Vì sao không cần mã OTP mà thẻ vẫn bị trừ tiền?
Chia sẻ với báo chí, chị N.T.T.L tại Hà Nội cho biết, sáng 30/5, chị nhận được một loạt tin nhắn trừ tiền trong tài khoản thẻ VCB MasterCard, thời gian từ 1h16 đến 1h33 sáng. Có tất cả 7 giao dịch thành công khiến chị bị trừ hơn 24 triệu đồng, đều thanh toán cho dịch vụ quảng cáo trên Facebook mà không yêu cầu nhập mã OTP. Sau khi mất tiền, chị L. đã gọi đến tổng đài VCB và được hướng dẫn khiếu nại. Song chị L. không khỏi băn khoăn, khi thẻ tín dụng được cất giữ cẩn thận nhưng vẫn bị lộ thông tin.
Một trường hợp khác là anh N.M.H cũng bị trừ tiền khi dùng thẻ MSB Creditcard. Theo đó, anh H. có mua một dịch vụ trên internet tính phí theo năm và thanh toán bằng thẻ. Sau một năm dịch vụ này tự động gia hạn mà không có thông báo với khách hàng, đồng thời trừ tiền trên thẻ 200 USD, tương đương hơn 4 triệu đồng, cũng không yêu cầu mã OTP. Anh H. đã liên hệ với ngân hàng MSB để làm rõ giao dịch thì được trả lời do anh không tắt chức năng tự động gia hạn, nên đến "hẹn" tài khoản sẽ tự động khấu trừ theo “sự chấp nhận” của khách hàng khi đăng ký.
Giải thích về việc vì sao không cần mã OTP mà thẻ vẫn bị trừ tiền, phía ngân hàng cho biết, đây là một loại hình dịch vụ thanh toán có sự thoả thuận giữa Ngân hàng thanh toán với các đối tác bán hàng, chứ không nằm ở phía ngân hàng phát hành thẻ. Và hình thức thanh toán này được các tổ chức cấp thẻ quốc tế VISA, MASTER chấp nhận. Hiện này một số hãng lớn như Facebook, Apple, Amazon, Google… đều quyết định thanh toán không cần OTP.
Quyền lợi hợp pháp của khách hàng luôn được bảo vệ
Trong những ngày gần đây, nhiều khách hàng cũng đang liên hệ Techcombank để yêu cầu thực hiện tra soát cho các giao dịch ZaloPay, thậm chí còn lan tỏa trên mạng xã hội về việc “ngân hàng bị hack hệ thống”. Chị Nguyễn Phương Minh, chủ thẻ Visa Debit (thẻ ghi nợ quốc tế) cho biết, ngày 6/10, cô nhận được một loạt tin nhắn thông báo trừ tiền từ ngân hàng, với tổng giá trị hơn 21 triệu đồng. Nội dung cho những phần giao dịch trừ tiền được báo về là "Giao dịch qua POS số thẻ xxx... tại ZaloPay..." hoặc "Giao dịch qua POS số thẻ xxx... tại SenPay..." Theo Phương Minh, cô chưa hề đăng ký hay sử dụng dịch vụ tại các ví điện tử này.
Phản hồi về vụ việc, ngân hàng Techcombank cho biết: “Bảo đảm an ninh thông tin và bảo mật hệ thống, đồng thời bảo vệ quyền lợi hợp pháp của khách hàng là tôn chỉ hoạt động của Techcombank. Chúng tôi khẳng định không có tình trạng “hack” dữ liệu giao dịch như thông tin không xác thực trên mạng. Chúng tôi rất mong khách hàng hãy lập tức liên hệ với ngân hàng để gửi yêu cầu tra soát, nếu phát hiện có giao dịch khác thường”. Theo Techcombank, ngay khi kết quả rà soát cùng Tổ chức Thẻ Quốc tế cho thấy khách hàng không thực hiện giao dịch, ngân hàng sẽ làm việc với các tổ chức liên quan để hoàn trả đến khách hàng. “Techcombank luôn cố gắng đẩy nhanh tiến trình rà soát để có thể phản hồi đến khách hàng trong thời gian ngắn nhất, dù thời gian tra soát tối đa theo quy định từ Tổ chức Thẻ Quốc tế Visa là 45 ngày” – đại diện ngân hàng cho biết.
