Cảnh báo lỗ hổng bảo mật hệ thống ngân hàng và giải pháp bảo đảm an ninh, an toàn mạng

An ninh an toàn mạng
05/02/2025 06:06
Hệ thống ngân hàng ở các quốc gia trên thế giới cũng như ở Việt Nam luôn là những đơn vị tiên phong về công nghệ, ứng dụng thành tựu khoa học, kỹ thuật vào hoạt động quản lý, điều hành, thực hiện các dịch vụ tài chính... Bên cạnh hiệu quả thiết thực mang lại, nguy cơ lỗ hổng bảo mật xuất hiện trong hệ các ngân hàng, tạo điều kiện cho kẻ xấu lợi dụng tấn công gây mất an ninh, an toàn mạng, lừa đảo, chiếm đoạt tài sản, thông tin bí mật của ngân hàng và khách hàng luôn hiện hữa. Cảnh báo sớm lỗ hổng bảo mật để có các giải pháp bảo đảm an ninh, an toàn mạng là rất cần thiết.
aa
Khi 5G trở thành mục tiêu của tội phạm mạng Cảnh báo doanh nghiệp về 19 lỗ hổng bảo mật ảnh hưởng đến VMware Cảnh báo hàng loạt lỗ hổng bảo mật trong các sản phẩm của Microsoft 7 lỗ hổng bảo mật mới có thể ảnh hưởng đến các hệ thống tại Việt Nam

Lỗ hổng bảo mật hệ thống ngân hàng và nguyên nhân tồn tại

Trên thế giới những năm qua, đã xảy ra nhiều vụ tấn công lỗ hổng bảo mật các ngân hàng để thực hiện hành vi phạm tội. Những vụ tấn công gây mất an ninh, an toàn hệ thống mạng, lừa đảo, chiếm đoạt tài sản, chiếm đoạt thông tin bí mật của hệ thống ngân hàng và khách hàng diễn ra hàng ngày, hàng giờ. Vụ tấn công SWIFT vào Ngân hàng Bangladesh được báo chí truyền thông đăng tải vào năm 2016 là một ví dụ điển hình. Các đối tượng tấn công đã sử dụng thủ đoạn xâm nhập mã độc, khai thác lỗ hổng bảo mật của hệ thống SWIFT (Society for Worldwide Interbank Financial Telecommunication) để chuyển hơn 81 triệu đô la Mỹ từ Ngân hàng Trung ương Bangladesh đến các tài khoản cá nhân. Dù chỉ có một phần số tiền được chuyển đi, nhưng vụ việc đã gây ra sự chấn động đối với hệ thống ngân hàng số ở thời điểm đó về bài học tồn tại lỗ hổng bảo mật của các ngân hàng.

Tiếp nữa, vụ tấn công ngân hàng Equifax - một trong những tổ chức tín dụng lớn nhất thế giới vào năm 2017 cho thấy, các đối tượng đã khai thác lỗ hổng bảo mật của hệ thống của ngân hàng này và truy cập vào để đánh cắp thông tin bí mật của hơn 145 triệu người dân Mỹ. Hay vụ tấn công ngân hàng Central Bank of Russia, ngân hàng Trung ương Nga, năm 2018, đối tượng đã sử dụng mã độc để truy cập vào hệ thống ngân hàng và chuyển hơn 6 tỷ đồng từ các tài khoản của ngân hàng sang các tài khoản cá nhân tại một số quốc gia khác. Còn nhiều vụ việc tương tự như trên xảy ra liên tiếp từ năm 2019 đến nay.

Cảnh báo lỗ hổng bảo mật hệ thống ngân hàng và giải pháp bảo đảm an ninh, an toàn mạng

Theo các chuyên gia của Kaspersky, năm 2024, các cuộc tấn công do AI điều khiển nhằm bắt chước các kênh liên lạc hợp pháp sẽ gia tăng. Đồng thời, các đối tượng phạm tội sẽ lợi dụng sự phổ biến của hệ thống thanh toán trực tiếp, dẫn đến phần mềm độc hại clipboard ngày càng gia tăng. Phần mềm độc hại như Grandoreiro đã mở rộng mạng lưới ra toàn cầu, nhắm tới hơn 900 ngân hàng ở 40 quốc gia [1].

