“Theo tôi, hành lang pháp lý liên quan đến xử lý các hành vi lừa đảo, tấn công mạng ở Việt Nam đã được ban hành khá đầy đủ với Luật An toàn thông tin mạng, Luật An ninh mạng và các văn bản liên quan hướng dẫn, xử lý vi phạm.
Tuy nhiên, vấn nạn tấn công, lừa đảo, mạo danh các tổ chức tài chính, ngân hàng sẽ không thể xử lý triệt để 100% mà chúng ta phải đối mặt với nó.
Qua quá trình tham gia tư vấn, hỗ trợ một số trường hợp bị tấn công lừa đảo mất tiền, tôi thấy nổi lên vấn đề mà người dùng đang rất băn khoăn, đó là khi không may trở thành nạn nhân thì cần phải làm gì ngay.
Cụ thể, tình huống là một khách hàng bị tấn công lừa đảo, chuyển tiền từ tài khoản của mình sang tài khoản của kẻ lừa đảo ở một ngân hàng khác. Phản ứng đầu tiên của khách hàng khi phát hiện bị mất tiền là gọi điện tới ngân hàng. Tôi từng hỗ trợ người thân xử lý sự vụ như vậy, nhưng nhiều khi không gọi được theo kênh chính thống. Ngay cả khi đã tạm thời xử lý thì việc điều tra để lấy lại được tiền cũng rất khó khăn.
Những kẻ tấn công lừa đảo khi chuyển tiền sang tài khoản của mình thường là tài khoản mạo danh, mua tài khoản nhờ người khác đứng tên hoặc sau đó chuyển sang các kênh không truy vết được như mua tiền mã hóa... Do đó, theo tôi, yếu tố quan trọng nhất trong xử lý những đối tượng tấn công lừa đảo liên quan đến tài chính là thời gian và tốc độ. Cần phải có cơ chế để người dân khi gặp phải tình huống bị tấn công, mất tiền có đầu mối liên hệ ngay lập tức để phối hợp hỗ trợ, ngăn chặn để không bị mất nhiều hơn. Sau khi đã ngăn chặn được thì cần điều tra, lấy lại tiền cho người dân một cách nhanh chóng, dễ dàng.
Về phía người dùng, bên cạnh trang bị công nghệ, yếu tố con người là quan trọng nhất. Thời gian qua, VNISA đã hỗ trợ cộng đồng, nâng cao nhận thức người dùng, đặc biệt cho thế hệ trẻ. Năm qua, Hiệp hội đã tổ chức chương trình đào tạo, nâng cao nhận thức về an toàn thông tin cho các bạn trẻ thông qua cuộc thi học sinh với an toàn thông tin triển khai trên toàn quốc.
Chúng tôi kỳ vọng thông qua chương trình, các bạn trẻ sẽ được trang bị các kỹ năng, nền tảng vững chắc để khi trưởng thành tham gia vào các giao dịch quan trọng, phát hiện các tình huống tấn công lừa đảo trong tương lai”.
“Các ngân hàng hiện đang sử dụng nhiều biện pháp truyền thông, cảnh báo các thủ đoạn lừa đảo trên hệ thống website của ngân hàng, thông qua email, bằng tin nhắn và các chiến dịch truyền thông. Người dùng nên chú ý để liên tục cập nhật những thủ đoạn mới, ghi nhớ và nhận biết.
Về phía ngân hàng, chúng tôi sẽ liên tục đầu tư về mặt con người bao gồm cán bộ công nghệ, chuyên gia an ninh mạng để đưa ra những giải pháp công nghệ tốt nhất, đặc biệt là công nghệ phòng chống mạo danh.
Ví dụ, trước đây chỉ cần tên đăng nhập, mật khẩu và mã OTP là người dùng có thể thực hiện hành vi lừa đảo, nhưng bây giờ cơ chế phòng chống mạo danh lừa đảo đã nâng cấp. Các tiêu chuẩn xác thực bây giờ cũng đã được nâng cấp lên. Ngoài ra, có những biện pháp cảnh báo khi đăng nhập trên những khách bị lạ. Vì vậy, kẻ lừa đảo kể cả có những thông tin đăng nhập, mật khẩu, mã OTP thì cũng rất khó khăn trong việc thực hiện chiếm đoạt tiền.
Tất nhiên, trong khi ngân hàng liên tục tăng cường bảo mật thì những kẻ lừa đảo cũng tìm cách để vượt qua được. Do đó, vấn đề lừa đảo mạo danh luôn luôn tồn tại chứ không bao giờ hết được. Vì vậy, khách hàng cũng luôn phải đề cao cảnh giác.
Tôi chia sẻ thêm một bí quyết để người dùng có thể dễ dàng áp dụng mà không cần phải ghi nhớ nhiều. Chúng ta nên tận dụng kho tàng Google.
Cơ quan nhà nước, ngân hàng, công an khi họ làm gì cũng đều có bài bản, quy trình. Họ đều gửi thư mời đến làm việc đàng hoàng chứ không xử lý một vụ việc qua cuộc gọi điện hay một tin nhắn.
Chúng ta ghi nhớ một điều rằng mọi việc xử lý đối với ngân hàng đều có trình tự. Do đó, nếu người dùng nhận được một tin nhắn về việc yêu cầu khai báo thông tin hoặc chuyển tiền thì không nên vội thực hiện ngay, hãy quay lại quy trình, trình tự làm việc. Sau đó, lên Google kiểm tra thông tin mà chúng ta vừa được nhận hoặc vừa được lắng nghe. Ngay lập tức trên Google sẽ hiện ra trùng với trường hợp lừa đảo này lừa đảo kia. Ngoài ra khách hàng cũng có thể bình tĩnh gọi điện đến tổng đài hỏi xem tôi nhận được tin nhắn hoặc thông báo như thế này thì có phải là yêu cầu hay chương trình khuyến mãi của ngân hàng không? Luôn luôn kiểm tra chéo, xác định thông tin ngược lại với bên cung cấp dịch vụ”.