Những vụ việc trên hiện đang thu hút sự chú ý lớn từ dư luận cũng như cộng đồng mạng. Để rộng đường dư luận, phóng viên đã phỏng vấn ông Vũ Anh Tú – chuyên gia bảo mật lâu năm, hiện tại ông đang giữ vị trí Giám đốc Công nghệ tập đoàn FPT, về các vấn đề dư luận đang quan tâm.
Mạng xã hội đang rất nóng và cáo buộc về “lỗ hổng bảo mật ngân hàng” khi bất ngờ bị trừ tiền cho giao dịch bất thường trên ZaloPay, hay Google, Facebook. Ông đánh giá như thế nào về các lo ngại này?
Khách hàng khi bị trừ tiền bất ngờ sẽ xót xa, và có tâm lý hoang mang cho rằng đó là do lỗ hổng bảo mật của ngân hàng. Nhưng thực tế có nhiều nguyên nhân gây lộ thông tin khách hàng, bao gồm cả trách nhiệm của những nhà thanh toán khi giám sát lỏng lẻo các giao dịch, những tổ chức thanh toán trung gian chưa đảm bảo an ninh thông tin ví khách hàng. Rủi ro mà khách hàng hay gặp phải nhất đó là bị lộ số thẻ, ngày đến hạn và mã CVV/CVC2 là mã số bảo mật của thẻ tín dụng dùng trong thanh toán quốc tế, để xác minh quyền sở hữu thẻ của người dùng. Mã CVV/CVC gồm 3 chữ số được in ở phần dưới dải băng đen do ngân hàng phát hành thẻ cấp và quản lý giao dịch mỗi khi người dùng thanh toán hoặc chi tiêu trên thẻ và nó cũng thường được bố trí để mặt sau của thẻ đề phòng các camera quay lén chụp được số thẻ ngày đến hạn và cả CVV2.
Như ông nói, khả năng là do bên thứ ba gian lận giao dịch điện tử từ thông tin khách hàng bị lộ. Song thật khó giải thích khi khách hàng chất vấn rằng họ không hề mất thẻ, và cũng không nhận được thông báo OTP để xác thực giao dịch?
Thời gian vừa qua, rất nhiều ngân hàng đã áp dụng phương thức 3D-Secure (3DS) là một lớp bảo vệ tăng cường cho các chủ thẻ khi giao dịch trực tuyến. Với phương thức này, khi thực hiện các giao dịch trên các website thương mại điện tử, bên cạnh các bước xác thực thông thường, ngân hàng sẽ gửi thêm mật khẩu giao dịch một lần (OTP) qua tin nhắn hoặc email để khách hàng nhập và hoàn tất giao dịch.
Tuy nhiên, việc không áp dụng 3DS là do thỏa thuận giữa Visa, MasterCard với các doanh nghiệp cung cấp dịch vụ. Cụ thể, với các doanh nghiệp lớn đã được xác thực danh tính (verified merchant) như Facebook, Google, Apple, Google…, các giao dịch đều không đòi hỏi mã OTP. Vì vậy, trong trường hợp ngân hàng muốn áp dụng 3DS để an toàn cho khách hàng, nhưng các đơn vị cung cấp dịch vụ không hỗ trợ, thì ngân hàng cũng không có cách nào.
