Lỗ hổng bảo mật hệ thống ngân hàng và nguyên nhân tồn tại
Trên thế giới những năm qua, đã xảy ra nhiều vụ tấn công lỗ hổng bảo mật các ngân hàng để thực hiện hành vi phạm tội. Những vụ tấn công gây mất an ninh, an toàn hệ thống mạng, lừa đảo, chiếm đoạt tài sản, chiếm đoạt thông tin bí mật của hệ thống ngân hàng và khách hàng diễn ra hàng ngày, hàng giờ. Vụ tấn công SWIFT vào Ngân hàng Bangladesh được báo chí truyền thông đăng tải vào năm 2016 là một ví dụ điển hình. Các đối tượng tấn công đã sử dụng thủ đoạn xâm nhập mã độc, khai thác lỗ hổng bảo mật của hệ thống SWIFT (Society for Worldwide Interbank Financial Telecommunication) để chuyển hơn 81 triệu đô la Mỹ từ Ngân hàng Trung ương Bangladesh đến các tài khoản cá nhân. Dù chỉ có một phần số tiền được chuyển đi, nhưng vụ việc đã gây ra sự chấn động đối với hệ thống ngân hàng số ở thời điểm đó về bài học tồn tại lỗ hổng bảo mật của các ngân hàng.
Tiếp nữa, vụ tấn công ngân hàng Equifax - một trong những tổ chức tín dụng lớn nhất thế giới vào năm 2017 cho thấy, các đối tượng đã khai thác lỗ hổng bảo mật của hệ thống của ngân hàng này và truy cập vào để đánh cắp thông tin bí mật của hơn 145 triệu người dân Mỹ. Hay vụ tấn công ngân hàng Central Bank of Russia, ngân hàng Trung ương Nga, năm 2018, đối tượng đã sử dụng mã độc để truy cập vào hệ thống ngân hàng và chuyển hơn 6 tỷ đồng từ các tài khoản của ngân hàng sang các tài khoản cá nhân tại một số quốc gia khác. Còn nhiều vụ việc tương tự như trên xảy ra liên tiếp từ năm 2019 đến nay.
Theo các chuyên gia của Kaspersky, năm 2024, các cuộc tấn công do AI điều khiển nhằm bắt chước các kênh liên lạc hợp pháp sẽ gia tăng. Đồng thời, các đối tượng phạm tội sẽ lợi dụng sự phổ biến của hệ thống thanh toán trực tiếp, dẫn đến phần mềm độc hại clipboard ngày càng gia tăng. Phần mềm độc hại như Grandoreiro đã mở rộng mạng lưới ra toàn cầu, nhắm tới hơn 900 ngân hàng ở 40 quốc gia [1].
Ở Việt Nam, hiện có hơn 100 triệu dân, thì có khoảng 70 triệu người sử dụng Internet và các dịch vụ di động, kết nối 3G/4G phủ sóng toàn quốc. Tuy nhiên, theo khảo sát của Hiệp hội An toàn thông tin Việt Nam, hơn 50% các cuộc tiến công mạng là nhắm vào các tổ chức tài chính, ngân hàng. Trong khi đó, theo thống kê của Cục An toàn thông tin (Bộ Thông tin và Truyền thông) trong nửa đầu năm 2020, cơ quan này đã ghi nhận 2.017 cuộc tiến công mạng vào các hệ thống thông tin tại Việt Nam; trong đó, có 805 cuộc tiến công lừa đảo (phishing), 788 cuộc tiến công thay đổi giao diện (deface) và 296 cuộc tiến công cài mã độc (malware).
