Vì sao không cần mã OTP mà giao dịch thẻ vẫn thực hiện được?

0:00 / 0:00
0:00
(Ngày Nay) -  Theo ông Vũ Anh Tú – chuyên gia bảo mật lâu năm, hiện đang giữ vị trí Giám đốc Công nghệ tập đoàn FPT, việc bị lộ thông tin thẻ tín dụng dẫn đến tình trạng gian lận giao dịch điện tử xảy ra ở cả Việt Nam, cũng như trên thế giới. Điều quan trọng nhất là khách hàng cần thông báo ngay đến ngân hàng để được kịp thời hỗ trợ đóng thẻ, và rà soát xác thực thông tin giao dịch nhằm bảo vệ quyền lợi hợp pháp nếu phát hiện có giao dịch bất thường.
(Ảnh minh hoạ)
(Ảnh minh hoạ)

Vì sao không cần mã OTP mà thẻ vẫn bị trừ tiền?

Chia sẻ với báo chí, chị N.T.T.L tại Hà Nội cho biết, sáng 30/5, chị nhận được một loạt tin nhắn trừ tiền trong tài khoản thẻ VCB MasterCard, thời gian từ 1h16 đến 1h33 sáng. Có tất cả 7 giao dịch thành công khiến chị bị trừ hơn 24 triệu đồng, đều thanh toán cho dịch vụ quảng cáo trên Facebook mà không yêu cầu nhập mã OTP. Sau khi mất tiền, chị L. đã gọi đến tổng đài VCB và được hướng dẫn khiếu nại. Song chị L. không khỏi băn khoăn, khi thẻ tín dụng được cất giữ cẩn thận nhưng vẫn bị lộ thông tin.

Một trường hợp khác là anh N.M.H cũng bị trừ tiền khi dùng thẻ MSB Creditcard. Theo đó, anh H. có mua một dịch vụ trên internet tính phí theo năm và thanh toán bằng thẻ. Sau một năm dịch vụ này tự động gia hạn mà không có thông báo với khách hàng, đồng thời trừ tiền trên thẻ 200 USD, tương đương hơn 4 triệu đồng, cũng không yêu cầu mã OTP. Anh H. đã liên hệ với ngân hàng MSB để làm rõ giao dịch thì được trả lời do anh không tắt chức năng tự động gia hạn, nên đến "hẹn" tài khoản sẽ tự động khấu trừ theo “sự chấp nhận” của khách hàng khi đăng ký.

Giải thích về việc vì sao không cần mã OTP mà thẻ vẫn bị trừ tiền, phía ngân hàng cho biết, đây là một loại hình dịch vụ thanh toán có sự thoả thuận giữa Ngân hàng thanh toán với các đối tác bán hàng, chứ không nằm ở phía ngân hàng phát hành thẻ. Và hình thức thanh toán này được các tổ chức cấp thẻ quốc tế VISA, MASTER chấp nhận. Hiện này một số hãng lớn như Facebook, Apple, Amazon, Google… đều quyết định thanh toán không cần OTP.

Quyền lợi hợp pháp của khách hàng luôn được bảo vệ

Trong những ngày gần đây, nhiều khách hàng cũng đang liên hệ Techcombank để yêu cầu thực hiện tra soát cho các giao dịch ZaloPay, thậm chí còn lan tỏa trên mạng xã hội về việc “ngân hàng bị hack hệ thống”. Chị Nguyễn Phương Minh, chủ thẻ Visa Debit (thẻ ghi nợ quốc tế) cho biết, ngày 6/10, cô nhận được một loạt tin nhắn thông báo trừ tiền từ ngân hàng, với tổng giá trị hơn 21 triệu đồng. Nội dung cho những phần giao dịch trừ tiền được báo về là "Giao dịch qua POS số thẻ xxx... tại ZaloPay..." hoặc "Giao dịch qua POS số thẻ xxx... tại SenPay..." Theo Phương Minh, cô chưa hề đăng ký hay sử dụng dịch vụ tại các ví điện tử này.

