Kẽ hở bảo mật ngân hàng: Rủi ro từ thẻ tín dụng

Rủi ro từ chiếc thẻ tín dụng "ai cà cũng được" - Ảnh: Ngọc Thắng

Tiếp xúc với Thanh Niên, gia đình anh Trương Đức Anh (Q.Hoàng Mai, Hà Nội) cho biết, cho đến ngày hôm qua (30.8) vẫn chưa nhận được câu trả lời nào về khoản tiền hơn 30 triệu đồng vừa bị đánh cắp khỏi tài khoản mở tại Ngân hàng (NH) TNHH Australia và New Zealand (ANZ) VN.

Những giao dịch bất thường

Trước đó, trong đơn khiếu nại anh Trương Đức Anh nêu rõ, thẻ tín dụng Visa Credit Card của anh mở tại ANZ đã sử dụng được hơn 3 năm. Vào lúc 12 giờ 32 phút ngày 21.8.2016, anh có nhận được tin nhắn từ dịch vụ SMS Banking của ANZ thông báo có giao dịch được hoàn thành tại trang web tiki.vn và cungmua.com. Lúc đó có khoảng 6 - 7 giao dịch thành công trong vòng 5 phút với mỗi giao dịch có giá trị từ 1.425.000 đồng đến 2.425.000 đồng. Nhận thấy sự việc bất thường, ngay lập tức, anh gọi điện cho tổng đài 19001276 của ANZ để yêu cầu tạm khóa thẻ tín dụng. Tuy nhiên, trong khoảng thời gian trao đổi với nhân viên hỗ trợ của ANZ, đã có thêm 4 giao dịch nữa được thực hiện thành công với giao dịch có giá trị cao nhất là 6.987.000 đồng. Như vậy, trong vòng 15 phút có tổng cộng 11 giao dịch được thực hiện từ tài khoản thẻ của anh với tổng giá trị là 30.997.000 đồng. “Ngay sáng hôm sau tôi đã lên phòng giao dịch của NH ANZ tại Hà Nội để viết đơn khiếu nại về những giao dịch bất thường này. Sau 2 ngày gửi đơn, NH đã gửi email xác nhận nhận được khiếu nại của tôi và chỉ nói sẽ xử lý khiếu nại trong vòng 120 ngày theo quy định của tổ chức thẻ quốc tế Visa”, anh Đức Anh trình bày.

Trong khi đó, anh Vương Quốc (TP.HCM) cũng đã “méo mặt” khi bị mất hơn 19 triệu đồng trong tài khoản thẻ Visa mở tại NH TNHH một thành viên HSBC (VN), do một kẻ lạ mặt đã giao dịch tại cửa hàng điện thoại. Khi trình báo thì anh được nhân viên quầy vặn hỏi “đưa đơn khiếu nại với mục đích gì” và khẳng định “lỗi là lỗi của khách hàng và đơn này sẽ không đi đến đâu đâu”. Sau đó, HSBC gửi mail cho anh viết rằng sau quá trình điều tra, phòng hỗ trợ khiếu nại tìm ra được cửa hàng mà anh đã thanh toán số tiền đó. Cuối thư HSBC luận theo các quy định và tuyên bố “rất tiếc sẽ không giải quyết trường hợp này, không đưa khiếu nại lên visa quốc tế”, và khuyên “nên liên hệ công an để giải quyết”.

Một khách hàng khác là anh V.T.P, giám đốc một công ty về kỹ thuật tại TP.HCM cũng cho biết có mở thẻ Master Debit tại Vietcombank. Sáng 16.8, vừa ngủ dậy, anh nhận được một loạt tin nhắn trong điện thoại. Mở ra thì nhìn thấy 14 tin nhắn thông báo về phát sinh giao dịch trong tài khoản với tổng số tiền gần 18 triệu đồng. Những thanh toán từ tin nhắn số 11 trở đi không thành công do số tiền trong tài khoản không đủ thanh toán theo yêu cầu.

