acecook

Cảnh báo lỗ hổng bảo mật hệ thống ngân hàng và giải pháp bảo đảm an ninh, an toàn mạng

An ninh an toàn mạng
05/02/2025 06:06
Hệ thống ngân hàng ở các quốc gia trên thế giới cũng như ở Việt Nam luôn là những đơn vị tiên phong về công nghệ, ứng dụng thành tựu khoa học, kỹ thuật vào hoạt động quản lý, điều hành, thực hiện các dịch vụ tài chính... Bên cạnh hiệu quả thiết thực mang lại, nguy cơ lỗ hổng bảo mật xuất hiện trong hệ các ngân hàng, tạo điều kiện cho kẻ xấu lợi dụng tấn công gây mất an ninh, an toàn mạng, lừa đảo, chiếm đoạt tài sản, thông tin bí mật của ngân hàng và khách hàng luôn hiện hữa. Cảnh báo sớm lỗ hổng bảo mật để có các giải pháp bảo đảm an ninh, an toàn mạng là rất cần thiết.
aa
Khi 5G trở thành mục tiêu của tội phạm mạng Cảnh báo doanh nghiệp về 19 lỗ hổng bảo mật ảnh hưởng đến VMware Cảnh báo hàng loạt lỗ hổng bảo mật trong các sản phẩm của Microsoft 7 lỗ hổng bảo mật mới có thể ảnh hưởng đến các hệ thống tại Việt Nam

Lỗ hổng bảo mật hệ thống ngân hàng và nguyên nhân tồn tại

Trên thế giới những năm qua, đã xảy ra nhiều vụ tấn công lỗ hổng bảo mật các ngân hàng để thực hiện hành vi phạm tội. Những vụ tấn công gây mất an ninh, an toàn hệ thống mạng, lừa đảo, chiếm đoạt tài sản, chiếm đoạt thông tin bí mật của hệ thống ngân hàng và khách hàng diễn ra hàng ngày, hàng giờ. Vụ tấn công SWIFT vào Ngân hàng Bangladesh được báo chí truyền thông đăng tải vào năm 2016 là một ví dụ điển hình. Các đối tượng tấn công đã sử dụng thủ đoạn xâm nhập mã độc, khai thác lỗ hổng bảo mật của hệ thống SWIFT (Society for Worldwide Interbank Financial Telecommunication) để chuyển hơn 81 triệu đô la Mỹ từ Ngân hàng Trung ương Bangladesh đến các tài khoản cá nhân. Dù chỉ có một phần số tiền được chuyển đi, nhưng vụ việc đã gây ra sự chấn động đối với hệ thống ngân hàng số ở thời điểm đó về bài học tồn tại lỗ hổng bảo mật của các ngân hàng.

Tiếp nữa, vụ tấn công ngân hàng Equifax - một trong những tổ chức tín dụng lớn nhất thế giới vào năm 2017 cho thấy, các đối tượng đã khai thác lỗ hổng bảo mật của hệ thống của ngân hàng này và truy cập vào để đánh cắp thông tin bí mật của hơn 145 triệu người dân Mỹ. Hay vụ tấn công ngân hàng Central Bank of Russia, ngân hàng Trung ương Nga, năm 2018, đối tượng đã sử dụng mã độc để truy cập vào hệ thống ngân hàng và chuyển hơn 6 tỷ đồng từ các tài khoản của ngân hàng sang các tài khoản cá nhân tại một số quốc gia khác. Còn nhiều vụ việc tương tự như trên xảy ra liên tiếp từ năm 2019 đến nay.

Cảnh báo lỗ hổng bảo mật hệ thống ngân hàng và giải pháp bảo đảm an ninh, an toàn mạng

Theo các chuyên gia của Kaspersky, năm 2024, các cuộc tấn công do AI điều khiển nhằm bắt chước các kênh liên lạc hợp pháp sẽ gia tăng. Đồng thời, các đối tượng phạm tội sẽ lợi dụng sự phổ biến của hệ thống thanh toán trực tiếp, dẫn đến phần mềm độc hại clipboard ngày càng gia tăng. Phần mềm độc hại như Grandoreiro đã mở rộng mạng lưới ra toàn cầu, nhắm tới hơn 900 ngân hàng ở 40 quốc gia [1].