Phản hồi về vụ việc, ngân hàng Techcombank cho biết: “Bảo đảm an ninh thông tin và bảo mật hệ thống, đồng thời bảo vệ quyền lợi hợp pháp của khách hàng là tôn chỉ hoạt động của Techcombank. Chúng tôi khẳng định không có tình trạng “hack” dữ liệu giao dịch như thông tin không xác thực trên mạng. Chúng tôi rất mong khách hàng hãy lập tức liên hệ với ngân hàng để gửi yêu cầu tra soát, nếu phát hiện có giao dịch khác thường”. Theo Techcombank, ngay khi kết quả rà soát cùng Tổ chức Thẻ Quốc tế cho thấy khách hàng không thực hiện giao dịch, ngân hàng sẽ làm việc với các tổ chức liên quan để hoàn trả đến khách hàng. “Techcombank luôn cố gắng đẩy nhanh tiến trình rà soát để có thể phản hồi đến khách hàng trong thời gian ngắn nhất, dù thời gian tra soát tối đa theo quy định từ Tổ chức Thẻ Quốc tế Visa là 45 ngày” – đại diện ngân hàng cho biết.

Những vụ việc trên hiện đang thu hút sự chú ý lớn từ dư luận cũng như cộng đồng mạng. Để rộng đường dư luận, phóng viên đã phỏng vấn ông Vũ Anh Tú – chuyên gia bảo mật lâu năm, hiện tại ông đang giữ vị trí Giám đốc Công nghệ tập đoàn FPT, về các vấn đề dư luận đang quan tâm.

Mạng xã hội đang rất nóng và cáo buộc về “lỗ hổng bảo mật ngân hàng” khi bất ngờ bị trừ tiền cho giao dịch bất thường trên ZaloPay, hay Google, Facebook. Ông đánh giá như thế nào về các lo ngại này?

Khách hàng khi bị trừ tiền bất ngờ sẽ xót xa, và có tâm lý hoang mang cho rằng đó là do lỗ hổng bảo mật của ngân hàng. Nhưng thực tế có nhiều nguyên nhân gây lộ thông tin khách hàng, bao gồm cả trách nhiệm của những nhà thanh toán khi giám sát lỏng lẻo các giao dịch, những tổ chức thanh toán trung gian chưa đảm bảo an ninh thông tin ví khách hàng. Rủi ro mà khách hàng hay gặp phải nhất đó là bị lộ số thẻ, ngày đến hạn và mã CVV/CVC2 là mã số bảo mật của thẻ tín dụng dùng trong thanh toán quốc tế, để xác minh quyền sở hữu thẻ của người dùng. Mã CVV/CVC gồm 3 chữ số được in ở phần dưới dải băng đen do ngân hàng phát hành thẻ cấp và quản lý giao dịch mỗi khi người dùng thanh toán hoặc chi tiêu trên thẻ và nó cũng thường được bố trí để mặt sau của thẻ đề phòng các camera quay lén chụp được số thẻ ngày đến hạn và cả CVV2.

Như ông nói, khả năng là do bên thứ ba gian lận giao dịch điện tử từ thông tin khách hàng bị lộ. Song thật khó giải thích khi khách hàng chất vấn rằng họ không hề mất thẻ, và cũng không nhận được thông báo OTP để xác thực giao dịch?

Thời gian vừa qua, rất nhiều ngân hàng đã áp dụng phương thức 3D-Secure (3DS) là một lớp bảo vệ tăng cường cho các chủ thẻ khi giao dịch trực tuyến. Với phương thức này, khi thực hiện các giao dịch trên các website thương mại điện tử, bên cạnh các bước xác thực thông thường, ngân hàng sẽ gửi thêm mật khẩu giao dịch một lần (OTP) qua tin nhắn hoặc email để khách hàng nhập và hoàn tất giao dịch.

Tuy nhiên, việc không áp dụng 3DS là do thỏa thuận giữa Visa, MasterCard với các doanh nghiệp cung cấp dịch vụ. Cụ thể, với các doanh nghiệp lớn đã được xác thực danh tính (verified merchant) như Facebook, Google, Apple, Google…, các giao dịch đều không đòi hỏi mã OTP. Vì vậy, trong trường hợp ngân hàng muốn áp dụng 3DS để an toàn cho khách hàng, nhưng các đơn vị cung cấp dịch vụ không hỗ trợ, thì ngân hàng cũng không có cách nào.

