Đồng tiền liền khúc ruột

Sự an toàn khi sử dụng thẻ đang bị thách thức

Thẻ từ và thẻ chip

Dự án của Ngân hàng Nhà nước chuyển đổi toàn bộ các loại thẻ ghi nợ và tín dụng nội địa ở Việt Nam từ thẻ từ sang thẻ chip dự kiến sẽ hoàn tất vào năm 2020, những sự cố liên tục với loại thẻ từ đã lỗi thời càng cho thấy điều đó là cần thiết. Nhưng ngay cả thẻ chip, liệu an toàn đến đâu?

Theo Công ty cổ phần Thanh toán quốc gia Việt Nam (Napas), muộn nhất là tới năm 2020, tất cả thẻ ghi nợ nội địa (tức thẻ ATM) có dải từ màu đen phía sau do các ngân hàng Việt Nam phát hành sẽ được chuyển qua thẻ chip, tức thẻ được tích hợp vi mạch.

Với số lượng khoảng 90 triệu thẻ đã được phát hành ở Việt Nam hiện nay, việc thay thế này là cả một dự án khổng lồ đòi hỏi sự nâng cấp đồng bộ của cả hệ thống ngân hàng, với các máy ATM và điểm thanh toán - cà thẻ (point-of-sale, hay POS) cũng cần sự thay đổi tương ứng.

Thật ra, việc chuyển đổi này ở Việt Nam đã là khá chậm chạp, khi mà hầu hết các nước đều đã chuyển sang sử dụng thẻ tích hợp vi mạch. Trung Quốc chẳng hạn, với số thẻ khoảng 3,6 tỉ cái, gấp 3 lần dân số, đã chuyển đổi gần xong.

Việc chuyển đổi chậm khiến Việt Nam đứng trước nguy cơ lạc hậu về công nghệ thẻ và trở thành mục tiêu cho tội phạm thẻ, vốn là hoạt động tội phạm không có biên giới.

Thẻ từ, với dải đen phía sau hiện hầu hết người Việt Nam đều sở hữu, có giá thành sản xuất rẻ, nhưng công nghệ bảo mật trên cơ sở dữ liệu đã cũ, dễ bị đánh cắp thông tin. Thẻ chip, trong khi đó, áp dụng công nghệ bảo mật dựa vào vi mạch được cấy thẳng vào trong thẻ, được cho là an toàn hơn.

Ở thẻ từ, thông tin chỉ được mã hóa một lần và khi dùng thẻ để thanh toán, thông tin được giải mã. Một khi xâm nhập được vào cơ sở dữ liệu của thiết bị đọc thẻ, kẻ xấu có thể đánh cắp thông tin trên thẻ từ của người dùng. Thẻ chip, với vi mạch như một máy tính thu nhỏ, hoàn toàn độc lập với thiết bị đọc thẻ trong việc mã hóa dữ liệu.

Mỹ trước năm 2015 cũng là một quốc gia khá bảo thủ trong việc chuyển sang thẻ chip, cho tới vụ tấn công nổi tiếng tháng 12-2013, khi 40 triệu thẻ ghi nợ và tín dụng vốn là thẻ từ được sử dụng ở chuỗi siêu thị Target bị lấy cắp thông tin.

Các thẻ từ rất dễ làm giả một khi những kẻ lừa đảo có được số thẻ và ngày hết hạn. Với các thẻ chip, thay vì quẹt thẻ ở phần dải từ, bạn thanh toán bằng cách đặt thẻ vào một thiết bị đọc, rồi nhập vào một số PIN hay ký tên. Điều tiên quyết khiến thẻ chip an toàn hơn là việc làm giả chúng đắt đỏ hơn nhiều, theo lời Brian Krebs, phóng viên công nghệ của NPR, đã khám phá ra vụ rò rỉ thông tin ở Target.

Với thẻ từ, các thủ thuật ăn cắp tiền trong tài khoản có thể thô sơ và phổ biến như “skimmer” cho tới nhiều công sức như các phần mềm độc hại.

“Skim”, có thể hiểu là thủ thuật nhìn trộm, bao gồm việc kẻ xấu sử dụng những thiết bị siêu nhỏ giấu trong phần cứng của máy ATM để ăn cắp thông tin. Tin tặc sẽ chụp hình và thu lại thao tác người dùng thẻ để nhái theo, một thủ đoạn thô sơ không cần hiểu biết quá nhiều về công nghệ cao.

Trong năm 2015, Hiệp hội ngành ATM thế giới (ATMIA) cho biết một cuộc thăm dò với 87 thành viên của họ cho thấy “skim” là thủ thuật phổ biến nhất, tiếp heo là “bẫy thẻ” (card trapping) và lừa đảo trong giao dịch (transaction reversal fraud).

Trong số các vụ “skim” bị phát hiện, 73% liên quan máy ATM và 27% liên quan tới một thiết bị nhận diện khác. Theo ông Douglas Russell - giám đốc Hãng quản trị rủi ro DFR và là tác giả đứng đầu báo cáo của ATMIA, “skim” phổ biến nhất ở Mỹ, nơi thẻ từ còn phổ biến trước năm 2015.

Trong thủ thuật bẫy thẻ, kẻ gian khiến thẻ của một người mắc kẹt trong máy ATM và rút tiền sau khi nạn nhân rời đi. 18% những người tham gia cuộc thăm dò của ATMIA nói chiêu lừa đảo này gia tăng trong năm 2015.

