-
06/07/2013
-
797
-
1.308 bài viết
Giao dịch trực tuyến: những rủi ro và biện pháp bảo mật
Như chúng ta đã biết, cuối năm là dịp cao điểm lương, thưởng về nhiều. Đây là thời điểm các hoạt động mua sắm, thanh toán trực tuyến tăng mạnh và là thời cơ để các hoạt động lừa đảo trực tuyến bùng phát. Bên cạnh trách nhiệm nâng cao bảo mật hệ thống của các ngân hàng, về phía người dùng cũng cần nâng cao cảnh giác, trang bị những kiến thức cần thiết để bảo vệ mình, tránh những sự cố đáng tiếc có thể xảy ra.
Và bài viết này sẽ trình bày những nguy cơ bị tấn công và lừa đảo trực tuyến mà người dùng có thể gặp phải và một số hướng dẫn nhằm nâng cao bảo mật cho người dùng.
Các hình thức tấn công và lừa đảo trực tuyến:
Lừa đảo qua email:
Những kẻ lừa đảo sẽ giả danh các cá nhân, tổ chức như đồng nghiệp, cấp trên, đối tác, công ty, ngân hàng… gửi email đến người dùng để:
Yêu cầu người dùng cung cấp thông tin riêng tư như: thông tin cá nhân, thông tin tài khoản…
Thông báo người dùng trúng một giải thưởng nào đó và yêu cầu cung cấp thông tin tài khoản ngân hàng/thanh toán một khoản phí để nhận được giải thưởng.
Thông báo tài khoản người dùng sẽ bị khóa và yêu cầu gửi thông tin đăng nhập để xác nhận.
Những trang web giả mạo:
Những tên tội phạm sẽ tạo ra một trang web có giao diện giống với trang web của ngân hàng mà người dùng sử dụng để giao dịch, sau đó chúng sẽ lừa người dùng nhập vào các thông tin như tên đăng nhập, mật khẩu, OTP. Khi đó thông tin của người dùng sẽ được gửi đến bọn tội phạm và chúng sẽ dùng thông tin có được để truy cập vào tài khoản người dùng và chuyển tiền cho bên thứ ba hoặc giả danh thực hiện các hành vi gây thiệt tài chính/uy tín của người dùng.
Lừa đảo qua mạng xã hội:
Đây là hình thức lừa đảo mà những tên tội phạm chiếm đoạt tài khoản mạng xã hội người dùng như Facebook, Zalo… sau đó đọc những tin nhắn cũ và bắt chước thói quen nhắn tin, xưng hô của người dùng để thực hiện hành vi lừa đảo yêu cầu người thân quen của nạn nhân thực hiện các giao dịch tài chính.
Một hình thức lừa đảo qua mạng xã hội khác là giả hệ thống thông báo người dùng trúng một giải thưởng nào đó và yêu cầu người dùng truy cập một trang web lừa đảo từ đó chiếm đoạt thông tin tài khoản/lừa người người thực hiện giao dịch.
Lừa đảo tài chính:
Đây là trò lừa đảo dưới dạng một email có hình thức như được gửi trực tiếp cho người nhận, nhưng thật ra đã được bọn tội phạm gửi cho rất nhiều người. Email sẽ đưa ra đề nghị người nhận sẽ được một khoản tiền lớn nếu giúp cho người gửi (bọn tội phạm mạo danh là quan chức chính phủ hay ngân hàng nào đó tận châu Phi, biết về một khoản tiền, vàng, thừa kế không có chủ và họ không thể nhận được và cần người nhận hộ), khi nạn nhân đồng ý thì người gửi (bọn tội phạm) sẽ yêu cầu một khoản chi phí để có thể nhận tiền nhưng thực tế thì người nhận sẽ không thể nhận được.
Xem thêm: https://vi.wikipedia.org/wiki/L%E1%B...91c_t%E1%BA%BF
Trộm danh tính:
Là hành vi mà các cá nhân/tổ chức thu thập thông tin cá nhân như thông tin thẻ tín dụng của người dùng để kiếm các lợi ích tài chính, tạo ra món nợ lớn về lịch sử tín dụng của nạn nhân và dẫn đến những rắc rối về luật pháp.
