Ngân hàng tăng tốc bảo mật thẻ Visa: cuộc đua chưa có điểm dừng trong kỷ nguyên thanh toán số

Lộ lọt thông tin thẻ tín dụng, visa ngày càng gia tăng ở thời đại số.

Thanh toán điện tử phát triển kéo theo tấn công công nghệ cao gia tăng

Theo thống kê của NHNN, đến cuối năm 2024 Việt Nam đã có hơn 204,5 triệu tài khoản thanh toán của khách hàng cá nhân; 154,1 triệu thẻ ngân hàng đang lưu hành. Gần 87% người trưởng thành có tài khoản tại ngân hàng. Thanh toán không tiền mặt đã có mặt trong mọi lĩnh vực của kinh tế và đời sống - xã hội như học phí, viện phí, mua sắm…

Sự tăng trưởng mạnh của thanh toán số đang đặt thẻ Visa – một trong những phương tiện thanh toán phổ biến tại Việt Nam trước áp lực lớn từ các hình thức gian lận tinh vi. Từ việc gắn thiết bị skimmer lén đọc dữ liệu thẻ trên ATM, tội phạm hiện đã sử dụng AI, deepfake giọng nói, phần mềm độc hại và hệ thống website giả mạo để đánh lừa người dùng cung cấp thông tin nhạy cảm.

Chị Hà Hạnh Dung (Ba Đình, Hà Nội) cho biết: “Vừa qua, tôi đã bị hack thẻ tín dụng. Vào 3h sáng, điện thoại của tôi thông báo liên tục hơn chục tin nhắn về việc thanh toán chi tiêu đang diễn ra tại Mỹ. Do thanh toán không có OTP, tôi đang làm hồ sơ để giải quyết. Theo quy trình, nếu xác thực các thanh toán này phát sinh trái phép, tôi sẽ phải chờ đợi giải quyết trong ít nhất 30-45 ngày”.

Cùng tình trạng, chị anh Đào Mạnh Dũng (phường Thanh Xuân, Hà Nội) cũng bị hack thẻ và có hơn 20 thông báo thanh toán diễn ra tại TP Hồ Chí Minh. “Do tôi đặt định mức thẻ của mình khoảng 100 triệu nên số tiền bị trừ đến định mức thì không trừ được nữa. Trước đây, tôi cũng từng bị một trường hợp như vậy nhưng đã lấy lại được tiền. Tuy nhiên, thủ tục quy trình khá rắc rối và mất thời gian. Câu hỏi về bảo mật thông tin khách hàng khiến tôi không tin tưởng nữa và huỷ luôn thẻ visa của mình tại ngân hàng này” – anh DŨng nói thêm.

Các ngân hàng thời gian gần đây ghi nhận sự xuất hiện dày đặc của các website mang tên “cập nhật bảo mật thẻ”, “nâng hạn mức Visa”, “xác thực sinh trắc học”, với giao diện giống hệt website thật. Khi truy cập, người dùng bị yêu cầu nhập số thẻ, CVV, ngày hết hạn, và mã OTP – yếu tố cuối cùng giúp tội phạm chiếm quyền thực hiện giao dịch.

Nhiều mô hình gian lận mới đang được cơ quan chức năng cảnh báo, trong đó có “face-farming”: kẻ xấu thuê người thật để hoàn tất quy trình xác thực sinh trắc, sau đó dùng dữ liệu này để mở hoặc chiếm đoạt tài khoản. Một số vụ việc trên địa bàn phía Bắc cho thấy tội phạm thậm chí áp dụng công nghệ tạo khuôn mặt, giọng nói bằng AI để vượt qua bước xác thực của ngân hàng.

Khoảng trống bảo mật trong hệ thống ngân hàng

Thực tế cho thấy, thiệt hại do tội phạm mạng gây ra đang ở mức đáng báo động. Theo báo cáo nghiên cứu, khảo sát an ninh mạng 2024 do Ban Công nghệ, Hiệp hội An ninh mạng quốc gia thực hiện vào tháng 12/2024, cứ 220 người dùng điện thoại thông minh thì có 1 người là nạn nhân của lừa đảo, thiệt hại ước tính trong năm 2024 lên đến 18.900 tỷ đồng. Hình thức lừa đảo phổ biến nhất là mời gọi đầu tư, lộ lọt dữ liệu cá nhân vẫn ở mức báo động.