“Theo quan sát của tôi, tại những quốc gia như Singapore, trên hệ thống tàu điện ngầm (MRT) đều dán áp phích cảnh báo người dân khi giao dịch online, cần tránh những thủ đoạn gì để khỏi bị lừa. Với du khách sử dụng hệ thống tàu điện MRT, việc này giúp họ ghi nhớ trong đầu rất tốt về các thủ đoạn lừa đảo.
Liên hệ Việt Nam, tôi nghĩ chúng ta nên có các hoạt động này từ các ngân hàng trong việc nâng cao ý thức cho các khách hàng tránh bị lừa đảo. Tuy nhiên, ở góc độ quốc gia thì việc làm này cần phải được duy trì một cách thường xuyên.
Ngoài ra, những kẻ tấn công thường sử dụng nhiều công nghệ. Chẳng hạn, những kẻ tấn công có thể chạy SEO để biết được thông tin người dân cần tìm kiếm và nó sẽ hiện ra trên trang web của Google. Đặt nghi vấn nhiều trang ở trên đó là trang giả mạo chứ không phải trang thật. Việc xuất hiện nhiều trang giả mạo đó nếu không được kiểm soát sẽ rất dễ gây nhầm lẫn. Do đó, cần phải tuyên truyền trang web nào là trang đúng và nhận diện trang web nào có khả năng lừa đảo.
Hay trên các mạng xã hội, những trang web lừa đảo có thể chạy quảng cáo, chạy chiến dịch lan tỏa trên mạng và rất nhiều người dân bị lừa khi click vào những trang như thế. Ở góc độ công nghệ, các ngân hàng hay tổ chức tài chính cần có công nghệ (như brand listening) để lắng nghe trên mạng xem có những trang nào đang giả mạo thương hiệu của họ. Đây là cách tiếp cận về mặt công nghệ, giải quyết bài toán phát hiện những kẻ mạo danh. Phát hiện càng sớm càng tốt và giảm thiểu thiệt hại của hành vi lừa đảo.
Ngoài ra, ngân hàng có thể truyền thông cho toàn bộ người dân được biết trang web giả mạo, các vấn đề giả mạo. Đối với cơ quan quản lý, cung cấp thông tin cho người dân biết liên quan đến đầu số, cảnh báo, cung cấp phát hiện các trang web hay các hành vi lừa đảo… Từ đó, giảm rất nhiều thiệt hại cho người dân.
Cuối cùng, bất kỳ người dùng nào khi lên mạng cần biết rằng những thông tin như usename, mật khẩu, số ID, căn cước công dân, số thẻ ngân hàng… đều là những tài sản cá nhân cần được bảo mật. Người dùng khi muốn cung cấp thông tin cho một ai khác thì hãy đếm từ 1 đến 10. Mục đích là xem xét việc cung cấp thông tin cho ai đó cần phải thận trọng, bình tĩnh, có đáng tin cậy không? Mình có đang bị lo sợ quá hay không? Mình có quá vội vã hay không?...”.
“Hiện nay, chúng ta đã có Luật An ninh mạng, Luật An toàn thông tin hay thậm chí sử dụng Luật Hình sự cho tội lừa đảo, chiếm đoạt tài sản... Tuy nhiên, thường quy mô không quá lớn và khi xảy ra sự cố, người dùng khá lúng túng, không biết bắt đầu từ đâu, làm cái gì và gọi vào đâu để nhờ giúp đỡ.
Quan trọng nhất, chúng ta cần phải có quy trình. Các doanh nghiệp, ngân hàng cần phải có hướng dẫn hoặc quy trình liên thông giữa các đơn vị để khi xảy ra sự cố có thể xử lý nhanh, thậm chí cần áp dụng công nghệ để tự động hóa xử lý.
Ý tưởng thêm đầu số rất hay. Khi gặp vấn đề về việc mất an toàn thông tin, lo sợ, bị đe dọa thì người dân có thể gọi ngay vào đầu số đấy. Các bước xử lý trong quy trình thì khó có thể nhớ nhưng nếu có đầu số thì sẽ dễ dàng gọi hỗ trợ và truy suất nhanh.
Ngoài việc phối hợp Chính phủ, cơ quan chức năng, các ngân hàng cần tăng cường tuyên truyền đến người dân tốt hơn. Người dùng khi tham gia vào Internet hay giao dịch trực tuyến hiện nay, theo tôi, quan trọng nhất là xác minh thông tin. Bản thân tôi là người làm bảo mật cũng vậy. Bao giờ cũng phải xác minh qua 2-3 bước. Do đó, khi nhận được một thông tin gì thì chúng ta cần xác minh như có thể gọi cho người thân, gọi tổng đài để xác minh nguồn thông tin, cần thận trọng cung cấp thông tin. Đặc biệt, yêu cầu cung cấp thông tin, yêu cầu chuyển tiền thì càng cẩn thận và xác minh thông tin. Các tấn công thường gửi bằng đường link nên cẩn trọng các đường dẫn này. Chúng ta có thể gọi trực tiếp thay vì click vào các link có sẵn”.
VnEconomy 1/8/2022 14:00