Cũng liên quan đến thẻ tín dụng, khách hàng Phan Diệu Chương (P.Dịch Vọng, TP.Hà Nội), mở thẻ Visa tại NH TMCP Quốc tế (VIB). Sau đó gia đình khách hàng này cũng đã nhận được 3 giao dịch lạ với tổng số tiền hơn 1.500 USD. Khi NH trưng ra bằng chứng thể hiện có người mua hàng ký xác nhận giao dịch, cả hai cha con ông Chương đều khẳng định đó là chữ ký giả, và tài khoản phụ đã bị hack. Bằng mắt thường cũng có thể dễ dàng nhận ra chữ ký mẫu in trên thẻ và chữ ký của người mua hàng khác nhau hoàn toàn. Tuy nhiên, sự việc hiện còn đang gây tranh cãi giữa hai bên.

Bảo mật quá sơ sài

TS Cao Sĩ Kiêm, nguyên Thống đốc NHNN đánh giá, quy trình thanh toán trực tuyến đối với thẻ tín dụng hiện nay khá sơ sài. Khác với thẻ nội địa, khi sử dụng thẻ tín dụng để thanh toán trực tuyến, hệ thống chỉ yêu cầu nhập họ tên chủ thẻ, số thẻ, thời hạn hiệu lực và mã xác thực thẻ (CVV). Tất cả các thông tin này đều được in ở mặt trước và mặt sau của thẻ. Hiện rất ít NH sử dụng phương thức xác thực bằng mật khẩu dùng một lần (OTP - one time password) để gửi mật khẩu qua tin nhắn cho khách hàng xác nhận trước khi thanh toán.

Phó tổng giám đốc một NH lớn tại Hà Nội cho biết, ở nước ngoài tất cả các NH khi phát hành thẻ tín dụng đều cảnh báo khách hàng vô cùng kỹ lưỡng vì đây là chiếc thẻ tiện ích, xác thực của nó được dựa trên số thẻ, mã xác thực phía mặt sau và đặc biệt chữ ký của chủ thẻ. Khi thanh toán ở bất cứ điểm nào thì nhân viên phải đối chiếu tên, chủ thẻ và chữ ký trên hóa đơn xem có trùng với chữ ký trên thẻ không. Nếu thẻ bị mất tiền thì khách hàng sẽ được các trung tâm thanh toán trực thuộc NH đền bù ngay lập tức. “Tuy nhiên, ở VN nhiều NH không làm việc này, không phối hợp, tập huấn cho các tổ chức trung gian thanh toán. Khi khách hàng đến quẹt thẻ cũng không đối chiếu tên, chữ ký nên bất cứ ai cũng có thể dùng thẻ để sử dụng được. Điều này đã tạo kẽ hở để kẻ gian lợi dụng gây thiệt hại cho khách hàng”, vị này nói.

Ở góc nhìn khác, TS Nguyễn Hoàng Hải, Phó chủ tịch Hiệp hội Các nhà đầu tư tài chính (VAFI), nhìn nhận bản thân chiếc thẻ visa tiềm ẩn nhiều yếu tố rủi ro. Thẻ ghi nợ, thẻ ATM bảo mật nhiều lớp từ mật khẩu, OTP như Vietcombank vừa qua cũng bị hacker lợi dụng dựa trên sự chủ quan của khách hàng thì đối với thẻ tín dụng lại quá đơn giản. Đơn cử như việc thanh toán trên các trang web trực tuyến chỉ cần nhập số thẻ, thời hạn hiệu lực thẻ, mã CVV in phía sau là có thể thanh toán được. Lẽ ra khi thanh toán thẻ tín dụng cũng cần phải có mã xác thực gửi về điện thoại hoặc các thiết bị bảo mật của khách hàng. Chính vì không có những quy trình và lớp bảo vệ đó nên mới xảy ra các vụ mất tiền qua thẻ tín dụng như vừa qua.

“Một chiếc thẻ tín dụng có hạn mức hàng trăm triệu đồng, nhưng khi thanh toán, bất cứ ai cũng chỉ cần quẹt một cái là xong thì vô cùng rủi ro. Ít nhất, giao dịch đó phải có mã pin như thẻ ATM để khách hàng tự nhập vào mới đảm bảo an toàn”, TS Kiêm khuyến nghị.

Anh Vũ - Anh Vũ