Ở Việt Nam, hiện có hơn 100 triệu dân, thì có khoảng 70 triệu người sử dụng Internet và các dịch vụ di động, kết nối 3G/4G phủ sóng toàn quốc. Tuy nhiên, theo khảo sát của Hiệp hội An toàn thông tin Việt Nam, hơn 50% các cuộc tiến công mạng là nhắm vào các tổ chức tài chính, ngân hàng. Trong khi đó, theo thống kê của Cục An toàn thông tin (Bộ Thông tin và Truyền thông) trong nửa đầu năm 2020, cơ quan này đã ghi nhận 2.017 cuộc tiến công mạng vào các hệ thống thông tin tại Việt Nam; trong đó, có 805 cuộc tiến công lừa đảo (phishing), 788 cuộc tiến công thay đổi giao diện (deface) và 296 cuộc tiến công cài mã độc (malware).

Theo Trang cảnh báo an toàn thông tin, Bộ Thông tin và Truyền thông, chỉ riêng năm 2023 đã tiếp nhận 17.400 phản ánh liên quan đến lừa đảo trực tuyến từ người dùng Internet. Quý I/2024, Cổng cảnh báo an toàn thông tin Việt Nam nhận hơn 4.100 phản ánh, trong đó, hơn 60% người dùng truy cập từ điện thoại cá nhân bị lừa đảo trực tuyến, với thủ đoạn chủ yếu của kẻ xấu là gửi đường link website lừa đảo để lấy cắp thông tin, mã giao dịch hoặc dụ nạn nhân cài ứng dụng app mobile độc hại, dẫn dụ vào OTT để tháo túng tâm lý; dụ người dùng vào một trang website lừa đảo, cài đặt ứng dụng, các web này có giao diện giống tuyệt đối với giao diện của các ngân hàng, người dùng vô thức thao tác trên trang web giả mạo và bị chiếm đoạt tài sản... [2].

Từ những vụ việc và con số nêu trên thấy rằng, ngành ngân hàng, đặc biệt là ngân hàng số đang phải đối mặt với những nguy cơ, thách thức không nhỏ gây mất an ninh, an toàn mạng. Các đối tượng phạm tội triệt để khai thác lỗ hổng bảo mật để tấn công vào hệ thống dữ liệu của ngân hàng thông qua các đối tác liên kết (tấn công qua trung gian); tấn công trực tiếp vào website thay đổi giao diện để tống tiền, lấy dữ liệu; thâm nhập hệ thống để thực hiện lệnh chuyển tiền nhằm chiếm đoạt thông tin, tài sản của ngân hàng và khách hàng; lập các website mạo danh ngân hàng để lừa đảo khách hàng... Thực tế cho thấy, lỗ hổng bảo mật luôn tồn tại trong hệ thống ngân hàng, dù các ngân hàng đã rất cố gắng triển khai nhiều biện pháp bảo đảm an ninh, an toàn mạng.

Nguyên nhân tồn tại lỗ hổng bảo mật trong hệ thống ngân hàng đến từ nhiều phía, từ phía ngân hàng, khách hàng và những kẻ tấn công. Về phía ngân hàng, một số ngân hàng chưa thực sự đầu tư thích đáng cho việc bảo mật hệ thống, nâng cấp an ninh, website, phần mềm; một số ngân hàng dù có sự đầu tư nhất định cho hệ thống bảo đảm an ninh, an toàn mạng, song quy trình kiểm soát của ngân hàng còn lỏng lẻo; một số ngân hàng không đủ năng lực, hạ tầng về công nghệ, phương tiện kỹ thuật kiểm sát hoạt động của hệ thống, dẫn đến những rủi ro gây mất an ninh, an toàn mạng.