Ở Việt Nam, hiện có hơn 100 triệu dân, thì có khoảng 70 triệu người sử dụng Internet và các dịch vụ di động, kết nối 3G/4G phủ sóng toàn quốc. Tuy nhiên, theo khảo sát của Hiệp hội An toàn thông tin Việt Nam, hơn 50% các cuộc tiến công mạng là nhắm vào các tổ chức tài chính, ngân hàng. Trong khi đó, theo thống kê của Cục An toàn thông tin (Bộ Thông tin và Truyền thông) trong nửa đầu năm 2020, cơ quan này đã ghi nhận 2.017 cuộc tiến công mạng vào các hệ thống thông tin tại Việt Nam; trong đó, có 805 cuộc tiến công lừa đảo (phishing), 788 cuộc tiến công thay đổi giao diện (deface) và 296 cuộc tiến công cài mã độc (malware).

Theo Trang cảnh báo an toàn thông tin, Bộ Thông tin và Truyền thông, chỉ riêng năm 2023 đã tiếp nhận 17.400 phản ánh liên quan đến lừa đảo trực tuyến từ người dùng Internet. Quý I/2024, Cổng cảnh báo an toàn thông tin Việt Nam nhận hơn 4.100 phản ánh, trong đó, hơn 60% người dùng truy cập từ điện thoại cá nhân bị lừa đảo trực tuyến, với thủ đoạn chủ yếu của kẻ xấu là gửi đường link website lừa đảo để lấy cắp thông tin, mã giao dịch hoặc dụ nạn nhân cài ứng dụng app mobile độc hại, dẫn dụ vào OTT để tháo túng tâm lý; dụ người dùng vào một trang website lừa đảo, cài đặt ứng dụng, các web này có giao diện giống tuyệt đối với giao diện của các ngân hàng, người dùng vô thức thao tác trên trang web giả mạo và bị chiếm đoạt tài sản... [2].

Từ những vụ việc và con số nêu trên thấy rằng, ngành ngân hàng, đặc biệt là ngân hàng số đang phải đối mặt với những nguy cơ, thách thức không nhỏ gây mất an ninh, an toàn mạng. Các đối tượng phạm tội triệt để khai thác lỗ hổng bảo mật để tấn công vào hệ thống dữ liệu của ngân hàng thông qua các đối tác liên kết (tấn công qua trung gian); tấn công trực tiếp vào website thay đổi giao diện để tống tiền, lấy dữ liệu; thâm nhập hệ thống để thực hiện lệnh chuyển tiền nhằm chiếm đoạt thông tin, tài sản của ngân hàng và khách hàng; lập các website mạo danh ngân hàng để lừa đảo khách hàng... Thực tế cho thấy, lỗ hổng bảo mật luôn tồn tại trong hệ thống ngân hàng, dù các ngân hàng đã rất cố gắng triển khai nhiều biện pháp bảo đảm an ninh, an toàn mạng.

Nguyên nhân tồn tại lỗ hổng bảo mật trong hệ thống ngân hàng đến từ nhiều phía, từ phía ngân hàng, khách hàng và những kẻ tấn công. Về phía ngân hàng, một số ngân hàng chưa thực sự đầu tư thích đáng cho việc bảo mật hệ thống, nâng cấp an ninh, website, phần mềm; một số ngân hàng dù có sự đầu tư nhất định cho hệ thống bảo đảm an ninh, an toàn mạng, song quy trình kiểm soát của ngân hàng còn lỏng lẻo; một số ngân hàng không đủ năng lực, hạ tầng về công nghệ, phương tiện kỹ thuật kiểm sát hoạt động của hệ thống, dẫn đến những rủi ro gây mất an ninh, an toàn mạng.

