đổi mật khẩu thông tin cá nhân và tài khoản, đóng hoặc hạ thấp hạn mức thẻ tín dụng, chuyển tiền nhàn rỗi sang tài khoản tiết kiệm, hoặc rút hẳn tiền ra khỏi ngân hàng.