Về phía khách hàng, nhiều người có tâm lý chủ quan, chưa quan tâm nhiều đến bảo mật thông tin cá nhân, thông tin tài khoản ngân hàng; sơ hở, mất cảnh giác, thiếu hiểu biết, thiếu kiến thức về sử dụng tài khoản số, thực diện các giao dịch tài chính của ngân hàng; không thực hiện hoặc bỏ qua các quy định nghiêm ngặt của quy trình bảo mật mà các ngân hàng đặt ra; không thường xuyên cập nhật các tính năng bảo mật mới mà hệ thống ngân hàng thông báo (không đổi mật khẩu; sử dụng mật khẩu dễ nhớ...). Về phía kẻ tấn công, luôn có âm mưu, ý đồ xấu, thực hiện nhiều thủ đoạn tinh vi đánh vào điểm yếu của ngân hàng, điểm yếu người dùng để đánh cắp thông tin, tài khoản, tiền gửi ngân hàng; hầu hết đối tượng tấn công có trình độ cao về khoa học, luôn tìm cách che giấu hành vi tội phạm, dấu vết điện tử thông qua việc sử dụng emailiar mạo, tài khoản giả mạo, sử dụng máy chủ ở nước ngoài...

Cảnh báo lỗ hổng bảo mật hệ thống ngân hàng và giải pháp bảo đảm an ninh, an toàn mạng

Giải pháp bảo đảm an ninh, an toàn mạng hệ thống ngân hàng

Xu hướng phát triển ngân hàng số ở Việt Nam là tất yếu, không thể đảo ngược với xu thế chung của thời đại. Với xu thế công nghệ số phát triển ngày càng hiện đại, cho phép các dịch vụ tài chính ngân hàng số cũng bắt kịp sự phát triển đó. Tuy nhiên, tiến trình phát triển luôn đi liền với những nguy cơ, thách thức. Tội phạm mạng sẽ triệt để lợi dụng sự tiến bộ của công nghệ để tấn công vào hệ thống ngân hàng số; triệt để khai thác các lỗ hổng bảo mật để tấn công hệ thống thông tin của ngân hàng, lừa đảo, chiếm đoạt thông tin, tài sản của khách hàng. Để bảo đảm cho dịch vụ ngân hàng số thông suốt, an toàn, chính xác, cần thực hiện đồng bộ các giải pháp an ninh, an toàn mạng từ phía ngân hàng và khách hàng, đó là:

Về phía ngân hàng:

Tăng cường công tác truyền thông, nâng cao nhận thức, kỹ năng bảo mật dữ liệu cá nhân, tránh rủi ro lộ, mất thông tin cá nhân khi thực hiện giao dịch trực tuyến đối với khách hàng. Tăng cường các biện pháp bảo mật dữ liệu thông tin, ngăn ngừa hành vi sử dụng, lợi dụng tài khoản thanh toán, thẻ ngân hàng... cho mục đích bất hợp pháp. Rà soát quy trình mở tài khoản thanh toán, phát hành thẻ ngân hàng, ví điện tử, ngăn ngừa nguy cơ lộ, mất thông tin, dữ liệu khách hàng.

Đầu tư nhiều hơn nữa cho hạ tầng tài chính, đảm bảo giao dịch không bị gián đoạn và có khả năng phục hồi nhanh nhất ngay cả khi có sự cố xảy ra. Nghiên cứu đầu tư thích đáng, có trọng tâm, trọng điểm cho công tác bảo đảm an ninh, an toàn mạng, bảo mật thông tin. Trong đó, cần nâng cấp hệ thống bảo mật thông tin bằng tường lửa, hệ thống phát hiện xâm nhập, hệ thống chống vi-rút xác thực đa thành tố, hệ thống phòng, chống thư rác, hệ thống lọc dữ liệu, công nghệ chữ ký số KPI, xác thực sinh trắc học.

Thực hiện dò quét lỗ hổng, điểm yếu của hệ thống Online Banking tối thiếu mỗi năm một lần hoặc khi tiếp nhận được những thông tin liên quan đến lỗ hổng, điểm yếu mới. Đánh giá mức độ tác động, rủi ro của từng lỗ hổng, điểm yếu về mặt kỹ thuật được phát hiện của hệ thống và đưa ra phương án, kế hoạch xử lý. Thực hiện triển khai cập nhật các bản vá bảo mật hoặc các biện pháp phòng ngừa kịp thời căn cứ theo đánh giá mức độ tác động, rủi ro. Đổi mới quy trình quản lý, giám sát hoạt động cung ứng dịch vụ ngân hàng điện tử và công tác phối hợp với cơ quan bảo vệ pháp luật để phát hiện và xử lý kịp thời các vi phạm liên quan.