Theo Trang cảnh báo an toàn thông tin, Bộ Thông tin và Truyền thông, chỉ riêng năm 2023 đã tiếp nhận 17.400 phản ánh liên quan đến lừa đảo trực tuyến từ người dùng Internet. Quý I/2024, Cổng cảnh báo an toàn thông tin Việt Nam nhận hơn 4.100 phản ánh, trong đó, hơn 60% người dùng truy cập từ điện thoại cá nhân bị lừa đảo trực tuyến, với thủ đoạn chủ yếu của kẻ xấu là gửi đường link website lừa đảo để lấy cắp thông tin, mã giao dịch hoặc dụ nạn nhân cài ứng dụng app mobile độc hại, dẫn dụ vào OTT để tháo túng tâm lý; dụ người dùng vào một trang website lừa đảo, cài đặt ứng dụng, các web này có giao diện giống tuyệt đối với giao diện của các ngân hàng, người dùng vô thức thao tác trên trang web giả mạo và bị chiếm đoạt tài sản... [2].
Từ những vụ việc và con số nêu trên thấy rằng, ngành ngân hàng, đặc biệt là ngân hàng số đang phải đối mặt với những nguy cơ, thách thức không nhỏ gây mất an ninh, an toàn mạng. Các đối tượng phạm tội triệt để khai thác lỗ hổng bảo mật để tấn công vào hệ thống dữ liệu của ngân hàng thông qua các đối tác liên kết (tấn công qua trung gian); tấn công trực tiếp vào website thay đổi giao diện để tống tiền, lấy dữ liệu; thâm nhập hệ thống để thực hiện lệnh chuyển tiền nhằm chiếm đoạt thông tin, tài sản của ngân hàng và khách hàng; lập các website mạo danh ngân hàng để lừa đảo khách hàng... Thực tế cho thấy, lỗ hổng bảo mật luôn tồn tại trong hệ thống ngân hàng, dù các ngân hàng đã rất cố gắng triển khai nhiều biện pháp bảo đảm an ninh, an toàn mạng.
Nguyên nhân tồn tại lỗ hổng bảo mật trong hệ thống ngân hàng đến từ nhiều phía, từ phía ngân hàng, khách hàng và những kẻ tấn công. Về phía ngân hàng, một số ngân hàng chưa thực sự đầu tư thích đáng cho việc bảo mật hệ thống, nâng cấp an ninh, website, phần mềm; một số ngân hàng dù có sự đầu tư nhất định cho hệ thống bảo đảm an ninh, an toàn mạng, song quy trình kiểm soát của ngân hàng còn lỏng lẻo; một số ngân hàng không đủ năng lực, hạ tầng về công nghệ, phương tiện kỹ thuật kiểm sát hoạt động của hệ thống, dẫn đến những rủi ro gây mất an ninh, an toàn mạng.
Về phía khách hàng, nhiều người có tâm lý chủ quan, chưa quan tâm nhiều đến bảo mật thông tin cá nhân, thông tin tài khoản ngân hàng; sơ hở, mất cảnh giác, thiếu hiểu biết, thiếu kiến thức về sử dụng tài khoản số, thực diện các giao dịch tài chính của ngân hàng; không thực hiện hoặc bỏ qua các quy định nghiêm ngặt của quy trình bảo mật mà các ngân hàng đặt ra; không thường xuyên cập nhật các tính năng bảo mật mới mà hệ thống ngân hàng thông báo (không đổi mật khẩu; sử dụng mật khẩu dễ nhớ...). Về phía kẻ tấn công, luôn có âm mưu, ý đồ xấu, thực hiện nhiều thủ đoạn tinh vi đánh vào điểm yếu của ngân hàng, điểm yếu người dùng để đánh cắp thông tin, tài khoản, tiền gửi ngân hàng; hầu hết đối tượng tấn công có trình độ cao về khoa học, luôn tìm cách che giấu hành vi tội phạm, dấu vết điện tử thông qua việc sử dụng emailiar mạo, tài khoản giả mạo, sử dụng máy chủ ở nước ngoài...