Về phía khách hàng, nhiều người có tâm lý chủ quan, chưa quan tâm nhiều đến bảo mật thông tin cá nhân, thông tin tài khoản ngân hàng; sơ hở, mất cảnh giác, thiếu hiểu biết, thiếu kiến thức về sử dụng tài khoản số, thực diện các giao dịch tài chính của ngân hàng; không thực hiện hoặc bỏ qua các quy định nghiêm ngặt của quy trình bảo mật mà các ngân hàng đặt ra; không thường xuyên cập nhật các tính năng bảo mật mới mà hệ thống ngân hàng thông báo (không đổi mật khẩu; sử dụng mật khẩu dễ nhớ...). Về phía kẻ tấn công, luôn có âm mưu, ý đồ xấu, thực hiện nhiều thủ đoạn tinh vi đánh vào điểm yếu của ngân hàng, điểm yếu người dùng để đánh cắp thông tin, tài khoản, tiền gửi ngân hàng; hầu hết đối tượng tấn công có trình độ cao về khoa học, luôn tìm cách che giấu hành vi tội phạm, dấu vết điện tử thông qua việc sử dụng emailiar mạo, tài khoản giả mạo, sử dụng máy chủ ở nước ngoài...

Cảnh báo lỗ hổng bảo mật hệ thống ngân hàng và giải pháp bảo đảm an ninh, an toàn mạng

Giải pháp bảo đảm an ninh, an toàn mạng hệ thống ngân hàng

Xu hướng phát triển ngân hàng số ở Việt Nam là tất yếu, không thể đảo ngược với xu thế chung của thời đại. Với xu thế công nghệ số phát triển ngày càng hiện đại, cho phép các dịch vụ tài chính ngân hàng số cũng bắt kịp sự phát triển đó. Tuy nhiên, tiến trình phát triển luôn đi liền với những nguy cơ, thách thức. Tội phạm mạng sẽ triệt để lợi dụng sự tiến bộ của công nghệ để tấn công vào hệ thống ngân hàng số; triệt để khai thác các lỗ hổng bảo mật để tấn công hệ thống thông tin của ngân hàng, lừa đảo, chiếm đoạt thông tin, tài sản của khách hàng. Để bảo đảm cho dịch vụ ngân hàng số thông suốt, an toàn, chính xác, cần thực hiện đồng bộ các giải pháp an ninh, an toàn mạng từ phía ngân hàng và khách hàng, đó là:

Về phía ngân hàng:

Tăng cường công tác truyền thông, nâng cao nhận thức, kỹ năng bảo mật dữ liệu cá nhân, tránh rủi ro lộ, mất thông tin cá nhân khi thực hiện giao dịch trực tuyến đối với khách hàng. Tăng cường các biện pháp bảo mật dữ liệu thông tin, ngăn ngừa hành vi sử dụng, lợi dụng tài khoản thanh toán, thẻ ngân hàng... cho mục đích bất hợp pháp. Rà soát quy trình mở tài khoản thanh toán, phát hành thẻ ngân hàng, ví điện tử, ngăn ngừa nguy cơ lộ, mất thông tin, dữ liệu khách hàng.

Đầu tư nhiều hơn nữa cho hạ tầng tài chính, đảm bảo giao dịch không bị gián đoạn và có khả năng phục hồi nhanh nhất ngay cả khi có sự cố xảy ra. Nghiên cứu đầu tư thích đáng, có trọng tâm, trọng điểm cho công tác bảo đảm an ninh, an toàn mạng, bảo mật thông tin. Trong đó, cần nâng cấp hệ thống bảo mật thông tin bằng tường lửa, hệ thống phát hiện xâm nhập, hệ thống chống vi-rút xác thực đa thành tố, hệ thống phòng, chống thư rác, hệ thống lọc dữ liệu, công nghệ chữ ký số KPI, xác thực sinh trắc học.

Thực hiện dò quét lỗ hổng, điểm yếu của hệ thống Online Banking tối thiếu mỗi năm một lần hoặc khi tiếp nhận được những thông tin liên quan đến lỗ hổng, điểm yếu mới. Đánh giá mức độ tác động, rủi ro của từng lỗ hổng, điểm yếu về mặt kỹ thuật được phát hiện của hệ thống và đưa ra phương án, kế hoạch xử lý. Thực hiện triển khai cập nhật các bản vá bảo mật hoặc các biện pháp phòng ngừa kịp thời căn cứ theo đánh giá mức độ tác động, rủi ro. Đổi mới quy trình quản lý, giám sát hoạt động cung ứng dịch vụ ngân hàng điện tử và công tác phối hợp với cơ quan bảo vệ pháp luật để phát hiện và xử lý kịp thời các vi phạm liên quan.