Phần mềm độc hại (Virus, Trojans, Pharming, Rootkit, Keylogger, …):
Là những phần mềm được thiết kế để gây hại máy tính/ smartphone/ tablet. Phần mềm độc hại có thể thực hiện các hành vi phá hoại, thậm chí là lấy cắp thông tin nhạy cảm như tài khoản ngân hàng từ thiết bị của người dùng và gửi về cho bọn tội phạm.
Các biện pháp bảo mật để tránh bị tấn công và lừa đảo trực tuyến:
Đối với thiết bị được dùng để giao dịch trực tuyến (máy tính, smartphone):
Khi hệ điều hành/phần mềm tồn tại lỗ hổng chưa được vá, những kẻ tấn công sẽ dùng điểm yếu này để khai thác và lấy các thông tin, dữ liệu nhạy cảm như thông tin tài khoản ngân hàng. Do đó hệ điều hành cũng như các phần mềm cần được thường xuyên cập nhật các bản vá lỗ hổng từ nhà cung cấp. Người dùng hệ điều hành hay phần mềm từ nhà cung cấp nào thì vào trực tiếp trang web của nhà cung cấp đó để tải về những bản cập nhật mới nhất, tránh cập nhật từ những nguồn giả mạo.
Khi sử dụng smartphone thì nên dùng các thiết bị không jailbreak (iOS) hay rooted (Android).
Chỉ tải và sử dụng các ứng dụng Internet Banking/Mobile Banking (tên gọi khác nhau tùy ngân hàng) từ App Store (iOS), Google Play (Android), Windows Store (Window Phone) khi được đảm bảo từ ngân hàng.
Máy tính/smartphone khi sử dụng internet sẽ rất dễ bị nhiễm mã độc nếu như người dùng không cẩn thận trước các mối đe dọa, do đó người dùng nên cài đặt và cập nhật bản mới nhất cho một chương trình Anti-Malware mạnh trên máy tính lẫn smartphone với các tính năng tiên tiến như: tường lửa, giao dịch online an toàn, chống lộ lọt thông tin… sẽ góp phần bảo vệ người dùng trước các cuộc tấn công, giảm nguy cơ bị đánh cắp dữ liệu, thông tin cá nhân, an toàn khi giao dịch trực tuyến…
Không sử dụng các phần mềm không rõ nguồn gốc, crack, keygen… vì hành động này có thể làm máy tính nhiễm mã độc, gây lộ thông tin tài khoản.
Người dùng không nên mở các trang web không an toàn, không mở các email lạ hoặc những tập tin đính kèm không rõ nguồn gốc và không đảm bảo an toàn. Trong trường hợp mở thì nên quét virus hoặc chỉ mở trong môi trường an toàn.
Đăng nhập/giao dịch/thoát an toàn:
Một điều rất quan trọng là khi thực hiện mọi thao tác trên dịch vụ ngân hàng trực tuyến (tên dịch vụ khác nhau tùy ngân hàng) người dùng chỉ nên truy cập bằng cách gõ thật chính xác địa chỉ trang web vào thanh địa chỉ trình duyệt.
Sau khi truy cập trang web dịch vụ ngân hàng trực tuyến cần kiểm tra biểu tượng ổ khóa và chứng nhận của trang web.
Không thực hiện hoạt động giao dịch khi người thân, đồng nghiệp yêu cầu qua tin nhắn mạng xã hội như Facebook, Zalo… vì có thể tài khoản của họ đã bị hack. Trong trường hợp thực hiện giao dịch thì cần xác minh danh tính thật cẩn thận.
Không click/đăng nhập vào những đường link lạ được gửi qua email, tin nhắn mạng xã hội.
Khi thực hiện nhập tên người dùng/mật khẩu nên sử dụng tính năng bàn phím ảo để tăng cường bảo mật tránh bị lộ thông tin tài khoản do keylogger.
Không đăng nhập bằng cách click vào một liên kết trông có vẻ giống với trang dịch vụ ngân hàng trực tuyến mà bạn định thực hiện giao dịch.
Không đăng nhập tài khoản vào trang web có giao diện giống nhưng địa chỉ trang web lại khác với trang giao dịch trực tuyến mà bạn sử dụng.