Trong một số trường hợp nếu các ngân hàng áp dụng “thái quá” 3DS thì cũng ảnh hưởng đến giao dịch mua bán hàng hóa, và trải nghiệm chính cho những người dùng thẻ, khi muốn mua dịch vụ thực sự. Theo tôi, điều quan trọng nếu khách hàng phát hiện và khiếu nại sớm, ngân hàng sẽ phối hợp với Visa để rà soát, điều tra các giao dịch liên quan đến Facebook, Google, Apple, Zalo Pay…. Như gần đây, ngân hàng Techcombank thông tin, khi xác thực khách hàng không thực hiện giao dịch, ngân hàng sẽ phối hợp cùng các bên liên quan để hoàn trả khoản giao dịch cho khách hàng. Ngân hàng cũng có thể phối hợp với cơ quan điều tra phòng chống tội phạm mạng và công nghệ cao để giúp bảo vệ khách hàng trong những trường hợp phức tạp.
Ông có khuyến nghị gì đến người dùng thẻ ngân hàng để để hạn chế các tra soát khiếu nại hay rủi ro từ thanh toán internet?
Có 4 "thủ đoạn" mà kể gian sử dụng để lấy cắp thông tin thẻ hiện nay:
Lấy thông tin người dùng bằng cách hack trang web mua sắm, dịch vụ,… nơi khách hàng hay sử dụng thẻ tín dụng thanh toán
Sử dụng máy quét dữ liệu thẻ (Skimming) tại nhà hàng, khách sạn, siêu thị khi khách hàng đưa thẻ thanh toán.
Đặt máy MP3 tại cây ATM để ghi lại tiếng động nhập mật khẩu và chuyển hóa thành các bộ số chính và mã pin thẻ của khách hàng.
Fishing hay dùng trang web/link giả để lấy thông tin bảo mật từ chính khách hàng: Phổ biến nhất là tội phạm thông qua zalo/facebook/số điện thoại để gửi thông tin cho quý khách thông quan các lời mời giả mạo (tặng quà, giải thưởng, khác phục sự cố…) để lừa khách hàng nhập thông tin thẻ, ngày đến hạn, CVV… từ đó dùng thông tin để thanh toán, hoặc rút tiền theo mục đích của họ. Trường hợp này thường chỉ có thể giải quyết với sự vào cuộc của ngân hàng phát hành thẻ, phối hợp với An ninh mạng và cơ quan công an.
Vì vậy, khách hàng nên lưu ý:
- Tuyệt đối không để lộ thông tin số thẻ, ngày đến hạn và số CVV (thường ở mặt sau) của thẻ tín dụng cho bất kỳ ai. Nếu nghi ngờ lộ thông tin, khách hàng cần lập tức liên hệ ngân hàng để đóng thẻ, và phát hành thẻ mới (sẽ phát sinh ra số thẻ và số CVV khác nên kẻ gian có số thẻ và CVV cũ cũng không thể thanh toán được). Khách hàng cũng không tự nhập các thông tin này vào các đường link lạ được gửi đến email/số điện thoại/zalo/facebook… của mình, để tránh bị kẻ gian lợi dụng tiêu dùng qua thẻ.
- Tuyệt đối không/hoặc rất hạn chế nhập và lưu thông tin về thẻ khi đăng ký các gói sản phẩm/dịch vụ mang tính chu kỳ/định kỳ, như mua dịch vụ của Apple, Google, Facebook…, hay đăng ký hội viên VIP của LinkedIn, nạp ví (chơi Game, mua dịch vụ) của Zalo, Moca... Khách hàng nên mua từng lần. Nếu lỡ đăng lỡ theo chu kỳ (tháng, quý, năm), đến ngày các công ty cung cấp dịch vụ sẽ báo trừ tiền theo thông tin thẻ đã đăng ký cả tháng/quý/năm/trước đó. Do thường không nhớ về các giao dịch đã đăng ký từ lâu (có khi đến 1 năm), nhiều khách hàng có thể sẽ quá lo lắng và cho rằng “Thẻ đã bị hack...” Với những trường hợp này, khách hàng hãy gửi yêu cầu tra soát đến ngân hàng để được xác thực giao dịch và phản hồi trong thời gian sớm nhất.