Tiếp tục hoàn thiện cơ chế, chính sách, hành lang pháp lý về bảo đảm an ninh, an toàn mạng đối với hệ thống ngân hàng; xây dựng khung đánh giá rủi ro an ninh, an toàn thông tin mạng theo thông lệ quốc tế để chuẩn hóa hạ tầng an ninh, an toàn thông tin ngành ngân hàng.

Tham mưu các cơ quan chức năng thành lập các cơ quan chuyên trách thực hiện bảo vệ người tiêu dùng tài chính; theo dõi thường xuyên để cảnh báo tới các tổ chức cung ứng dịch vụ thanh toán tăng cường các biện pháp đảm bảo an ninh, an toàn trong thanh toán, yêu cầu các tổ chức cung ứng dịch vụ thanh toán, các tổ chức cung ứng dịch vụ trung gian thanh toán tăng cường thực hiện các biện pháp đảm bảo an ninh, an toàn phòng, chống hành vi lừa đảo, gian lận liên quan đến hoạt động thanh toán, trung gian thanh toán.

Phối hợp chặt chẽ với ngành Công an, Thông tin và Truyền thông triển khai mở rộng cho phép các ngân hàng kết nối, khai thác thông tin cơ sở dữ liệu quốc gia về dân cư và khai thác thông tin trên thẻ căn cước công dân gắn chíp để phục vụ xác minh chính xác thông tin nhận biết khách hàng, hạn chế hành vi gian lận, mạo danh, làm giả giấy tờ tùy thân khi thực hiện các giao dịch ngân hàng điện tử; kiểm tra, đánh giá an toàn bảo mật các hệ thống thông tin của các đơn vị trong ngành. Phối hợp với các đơn vị quản lý nhà nước, các đối tác công nghệ thông tin kịp thời nắm bắt các sự cố tình huống mất an toàn, bảo mật thông tin để có biện pháp ngăn chặn kịp thời. Cập nhật thông tin các lỗ hổng bảo mật được công bố có liên quan đến phần mềm hệ thống, hệ quản trị cơ sở dữ liệu và phần mềm ứng dụng theo thông tin từ Hệ thống tính điểm lỗ hổng phổ biến.

Về phía khách hàng:

Để ngăn ngừa rủi ro mất thông tin cá nhân, mất tiền trong tài khoản từ sự mất cảnh giác, từ hành vi tấn công lỗ hổng bảo mật hệ thống, phương tiện điện tử, khách hàng cần nâng cao nhận thức pháp luật, cảnh giác, ý thức bảo mật thông tin cá nhân, không chia sẻ các thông tin cá nhân, thông tin dịch vụ ngân hàng, thông tin giao dịch ngân hàng… lên mạng xã hội để tránh bị đối tượng lừa đảo lợi dụng thực hiện các hành vi lừa đảo, gian lận và chiếm đoạt tiền trong tài khoản khách hàng; tuyệt đối không cung cấp thông tin bảo mật tài khoản, thẻ ngân hàng, không thực hiện chuyển tiền khi nhận được yêu cầu từ các số điện thoại lạ hoặc qua môi trường mạng.

Không cung cấp thông tin bảo mật (tên đăng nhập, mật khẩu đăng nhập Internet Banking, mã OTP, thông tin thẻ,…) cho bất kỳ tổ chức, cá nhân không liên quan dưới bất cứ hình thức nào, như gọi điện, tin nhắn SMS, email, chat zalo, viber hoặc các link giả mạo…

Khi truy cập trang web ngân hàng, cần thận trọng, tự thao tác gõ đường dẫn, tuyệt đối không nhấn vào link lạ.

Kiểm tra kỹ nội dung tin nhắn nhận được, kể cả các tin nhắn thương hiệu từ các ngân hàng để phát hiện các tin nhắn giả mạo ngân hàng, không vội vã trả lời hay thực hiện theo nội dung tin nhắn, tuyệt đối không bấm vào các đường link có sẵn trong tin nhắn mạo danh ngân hàng.