Giải pháp bảo đảm an ninh, an toàn mạng hệ thống ngân hàng
Xu hướng phát triển ngân hàng số ở Việt Nam là tất yếu, không thể đảo ngược với xu thế chung của thời đại. Với xu thế công nghệ số phát triển ngày càng hiện đại, cho phép các dịch vụ tài chính ngân hàng số cũng bắt kịp sự phát triển đó. Tuy nhiên, tiến trình phát triển luôn đi liền với những nguy cơ, thách thức. Tội phạm mạng sẽ triệt để lợi dụng sự tiến bộ của công nghệ để tấn công vào hệ thống ngân hàng số; triệt để khai thác các lỗ hổng bảo mật để tấn công hệ thống thông tin của ngân hàng, lừa đảo, chiếm đoạt thông tin, tài sản của khách hàng. Để bảo đảm cho dịch vụ ngân hàng số thông suốt, an toàn, chính xác, cần thực hiện đồng bộ các giải pháp an ninh, an toàn mạng từ phía ngân hàng và khách hàng, đó là:
Về phía ngân hàng:
Tăng cường công tác truyền thông, nâng cao nhận thức, kỹ năng bảo mật dữ liệu cá nhân, tránh rủi ro lộ, mất thông tin cá nhân khi thực hiện giao dịch trực tuyến đối với khách hàng. Tăng cường các biện pháp bảo mật dữ liệu thông tin, ngăn ngừa hành vi sử dụng, lợi dụng tài khoản thanh toán, thẻ ngân hàng... cho mục đích bất hợp pháp. Rà soát quy trình mở tài khoản thanh toán, phát hành thẻ ngân hàng, ví điện tử, ngăn ngừa nguy cơ lộ, mất thông tin, dữ liệu khách hàng.
Đầu tư nhiều hơn nữa cho hạ tầng tài chính, đảm bảo giao dịch không bị gián đoạn và có khả năng phục hồi nhanh nhất ngay cả khi có sự cố xảy ra. Nghiên cứu đầu tư thích đáng, có trọng tâm, trọng điểm cho công tác bảo đảm an ninh, an toàn mạng, bảo mật thông tin. Trong đó, cần nâng cấp hệ thống bảo mật thông tin bằng tường lửa, hệ thống phát hiện xâm nhập, hệ thống chống vi-rút xác thực đa thành tố, hệ thống phòng, chống thư rác, hệ thống lọc dữ liệu, công nghệ chữ ký số KPI, xác thực sinh trắc học.
Thực hiện dò quét lỗ hổng, điểm yếu của hệ thống Online Banking tối thiếu mỗi năm một lần hoặc khi tiếp nhận được những thông tin liên quan đến lỗ hổng, điểm yếu mới. Đánh giá mức độ tác động, rủi ro của từng lỗ hổng, điểm yếu về mặt kỹ thuật được phát hiện của hệ thống và đưa ra phương án, kế hoạch xử lý. Thực hiện triển khai cập nhật các bản vá bảo mật hoặc các biện pháp phòng ngừa kịp thời căn cứ theo đánh giá mức độ tác động, rủi ro. Đổi mới quy trình quản lý, giám sát hoạt động cung ứng dịch vụ ngân hàng điện tử và công tác phối hợp với cơ quan bảo vệ pháp luật để phát hiện và xử lý kịp thời các vi phạm liên quan.
Tiếp tục hoàn thiện cơ chế, chính sách, hành lang pháp lý về bảo đảm an ninh, an toàn mạng đối với hệ thống ngân hàng; xây dựng khung đánh giá rủi ro an ninh, an toàn thông tin mạng theo thông lệ quốc tế để chuẩn hóa hạ tầng an ninh, an toàn thông tin ngành ngân hàng.
Tham mưu các cơ quan chức năng thành lập các cơ quan chuyên trách thực hiện bảo vệ người tiêu dùng tài chính; theo dõi thường xuyên để cảnh báo tới các tổ chức cung ứng dịch vụ thanh toán tăng cường các biện pháp đảm bảo an ninh, an toàn trong thanh toán, yêu cầu các tổ chức cung ứng dịch vụ thanh toán, các tổ chức cung ứng dịch vụ trung gian thanh toán tăng cường thực hiện các biện pháp đảm bảo an ninh, an toàn phòng, chống hành vi lừa đảo, gian lận liên quan đến hoạt động thanh toán, trung gian thanh toán.