Trên lý thuyết, thủ thuật này không thật sự hiệu quả vì nạn nhân đã biết thẻ họ bị mắc kẹt và có thể thông báo sớm với ngân hàng. Nhưng trên thực tế, vẫn rất nhiều người chủ quan hoặc đãng trí không thông báo với ngân hàng trong nhiều giờ liền, khiến thẻ của họ có nguy cơ bị rút sạch tiền.

Thủ thuật cuối cùng, lừa đảo khi giao dịch, đòi hỏi công nghệ cao hơn. Cũng năm 2015, một báo cáo của Hãng bảo mật công nghệ Kaspersky tiết lộ cách làm rất thông minh của một đường dây công nghệ cao, trong đó chúng đã đưa được phần mềm độc hại vào máy chủ của một ngân hàng và đánh lừa các máy tính ở đây rằng tiền vẫn chưa được rút ra, trong khi chúng tấn công và chuyển tiền từ thẻ của các khách hàng ra các tài khoản ở nước ngoài.

Trong số những vụ tấn công ATM dựa vào công nghệ, 75% dựa vào phần mềm độc hại, 11% sử dụng thủ thuật “tấn công hộp đen”, tiếp cận vật lý bên trong máy, ngắt bộ phận nhả tiền ra khỏi máy tính, và kết nối nó với máy tính của kẻ gian. Ngoài tất cả những cách thông minh khéo léo đó, cuối cùng, bọn tội phạm vẫn còn một giải pháp tối thượng: một chiếc búa.

Vừa bấm phím vừa dùng tay che không cho người khác nhìn thấy thao tác là cách nhiều người dùng để tự bảo vệ mình ở các cột ATM - Duyên Phan

Trách nhiệm của ai

Ross Anderson, giáo sư an ninh công nghệ ở Đại học Cambridge (Anh) và là một chuyên gia về công nghệ thanh toán trong 30 năm qua, đã cảnh báo rằng ngay cả thẻ chip cũng không thực sự an toàn hoàn toàn.

Ông cảnh báo đó có thể là một trò mèo đuổi chuột và sau khi việc dùng thẻ chip bắt đầu phổ biến ở Anh từ khoảng năm 2003, số vụ lừa đảo liên quan tới thẻ ghi nợ và tín dụng thực ra tăng lên vì kẻ gian bắt đầu chuyển qua các phương tiện truyền thống như thư điện tử, trang web giả mạo, và các cuộc điện thoại.

Với sức mạnh tài chính, các ngân hàng và những hãng phát hành thẻ ghi nợ có riêng một đội ngũ chuyên gia hùng hậu chỉ phục vụ cho việc tìm hiểu các lỗ hổng an ninh trong những loại thẻ này. Mới tuần trước thôi, tại hội nghị an ninh công nghệ Black Hat ở Las Vegas đã xuất hiện hai bài tham luận trình bày những rủi ro an ninh với các thẻ chip (thẻ có tích hợp vi mạch) hiện đại hơn, lẫn các thẻ với dải từ cổ điển.

Anderson, vì thế, nhấn mạnh rằng điều thực ra còn quan trọng hơn công nghệ là khả năng bảo vệ người tiêu dùng của những nhà cung cấp dịch vụ và cơ quan công quyền.

“Nếu xảy ra lừa đảo, vấn đề then chốt luôn là ai phải chịu phí tổn, là tôi hay là ngân hàng? Và nếu ngân hàng điều hành hệ thống, tôi muốn ngân hàng phải chi trả - Anderson nói - Các công dân Mỹ may mắn (hơn so với dân châu Âu) vì từ những năm 1970, 1980, họ đã có được sự bảo vệ người tiêu dùng rất mạnh mẽ qua các hướng dẫn của Cục Dự trữ liên bang Mỹ bảo vệ người tiêu dùng khi xảy ra lừa đảo và rất nhiều án lệ ở tòa”.

Theo đó, nếu chủ sở hữu thẻ ở Mỹ là nạn nhân của lừa đảo qua thẻ tín dụng, họ có thể thông báo với ngân hàng và phần việc của họ thế là xong, tổn thất tối đa với họ sẽ chỉ là 50 USD (đó cũng là một phần lý do khiến dân Mỹ chậm chuyển đổi sang thẻ chip hơn).

Tất nhiên không phải ai cũng may mắn như thế. Ở Anh chẳng hạn, người chủ thẻ bị lừa đảo thường phải trải qua quá trình kiện cáo khá phức tạp.

“Mỹ đang đi trước trong vấn đề bảo vệ người tiêu dùng, và nếu bạn nghĩ về lợi ích chung và những điều có thể ảnh hưởng tới ngân hàng, thì đó mới là điều quan trọng nhất - Anderson nói - Việc đẩy toàn bộ trách nhiệm về phía ngân hàng khiến các ngân hàng sẽ phải tích cực tối đa trong các vấn đề bảo mật để hạn chế rủi ro tổn thất, và đó chỉ còn là một vấn đề kỹ thuật, thay vì là pháp lý hay đạo đức”. Ông cũng nói sự bảo vệ khách hàng quyết liệt đó là lý do giúp mua sắm trực tuyến cất cánh ở Mỹ thật dễ dàng.■