Trước tình hình đó, các cơ quan quản lý đã có những chỉ đạo quyết liệt, điển hình là Quyết định 2345/QĐ-NHNN yêu cầu xác thực sinh trắc học với các giao dịch trên 10 triệu đồng, tạo nên một "hàng rào" kỹ thuật quan trọng để sàng lọc các tài khoản không chính chủ. Bên cạnh đó, các chuyên gia an ninh mạng cũng chỉ ra rằng, tình trạng rao bán và lộ lọt dữ liệu của các cá nhân, tổ chức tại Việt Nam vẫn diễn biến phức tạp, tạo ra mối hiểm họa khôn lường cho các giao dịch tài chính cá nhân... Mặc dù phần lớn ngân hàng đã áp dụng chuẩn thẻ chip EMV, nhiều khoảng trống bảo mật vẫn tồn tại.

Anh Nguyễn Hoàng Việt (Chuyên gia bảo mật – CEO Lectron) chia sẻ về những lỗ hổng bảo mật đối với thẻ tín dụng tại Việt Nam.

Anh Nguyễn Hoàng Việt (Chuyên gia bảo mật – CEO Lectron) chia sẻ: “Rủi ro mất an toàn thẻ hiện nay không chỉ đến từ các công nghệ tấn công tinh vi mà còn xuất phát từ chính thói quen sử dụng thiết bị và ứng dụng của người dùng. Nhiều ứng dụng, kể cả app vay tiền hay một số ứng dụng phổ biến như VNeID, được người dùng cấp mặc định quyền truy cập ảnh và clipboard, khiến mọi thông tin từng sao chép bao gồm cả số thẻ có thể bị thu thập và lưu trữ ở những hệ thống không đảm bảo an toàn”.

Bên cạnh đó, vẫn còn loại thẻ cho phép giao dịch không cần OTP. Trong môi trường thanh toán trực tiếp, người dùng thường đưa thẻ cho nhân viên nhà hàng hoặc cửa hàng mang đi thanh toán, tạo cơ hội cho những người có chủ ý xấu sao chép hoặc ghi lại thông tin thẻ bằng thiết bị chuyên dụng. Song song, các chiến dịch lừa đảo qua tin nhắn và website giả mạo cũng ngày càng tinh vi, đánh lừa người dân nhập toàn bộ dữ liệu thẻ vào trang web không chính thống.

Thói quen bảo mật yếu cũng góp phần làm tăng nguy cơ. Người dùng thường chụp ảnh thẻ hoặc lưu số thẻ bằng cách gửi qua Zalo, email, Facebook — những nền tảng có thể bị xâm nhập. Việc dùng chung một mật khẩu cho nhiều ứng dụng càng khiến hacker dễ dàng tấn công dây chuyền. Không ít trường hợp bị lừa qua điện thoại, bị gây áp lực tâm lý rồi tự đọc thông tin thẻ cho kẻ gian.

Ở nền tảng Android, các ứng dụng miễn phí như app “tăng tốc điện thoại” hay xem phim lậu thường ẩn mã độc thu thập dữ liệu. Tội phạm còn sử dụng thiết bị chụp ảnh từ xa để ghi lại thông tin thẻ tại quán xá mà người dùng không hề hay biết.

Một vấn đề khác là hệ thống tokenization ở Việt Nam chưa tận dụng được chuẩn bảo mật của Visa do nhiều ngân hàng ưu tiên tokenization nội bộ để tối đa hóa tiện lợi cho người dùng. Cộng thêm việc thị trường Việt Nam chưa có quy trình chargeback đầy đủ như Mỹ, người dùng gặp bất lợi lớn khi xảy ra gian lận hoặc cần truy soát giao dịch.

Cuối cùng, yếu tố quan trọng nhất vẫn là con người. Chỉ một thao tác bất cẩn đã đủ khiến mọi lớp bảo mật trở nên vô nghĩa. Người dùng cần tuyệt đối tránh chụp ảnh thẻ, không cấp quyền ứng dụng tuỳ tiện và không cung cấp thông tin thẻ cho bất kỳ ai trong mọi hoàn cảnh.

Áp lực nâng cấp công nghệ bảo mật và vai trò của người dùng

Thanh toán số tiếp tục là xu hướng chủ đạo trong phát triển kinh tế số tại Việt Nam, trong đó thẻ Visa đóng vai trò quan trọng. Điều này đồng nghĩa tội phạm công nghệ cao sẽ không ngừng tìm cách khai thác những lỗ hổng mới. Trước thực tế tấn công công nghệ cao gia tăng, các ngân hàng Việt Nam đang thúc đẩy hàng loạt giải pháp kỹ thuật nhằm bảo vệ thẻ Visa và hạn chế nguy cơ gian lận. Visa cũng đang đẩy mạnh chiến lược “Lộ trình An ninh Thanh toán” tại Việt Nam, khuyến khích ngân hàng hợp tác chia sẻ dữ liệu gian lận, triển khai AI nhận diện rủi ro nâng cao và mở rộng sinh trắc học trong thanh toán số.