Tiếp tục hoàn thiện cơ chế, chính sách, hành lang pháp lý về bảo đảm an ninh, an toàn mạng đối với hệ thống ngân hàng; xây dựng khung đánh giá rủi ro an ninh, an toàn thông tin mạng theo thông lệ quốc tế để chuẩn hóa hạ tầng an ninh, an toàn thông tin ngành ngân hàng.

Tham mưu các cơ quan chức năng thành lập các cơ quan chuyên trách thực hiện bảo vệ người tiêu dùng tài chính; theo dõi thường xuyên để cảnh báo tới các tổ chức cung ứng dịch vụ thanh toán tăng cường các biện pháp đảm bảo an ninh, an toàn trong thanh toán, yêu cầu các tổ chức cung ứng dịch vụ thanh toán, các tổ chức cung ứng dịch vụ trung gian thanh toán tăng cường thực hiện các biện pháp đảm bảo an ninh, an toàn phòng, chống hành vi lừa đảo, gian lận liên quan đến hoạt động thanh toán, trung gian thanh toán.

Phối hợp chặt chẽ với ngành Công an, Thông tin và Truyền thông triển khai mở rộng cho phép các ngân hàng kết nối, khai thác thông tin cơ sở dữ liệu quốc gia về dân cư và khai thác thông tin trên thẻ căn cước công dân gắn chíp để phục vụ xác minh chính xác thông tin nhận biết khách hàng, hạn chế hành vi gian lận, mạo danh, làm giả giấy tờ tùy thân khi thực hiện các giao dịch ngân hàng điện tử; kiểm tra, đánh giá an toàn bảo mật các hệ thống thông tin của các đơn vị trong ngành. Phối hợp với các đơn vị quản lý nhà nước, các đối tác công nghệ thông tin kịp thời nắm bắt các sự cố tình huống mất an toàn, bảo mật thông tin để có biện pháp ngăn chặn kịp thời. Cập nhật thông tin các lỗ hổng bảo mật được công bố có liên quan đến phần mềm hệ thống, hệ quản trị cơ sở dữ liệu và phần mềm ứng dụng theo thông tin từ Hệ thống tính điểm lỗ hổng phổ biến.

Về phía khách hàng:

Để ngăn ngừa rủi ro mất thông tin cá nhân, mất tiền trong tài khoản từ sự mất cảnh giác, từ hành vi tấn công lỗ hổng bảo mật hệ thống, phương tiện điện tử, khách hàng cần nâng cao nhận thức pháp luật, cảnh giác, ý thức bảo mật thông tin cá nhân, không chia sẻ các thông tin cá nhân, thông tin dịch vụ ngân hàng, thông tin giao dịch ngân hàng… lên mạng xã hội để tránh bị đối tượng lừa đảo lợi dụng thực hiện các hành vi lừa đảo, gian lận và chiếm đoạt tiền trong tài khoản khách hàng; tuyệt đối không cung cấp thông tin bảo mật tài khoản, thẻ ngân hàng, không thực hiện chuyển tiền khi nhận được yêu cầu từ các số điện thoại lạ hoặc qua môi trường mạng.

Không cung cấp thông tin bảo mật (tên đăng nhập, mật khẩu đăng nhập Internet Banking, mã OTP, thông tin thẻ,…) cho bất kỳ tổ chức, cá nhân không liên quan dưới bất cứ hình thức nào, như gọi điện, tin nhắn SMS, email, chat zalo, viber hoặc các link giả mạo…

Khi truy cập trang web ngân hàng, cần thận trọng, tự thao tác gõ đường dẫn, tuyệt đối không nhấn vào link lạ.

Kiểm tra kỹ nội dung tin nhắn nhận được, kể cả các tin nhắn thương hiệu từ các ngân hàng để phát hiện các tin nhắn giả mạo ngân hàng, không vội vã trả lời hay thực hiện theo nội dung tin nhắn, tuyệt đối không bấm vào các đường link có sẵn trong tin nhắn mạo danh ngân hàng.