Trong một số trường hợp nếu các ngân hàng áp dụng “thái quá” 3DS thì cũng ảnh hưởng đến giao dịch mua bán hàng hóa, và trải nghiệm chính cho những người dùng thẻ, khi muốn mua dịch vụ thực sự. Theo tôi, điều quan trọng nếu khách hàng phát hiện và khiếu nại sớm, ngân hàng sẽ phối hợp với Visa để rà soát, điều tra các giao dịch liên quan đến Facebook, Google, Apple, Zalo Pay…. Như gần đây, ngân hàng Techcombank thông tin, khi xác thực khách hàng không thực hiện giao dịch, ngân hàng sẽ phối hợp cùng các bên liên quan để hoàn trả khoản giao dịch cho khách hàng. Ngân hàng cũng có thể phối hợp với cơ quan điều tra phòng chống tội phạm mạng và công nghệ cao để giúp bảo vệ khách hàng trong những trường hợp phức tạp.

Ông có khuyến nghị gì đến người dùng thẻ ngân hàng để để hạn chế các tra soát khiếu nại hay rủi ro từ thanh toán internet?

Có 4 "thủ đoạn" mà kể gian sử dụng để lấy cắp thông tin thẻ hiện nay:

  • Lấy thông tin người dùng bằng cách hack trang web mua sắm, dịch vụ,… nơi khách hàng hay sử dụng thẻ tín dụng thanh toán

  • Sử dụng máy quét dữ liệu thẻ (Skimming) tại nhà hàng, khách sạn, siêu thị khi khách hàng đưa thẻ thanh toán.

  • Đặt máy MP3 tại cây ATM để ghi lại tiếng động nhập mật khẩu và chuyển hóa thành các bộ số chính và mã pin thẻ của khách hàng.

  • Fishing hay dùng trang web/link giả để lấy thông tin bảo mật từ chính khách hàng: Phổ biến nhất là tội phạm thông qua zalo/facebook/số điện thoại để gửi thông tin cho quý khách thông quan các lời mời giả mạo (tặng quà, giải thưởng, khác phục sự cố…) để lừa khách hàng nhập thông tin thẻ, ngày đến hạn, CVV… từ đó dùng thông tin để thanh toán, hoặc rút tiền theo mục đích của họ. Trường hợp này thường chỉ có thể giải quyết với sự vào cuộc của ngân hàng phát hành thẻ, phối hợp với An ninh mạng và cơ quan công an.

Vì vậy, khách hàng nên lưu ý:

- Tuyệt đối không để lộ thông tin số thẻ, ngày đến hạn và số CVV (thường ở mặt sau) của thẻ tín dụng cho bất kỳ ai. Nếu nghi ngờ lộ thông tin, khách hàng cần lập tức liên hệ ngân hàng để đóng thẻ, và phát hành thẻ mới (sẽ phát sinh ra số thẻ và số CVV khác nên kẻ gian có số thẻ và CVV cũ cũng không thể thanh toán được). Khách hàng cũng không tự nhập các thông tin này vào các đường link lạ được gửi đến email/số điện thoại/zalo/facebook… của mình, để tránh bị kẻ gian lợi dụng tiêu dùng qua thẻ.

- Tuyệt đối không/hoặc rất hạn chế nhập và lưu thông tin về thẻ khi đăng ký các gói sản phẩm/dịch vụ mang tính chu kỳ/định kỳ, như mua dịch vụ của Apple, Google, Facebook…, hay đăng ký hội viên VIP của LinkedIn, nạp ví (chơi Game, mua dịch vụ) của Zalo, Moca... Khách hàng nên mua từng lần. Nếu lỡ đăng lỡ theo chu kỳ (tháng, quý, năm), đến ngày các công ty cung cấp dịch vụ sẽ báo trừ tiền theo thông tin thẻ đã đăng ký cả tháng/quý/năm/trước đó. Do thường không nhớ về các giao dịch đã đăng ký từ lâu (có khi đến 1 năm), nhiều khách hàng có thể sẽ quá lo lắng và cho rằng “Thẻ đã bị hack...” Với những trường hợp này, khách hàng hãy gửi yêu cầu tra soát đến ngân hàng để được xác thực giao dịch và phản hồi trong thời gian sớm nhất.