PGS.TS Trần Mạnh Hùng

Học viện An ninh nhân dân

Tài liệu tham khảo

1. An ninh mạng năm 2024: Ngành ngân hàng đối mặt với những mối đe dọa gì? VietnamPlus, https:/wwwww.vietnamplus.vn.

1. Hải Đăng, Nhận diện lỗ hổng bảo mật, tránh “bẫy” lừ đảo qua ngân hàng, Báo Lao động điện tử, đăng 23/4/2024].

3. Chỉ thị số 01/CT-NHNN ngày 07/01/2021 của Thống đốc NHNN về tổ chức thực hiện các nhiệm vụ trọng tâm của ngành Ngân hàng trong năm 2021.

4. Chỉ thị số 01/CT-NHNN ngày 13/01/2022 của Thống đốc NHNN về tổ chức thực hiện các nhiệm vụ trọng tâm của ngành Ngân hàng trong năm 2022.

5. Chỉ thị số 02/CT-NHNN ngày 13/01/2022 của Thống đốc NHNN về việc đẩy mạnh chuyển đổi số và bảo đảm an ninh, ATTT trong hoạt động ngân hàng.

mca
Tin bài khác
Tự động hóa cho quy trình mở: Tiêu chuẩn mới cho hệ sinh thái linh hoạt

Tự động hóa cho quy trình mở: Tiêu chuẩn mới cho hệ sinh thái linh hoạt

Kể từ lần đầu tiên được công bố bởi ExxonMobil tại Diễn đàn ARC năm 2016, sáng kiến Tự động hóa Quy trình mở (Open Process Autumation - OPA) đã không ngừng thu hút sự chú ý của cộng đồng công nghiệp toàn cầu. Giờ đây, sau nhiều năm phát triển, OPA đã đạt được một bước ngoặt mang tính chứng minh khi dự án "Ngọn hải đăng" của ExxonMobil chính thức đi vào vận hành, mở ra một tương lai mới cho các hệ thống điều khiển mở trong ngành sản xuất.
Bộ Quốc phòng công bố danh mục 6 bài toán lớn về khoa học, công nghệ và chuyển đổi số năm 2025

Bộ Quốc phòng công bố danh mục 6 bài toán lớn về khoa học, công nghệ và chuyển đổi số năm 2025

Nhằm triển khai các Nghị quyết của Bộ Chính trị và Chính phủ về phát triển khoa học, công nghệ và chuyển đổi số quốc gia, Bộ Quốc phòng vừa công bố 6 bài toán lớn năm 2025, kêu gọi doanh nghiệp công nghệ số Việt Nam cùng tham gia giải quyết.
Làn sóng nông nghiệp thông minh với robot và mạng 5G

Làn sóng nông nghiệp thông minh với robot và mạng 5G

Một liên minh công nghệ tại Scotland đang thúc đẩy cuộc cách mạng nông nghiệp thông minh thông qua sự kết hợp giữa robot tiên tiến và mạng truyền thông 5G di động. Dự án này không chỉ hướng tới cải thiện năng suất và tính bền vững trong canh tác, mà còn giải quyết thách thức lâu dài về kết nối tại các vùng nông thôn - một rào cản lớn trong việc ứng dụng các công nghệ tiên tiến vào sản xuất nông nghiệp.
Thị trường chứng khoán ngày 04/7: Bluechips giữ nhịp, dòng tiền thận trọng

Thị trường chứng khoán ngày 04/7: Bluechips giữ nhịp, dòng tiền thận trọng

Thị trường ngày 4/7 ghi nhận VN Index tăng nhẹ hơn 5 điểm nhờ lực kéo từ nhóm VN30, đặc biệt là cổ phiếu FPT và các ngân hàng lớn. Tuy nhiên, thanh khoản toàn thị trường trở lại quanh ngưỡng 20 nghìn tỷ đồng, cho thấy dòng tiền chưa thực sự nhập cuộc mạnh mẽ.
Tử vi vòng quay công nghệ ngày 5/7/2025: Tuổi Mão quý nhân phù trợ, tuổi Tuất sức khỏe giảm sút