PGS.TS Trần Mạnh Hùng

Học viện An ninh nhân dân

Tài liệu tham khảo

1. An ninh mạng năm 2024: Ngành ngân hàng đối mặt với những mối đe dọa gì? VietnamPlus, https:/wwwww.vietnamplus.vn.

1. Hải Đăng, Nhận diện lỗ hổng bảo mật, tránh “bẫy” lừ đảo qua ngân hàng, Báo Lao động điện tử, đăng 23/4/2024].

3. Chỉ thị số 01/CT-NHNN ngày 07/01/2021 của Thống đốc NHNN về tổ chức thực hiện các nhiệm vụ trọng tâm của ngành Ngân hàng trong năm 2021.

4. Chỉ thị số 01/CT-NHNN ngày 13/01/2022 của Thống đốc NHNN về tổ chức thực hiện các nhiệm vụ trọng tâm của ngành Ngân hàng trong năm 2022.

5. Chỉ thị số 02/CT-NHNN ngày 13/01/2022 của Thống đốc NHNN về việc đẩy mạnh chuyển đổi số và bảo đảm an ninh, ATTT trong hoạt động ngân hàng.

vcca2026
Tin bài khác
Rockwell Automation tăng cường bảo vệ an ninh mạng cho hệ thống công nghiệp

Rockwell Automation tăng cường bảo vệ an ninh mạng cho hệ thống công nghiệp

Trong bối cảnh các cuộc tấn công mạng nhằm vào hệ thống công nghệ vận hành (OT) ngày càng gia tăng, Rockwell Automation vừa công bố mở rộng bộ giải pháp SecureOT với ba dịch vụ mới nhằm giúp các doanh nghiệp sản xuất và hạ tầng trọng yếu nâng cao khả năng phòng vệ an ninh mạng.
Vành đai 2.5 và hạ tầng metro tăng sức hút cho bất động sản dọc tuyến Nguyễn Trãi

Vành đai 2.5 và hạ tầng metro tăng sức hút cho bất động sản dọc tuyến Nguyễn Trãi

Cùng với tuyến metro Cát Linh - Hà Đông, các đoạn cuối của Vành đai 2.5 vừa khởi công, bổ sung mạng lưới kết nối tại khu vực Nguyễn Trãi. Việc tăng tốc triển khai hạ tầng góp phần tăng hấp lực cho các dự án bất động sản dọc tuyến.
Tử vi vòng quay công nghệ ngày 5/7/2026: Tuổi Thân đón cơ hội thăng tiến, tuổi Sửu cần tránh quyết định nóng vội

Tử vi vòng quay công nghệ ngày 5/7/2026: Tuổi Thân đón cơ hội thăng tiến, tuổi Sửu cần tránh quyết định nóng vội

Những bí ẩn của khoa học đời sống là "món ăn" tinh thần không thể thiếu trong cuộc sống của con người. Tử vi vòng quay công nghệ xem tử vi 12 con giáp ngày 5/7/2026 cho tất cả các tuổi nhằm dự đoán vận hạn về công danh, tiền bạc, tình duyên và sức khỏe.
Từ cảm biến MEMS đến AI công nghiệp: Những tín hiệu đáng chú ý từ SEMICONNECT 2026

Từ cảm biến MEMS đến AI công nghiệp: Những tín hiệu đáng chú ý từ SEMICONNECT 2026

Ngày 03/7 tại TP.Hồ Chí Minh, Hội nghị chuyên sâu ngành bán dẫn và điện tử SEMICONNECT 2026 đã diễn ra thành công rực rỡ. Hội nghị quy tụ các chuyên gia, doanh nghiệp, nhà nghiên cứu và nhà hoạch định chính sách nhằm trao đổi về những hướng đi mới cho ngành công nghiệp bán dẫn Việt Nam trong bối cảnh chuỗi cung ứng toàn cầu đang tái cấu trúc mạnh mẽ.
Vì sao chuyển giao tri thức kỹ thuật trở thành lợi thế cạnh tranh mới?