Thứ trưởng Bộ VH,TT&DL Hồ An Phong.
Hội nghị triển khai Chỉ thị 30/CT-TTg: Bước ngoặt quan trọng cho ngành công nghiệp văn hóa Việt Nam
(Ngày Nay) - Ngày 21 và 22/11/2024, Bộ VH,TT&DL đã tổ chức Hội nghị triển khai Chỉ thị số 30/CT-TTg ngày 29/8/2024 của Thủ tướng Chính phủ về phát triển các ngành công nghiệp văn hóa Việt Nam. Hội nghị được kỳ vọng trở thành bước đột phá, đặt nền tảng cho sự phát triển mạnh mẽ và bền vững của ngành công nghiệp văn hóa. Liên hiệp các Hội UNESCO Việt Nam cũng cử đại diện tham dự hội nghị nhằm học hỏi kinh nghiệm thực tiễn để thúc đẩy công nghiệp văn hóa gắn liền với hợp tác toàn cầu.
Bước tiến đột phá trong dự án xây dựng Bản đồ Tế bào con người
Bước tiến đột phá trong dự án xây dựng Bản đồ Tế bào con người
(Ngày Nay) - Các nhà khoa học quốc tế ngày 20/11 đã công bố bản thiết kế đầu tiên về sự phát triển của hệ xương người, đánh dấu bước tiến quan trọng trong dự án Bản đồ Tế bào con người (Human Cell Atlas), một nỗ lực lớn nhằm tạo ra bản đồ sinh học chi tiết của mọi loại tế bào trong cơ thể người.
Gia Lai : Ngôi cổ tự duy nhất được phong sắc tứ
Gia Lai : Ngôi cổ tự duy nhất được phong sắc tứ
(Ngày Nay) - Gia Lai hiện có hàng trăm ngôi chùa, trong đó có nhiều chùa đã qua trăm năm lịch sử. Nhưng chỉ duy nhất chùa Tân An (đường Nguyễn Thiếp, phường Tây Sơn, thị xã An Khê) được sự công nhận và ban tặng của hoàng gia nhà Nguyễn, gọi là sắc tứ.
Đặc sắc chương trình giao lưu "Sắc màu di sản"
Đặc sắc chương trình giao lưu "Sắc màu di sản"
(Ngày Nay) - Tối 21/11, tại hồ Nguyên Phi Ỷ Lan (thành phố Bắc Ninh), Sở Văn hóa, Thể thao và Du lịch tỉnh Bắc Ninh tổ chức Chương trình nghệ thuật dân ca trên thuyền và giao lưu các miền di sản chủ đề "Sắc màu di sản".
Phật dạy 5 điều thân kính với làng xóm
Phật dạy 5 điều thân kính với làng xóm
(Ngày Nay) - Mối quan hệ làng xóm cũng có những nhiêu khê và phức tạp, nếu không khéo thì từ thâm tình lại hóa ra giận ghét, thậm chí là oán thù. Cho nên Đức Phật rất tinh tế khi dạy phải thân kính với bà con.
Học cách trân quý từng phút giây còn sống
Học cách trân quý từng phút giây còn sống
(Ngày Nay) - Khi tôi nghe thấy tin có người nào đó vừa mất đi, tin ấy với tôi như tiếng chuông thức tỉnh. Tiếng chuông đó là một lời nhắc nhở sâu sắc về sự mong manh của kiếp người.
Oai nghi của người tu hành
Oai nghi của người tu hành
(Ngày Nay) - Oai nghi cùng với chánh kiến và tịnh giới là ba yếu tố làm nên đạo hạnh - phẩm chất của tu sĩ Phật giáo, như cố Trưởng lão Hòa thượng Thích Thiện Siêu, bậc am tường kinh luật luận đã từng nhấn mạnh.
Tác phẩm có tên “Comedian” của nghệ sĩ người Italy Maurizio Cattelan ra mắt lần đầu năm 2019 tại triển lãm Art Basel ở Miami Beach, đã gây tranh cãi về việc có thể được coi là nghệ thuật hay không. Ảnh: AP
6,2 triệu USD cho quả chuối dán tường
(Ngày Nay) - 6,2 triệu USD là mức giá vừa được trả cho một tác phẩm nghệ thuật gây tranh cãi, một quả chuối tươi dán lên tường bằng băng dính bạc. Tác phẩm được đưa ra trong một cuộc bán đấu giá của Sotheby’s ở New York, Mỹ.