Tử vi vòng quay công nghệ ngày 5/7/2025: Tuổi Mão quý nhân phù trợ, tuổi Tuất sức khỏe giảm sút

Những bí ẩn của khoa học đời sống là "món ăn" tinh thần không thể thiếu trong cuộc sống của con người. Tử vi vòng quay công nghệ xem tử vi 12 con giáp ngày 5/7/2025 cho tất cả các tuổi nhằm dự đoán vận hạn về công danh, tiền bạc, tình duyên, sức khỏe...
100 Giáo sư, Phó giáo sư được mời thỉnh giảng tại Đại học Quốc gia Hà Nội

100 Giáo sư, Phó giáo sư được mời thỉnh giảng tại Đại học Quốc gia Hà Nội

Ngày 3/7, Giám đốc Đại học Quốc gia Hà Nội (ĐHQG Hà Nội) đã ký quyết định về việc ban hành thí điểm chương trình giáo sư thỉnh giảng, mời và công nhận khoảng 100 nhà khoa học xuất sắc, chuyên gia, học giả uy tín trong và ngoài nước tham gia giảng dạy, nghiên cứu, chuyển giao tri thức tại ĐHQG Hà Nội giai đoạn 2025-2035.
Trí tuệ nhân tạo dẫn đầu cuộc cách mạng nhà máy thông minh

Trí tuệ nhân tạo dẫn đầu cuộc cách mạng nhà máy thông minh

Trong kỷ nguyên chuyển đổi số, trí tuệ nhân tạo (AI) không chỉ là một xu hướng công nghệ, mà đã trở thành yếu tố cốt lõi định hình lại ngành sản xuất toàn cầu. Mặc dù hơn 70% các dự án AI công nghiệp bị dừng lại sau giai đoạn thử nghiệm - theo một nghiên cứu của Diễn đàn Kinh tế Thế giới - những ví dụ thành công cho thấy AI có thể tích hợp hiệu quả và mang lại giá trị rõ ràng trong các nhà máy hiện đại.
Nhận định phiên giao dịch ngày 04/7: Cơ cấu danh mục, tránh mua đuổi

Nhận định phiên giao dịch ngày 04/7: Cơ cấu danh mục, tránh mua đuổi

Thị trường ngày 3/7 đánh dấu sự đứt mạch tăng liên tiếp của VN Index khi chỉ số quay đầu giảm điểm nhẹ trong bối cảnh thanh khoản tăng vọt. Trong khi lực bán gia tăng mạnh, khối ngoại lại bất ngờ mua ròng gần 2,3 nghìn tỷ đồng – tín hiệu trái chiều đáng chú ý. Trước những dấu hiệu chưa rõ ràng, trong phiên 4/7, nhà đầu tư nên tập trung cơ cấu danh mục và tránh mua đuổi.
Quỹ KH-CN Quốc gia chuyển mình kiến tạo, hướng tới đạt top 3 ASEAN về công bố quốc tế

Quỹ KH-CN Quốc gia chuyển mình kiến tạo, hướng tới đạt top 3 ASEAN về công bố quốc tế

Đại hội Đảng bộ Quỹ Phát triển Khoa học và Công nghệ (KH&CN) Quốc gia nhiệm kỳ 2025-2030 đánh dấu bước chuyển mình quan trọng của đơn vị trong tư duy lãnh đạo, từ vai trò giám sát sang kiến tạo phát triển. Với tầm nhìn đổi mới toàn diện, Quỹ đặt mục tiêu trở thành thiết chế tài chính công minh bạch, hiệu quả, giữ vai trò trung tâm trong tài trợ KH&CN và đổi mới sáng tạo quốc gia.
Để ngoại tệ không còn là trở ngại cho mỗi chuyến xuất ngoại

Để ngoại tệ không còn là trở ngại cho mỗi chuyến xuất ngoại

Với mạng lưới chi nhánh rộng khắp, chính sách tỷ giá cạnh tranh và công nghệ hiện đại, BIDV mang đến giải pháp giao dịch ngoại tệ hiệu quả, đáp ứng nhu cầu của khách hàng cá nhân cũng như doanh nghiệp.
Quảng cáo
moxa