Vì sao chuyển giao tri thức kỹ thuật trở thành lợi thế cạnh tranh mới?

Trong kỷ nguyên sản xuất thông minh, nơi AI, robot và các hệ thống tự động hóa ngày càng chi phối hoạt động của nhà máy, bài toán không còn chỉ nằm ở việc đầu tư công nghệ. Điều quyết định năng lực cạnh tranh của doanh nghiệp đang dần chuyển sang khả năng quản lý, bảo tồn và chuyển giao tri thức kỹ thuật một cách hiệu quả.
Doanh nghiệp điện tử Việt Nam tăng tốc chuyển đổi số với AI và Smart Factory

Doanh nghiệp điện tử Việt Nam tăng tốc chuyển đổi số với AI và Smart Factory

Thiếu lao động, áp lực từ chuỗi cung ứng toàn cầu và yêu cầu nâng cao năng suất đang thúc đẩy doanh nghiệp điện tử Việt Nam đẩy mạnh ứng dụng AI, robot, Digital Twin và các giải pháp sản xuất thông minh. Những vấn đề này đã được các chuyên gia, doanh nghiệp cùng trao đổi tại diễn đàn do Hội Tự động hóa Việt Nam tổ chức.
Trường Đại học FPT, Nông lâm TPHCM công bố điểm sàn

Trường Đại học FPT, Nông lâm TPHCM công bố điểm sàn

Trường Đại học FPT công bố điểm sàn năm 2026 thấp nhất là 18 điểm, cao nhất là 21 điểm. Trong khí đó, Trường Đại học Nông lâm TPHCM công bố điểm sàn các ngành kỹ thuật cao hơn năm 2025 là 3 điểm.
AI và tự động hóa: Động lực nâng cao năng lực cạnh tranh của doanh nghiệp ô tô SME

AI và tự động hóa: Động lực nâng cao năng lực cạnh tranh của doanh nghiệp ô tô SME

Trong bối cảnh ngành công nghiệp ô tô đang bước vào giai đoạn chuyển đổi mạnh mẽ dưới tác động của số hóa, trí tuệ nhân tạo (AI) và sản xuất thông minh, các doanh nghiệp vừa và nhỏ (SME) đứng trước cả cơ hội lẫn thách thức trong việc nâng cao năng lực cạnh tranh. Hội thảo “Chiến lược chuyển đổi số, AI và tự động hóa cho doanh nghiệp ô tô vừa và nhỏ” diễn ra ngày 3/7 tại TP.HCM đã mang đến nhiều góc nhìn thực tiễn về lộ trình ứng dụng công nghệ, giúp doanh nghiệp tiếp cận hiệu quả các xu hướng mới của ngành.
Tử vi vòng quay công nghệ ngày 4/7/2026: Tuổi Dậu đón vận may tài lộc, tuổi Tỵ đề phòng mâu thuẫn nơi công sở

Tử vi vòng quay công nghệ ngày 4/7/2026: Tuổi Dậu đón vận may tài lộc, tuổi Tỵ đề phòng mâu thuẫn nơi công sở

Những bí ẩn của khoa học đời sống là "món ăn" tinh thần không thể thiếu trong cuộc sống của con người. Tử vi vòng quay công nghệ xem tử vi 12 con giáp ngày 4/7/2026 cho tất cả các tuổi nhằm dự đoán vận hạn về công danh, tiền bạc, tình duyên và sức khỏe.
Thị trường chứng khoán ngày 3/7: Dòng tiền co lại, VN Index thêm một phiên giảm nhẹ

Thị trường chứng khoán ngày 3/7: Dòng tiền co lại, VN Index thêm một phiên giảm nhẹ

VN Index tiếp tục giảm nhẹ khi tạo nến Doji và rút chân nhẹ từ đường MA50 ngày, cho thấy thị trường vẫn giằng co mạnh. Thanh khoản giảm, khối ngoại bán ròng 805 tỷ đồng và sắc đỏ áp đảo khiến tâm lý nhà đầu tư chưa thể thoát khỏi trạng thái thận trọng.
vn-web
song-gia-tri
gao-doc