Phối hợp chặt chẽ với ngành Công an, Thông tin và Truyền thông triển khai mở rộng cho phép các ngân hàng kết nối, khai thác thông tin cơ sở dữ liệu quốc gia về dân cư và khai thác thông tin trên thẻ căn cước công dân gắn chíp để phục vụ xác minh chính xác thông tin nhận biết khách hàng, hạn chế hành vi gian lận, mạo danh, làm giả giấy tờ tùy thân khi thực hiện các giao dịch ngân hàng điện tử; kiểm tra, đánh giá an toàn bảo mật các hệ thống thông tin của các đơn vị trong ngành. Phối hợp với các đơn vị quản lý nhà nước, các đối tác công nghệ thông tin kịp thời nắm bắt các sự cố tình huống mất an toàn, bảo mật thông tin để có biện pháp ngăn chặn kịp thời. Cập nhật thông tin các lỗ hổng bảo mật được công bố có liên quan đến phần mềm hệ thống, hệ quản trị cơ sở dữ liệu và phần mềm ứng dụng theo thông tin từ Hệ thống tính điểm lỗ hổng phổ biến.
Về phía khách hàng:
Để ngăn ngừa rủi ro mất thông tin cá nhân, mất tiền trong tài khoản từ sự mất cảnh giác, từ hành vi tấn công lỗ hổng bảo mật hệ thống, phương tiện điện tử, khách hàng cần nâng cao nhận thức pháp luật, cảnh giác, ý thức bảo mật thông tin cá nhân, không chia sẻ các thông tin cá nhân, thông tin dịch vụ ngân hàng, thông tin giao dịch ngân hàng… lên mạng xã hội để tránh bị đối tượng lừa đảo lợi dụng thực hiện các hành vi lừa đảo, gian lận và chiếm đoạt tiền trong tài khoản khách hàng; tuyệt đối không cung cấp thông tin bảo mật tài khoản, thẻ ngân hàng, không thực hiện chuyển tiền khi nhận được yêu cầu từ các số điện thoại lạ hoặc qua môi trường mạng.
Không cung cấp thông tin bảo mật (tên đăng nhập, mật khẩu đăng nhập Internet Banking, mã OTP, thông tin thẻ,…) cho bất kỳ tổ chức, cá nhân không liên quan dưới bất cứ hình thức nào, như gọi điện, tin nhắn SMS, email, chat zalo, viber hoặc các link giả mạo…
Khi truy cập trang web ngân hàng, cần thận trọng, tự thao tác gõ đường dẫn, tuyệt đối không nhấn vào link lạ.
Kiểm tra kỹ nội dung tin nhắn nhận được, kể cả các tin nhắn thương hiệu từ các ngân hàng để phát hiện các tin nhắn giả mạo ngân hàng, không vội vã trả lời hay thực hiện theo nội dung tin nhắn, tuyệt đối không bấm vào các đường link có sẵn trong tin nhắn mạo danh ngân hàng.
PGS.TS Trần Mạnh Hùng
Học viện An ninh nhân dân
Tài liệu tham khảo
1. An ninh mạng năm 2024: Ngành ngân hàng đối mặt với những mối đe dọa gì? VietnamPlus, https:/wwwww.vietnamplus.vn.
1. Hải Đăng, Nhận diện lỗ hổng bảo mật, tránh “bẫy” lừ đảo qua ngân hàng, Báo Lao động điện tử, đăng 23/4/2024].
3. Chỉ thị số 01/CT-NHNN ngày 07/01/2021 của Thống đốc NHNN về tổ chức thực hiện các nhiệm vụ trọng tâm của ngành Ngân hàng trong năm 2021.
4. Chỉ thị số 01/CT-NHNN ngày 13/01/2022 của Thống đốc NHNN về tổ chức thực hiện các nhiệm vụ trọng tâm của ngành Ngân hàng trong năm 2022.
5. Chỉ thị số 02/CT-NHNN ngày 13/01/2022 của Thống đốc NHNN về việc đẩy mạnh chuyển đổi số và bảo đảm an ninh, ATTT trong hoạt động ngân hàng.