Bà Đặng Tuyết Dung (Giám đốc Visa tại Việt Nam và Lào) nhận định, các tổ chức thanh toán quốc tế và ngân hàng tại Việt Nam cần triển khai các công nghệ bảo mật cao cấp như một yêu cầu bắt buộc để duy trì niềm tin với khách hàng. Cam kết về bảo mật thanh toán phải là chiến lược cao nhất phải được áp dụng đồng bộ, nhằm đối phó với sự tinh vi của tội phạm.

Bà Đặng Tuyết Dung (Giám đốc Visa Việt Nam và Lào) chia sẻ về công nghệ tokenization trong bảo mật thông tin đối với thẻ Visa. Ảnh: Khánh Huy

Theo bà Đặng Tuyết Dung, một trong những nền tảng then chốt đang được triển khai là Công nghệ Tokenization (Mã hóa thẻ). Công nghệ này có tính quyết định trong việc bảo vệ dữ liệu gốc. Thay vì truyền thông tin 16 số thẻ truyền thống qua các luồng thanh toán, các số thẻ thật phải được giữ lại trong hệ thống của ngân hàng. Chỉ một mã token chỉ định cho từng giao dịch được truyền đi, loại bỏ nguy cơ thông tin thẻ bị lộ lọt khi giao dịch, đặc biệt quan trọng trong lĩnh vực thương mại điện tử. Công nghệ này đang được ngân hàng MB tiên phong ứng dụng trong việc bảo mật thanh toán bằng thẻ Visa.

Bên cạnh đó, việc áp dụng công nghệ Click to Pay được coi là một giải pháp nhằm hài hòa giữa sự tiện lợi và an toàn. Công nghệ này cho phép người dùng thanh toán tại các nền tảng trực tuyến chỉ bằng một cú nhấp chuột mà không cần nhập lại số thẻ, giảm thiểu tối đa rủi ro nhập liệu trên các thiết bị không an toàn. Điểm mấu chốt để nâng cao an ninh hệ thống là sự chuyển dịch mạnh mẽ từ công nghệ xác thực lỗi thời sang mô hình quản trị rủi ro dựa trên dữ liệu và trí tuệ nhân tạo (AI).

Ngoài ra bà Đặng Tuyết Dung chỉ ra rằng, các giao dịch thanh toán hiện đại có thể truyền tải đến hơn 150 dữ liệu trên đường thanh toán. Nguồn dữ liệu khổng lồ này phải được sử dụng hiệu quả để đưa ra các mô hình chấm điểm rủi ro chính xác cho từng giao dịch và nhận diện kịp thời các hành vi giả mạo.

Việc tiếp tục sử dụng SMS OTP truyền thống đã cho thấy một số hạn chế về an toàn và trải nghiệm. Do đó, việc chuyển sang mô hình chấm điểm rủi ro là một bước đi tất yếu, bởi công nghệ này được đánh giá là an toàn hơn gấp nhiều lần so với OTP. Trên thế giới, nhiều thị trường đã chính thức loại bỏ SMS OTP để chuyển sang áp dụng các hình thức quản trị rủi ro tiên tiến hơn.

Trong một hệ sinh thái tài chính số hóa sâu rộng, bảo mật thẻ Visa chỉ bền vững khi có sự phối hợp chặt chẽ giữa ngân hàng – cơ quan quản lý – doanh nghiệp công nghệ và chính người dùng. Đây sẽ tiếp tục là ưu tiên hàng đầu trong giai đoạn phát triển dịch vụ tài chính số những năm tới.

Techcombank giữ vững ngôi vương 4 năm liên tiếp với 8 giải thưởng danh giá của Visa và Master Card Ngân hàng TMCP Kỹ thương Việt Nam (Techcombank) được tổ chức thẻ Visa và Master Card vinh danh là “Ngân hàng dẫn đầu về tổng ...

Bài 1: Thẻ trong ví, không giao dịch mua bán nhưng… bỗng dưng mất tiền Không ấn vào đường link lạ, không trao đổi thông tin, cũng không hề đánh mất thẻ… nhưng bỗng một ngày, chị N.V, trú tại ...