Chỉ đăng nhập trên các thiết bị tin cậy, không bị nhiễm mã độc. Ghi nhớ các thiết bị đã dùng để đăng nhập để có biện pháp giải quyết khi có sự cố xảy ra, hạn chế đăng nhập trên nhiều thiết bị để dễ kiểm soát.
Không thực hiện đăng nhập, giao dịch khi sử dụng wifi công công, máy tính công cộng vì đây là những môi trường không an toàn và người dùng có thể bị đánh cắp thông tin ngân hàng.
Khi hệ thống đang xử lý giao dịch, người dùng không nên thoát khỏi màn hình giao dịch cho đến khi có thông báo kết quả giao dịch từ hệ thông trước khi thực hiện các thao tác khác.
Để thoát khỏi hệ thống giao dịch trực tuyến người dùng không nên dùng cách đóng tab trình duyệt mà nên sử dụng tính năng thoát/đăng xuất của hệ thống, sau đó tắt hoàn toàn trình duyệt.
Sử dụng và bảo quản mật khẩu:
Nên sử dụng mật khẩu mạnh cho tài khoản ngân hàng trực tuyến cũng như những tài khoản khác. Mật khẩu mạnh là mật khẩu có độ dài >8 ký tự (tùy quy định của ngân hàng) bao gồm chữ cái thường, in hoa, chữ số và cả những ký tự đặc biệt như @, !, %, #, $,…
Nên sử dụng mật khẩu khác nhau cho những trang web khác nhau, để tránh trường hợp 1 tài khoản bị lộ mật khẩu sẽ ảnh hưởng đến những tài khoản khác.
Không đặt mật khẩu dễ đoán như tên, ngày sinh, số điện thoại… vì kẻ xấu có thể dựa vào những thông tin này để tấn công tài khoản người dùng.
Nên đổi mật khẩu thường xuyên để đảm bảo an toàn cho tài khoản. Đặc biệt là nên thay đổi mật khẩu ngay khi click vào những đường link nghi ngờ là không an toàn, hoặc vô tình nhập thông tin tài khoản vào những trang web không an toàn.
Không viết, không chia sẻ các thông tin như tên tài khoản, mật khẩu, email, thông tin tài khoản… cho người khác.
Không nhập mật khẩu vào trang web của bên thức ba trừ trang web của ngân hàng cung cấp dịch vụ mà bạn sử dụng.
OTP SMS / OTP Token và cách sử dụng an toàn:
Không nhập/nhập tạm OTP vào bất cứ website / màn hình hiển thị nào khác trừ trang giao dịch của ngân hàng mà bạn sử dụng.
Khi nhận được tin nhắn OTP, cần kiểm tra các nội dung liên quan đến giao dịch (số tiền, số tài khoản nhận, ...). Trong trường hợp thông tin không khớp đúng, người dùng tuyệt đối không nhập OTP vào bất cứ màn hình nào và nên báo với ngân hàng mà bạn sử dụng.
Trong trường hợp người dùng không thực hiện giao dịch nhưng có tin nhắn cung cấp OTP thì nên khẩn cấp thay đổi mật khẩu tài khoản.
Đối với OTP token, người dùng cần giữ thiết bị token cẩn thận, khi bị mất thì cần báo với ngân hàng ngay lập tức.
Không cung cấp mã OTP cho bất kỳ ai dưới bất kỳ hình thức nào dù là qua tin nhắn sms, điện thoại, tin nhắn mạng xã hội…
Và bài viết này sẽ trình bày những nguy cơ bị tấn công và lừa đảo trực tuyến mà người dùng có thể gặp phải và một số hướng dẫn nhằm nâng cao bảo mật cho người dùng.
Các hình thức tấn công và lừa đảo trực tuyến:
Lừa đảo qua email:
Những kẻ lừa đảo sẽ giả danh các cá nhân, tổ chức như đồng nghiệp, cấp trên, đối tác, công ty, ngân hàng… gửi email đến người dùng để:
Yêu cầu người dùng cung cấp thông tin riêng tư như: thông tin cá nhân, thông tin tài khoản…
Thông báo người dùng trúng một giải thưởng nào đó và yêu cầu cung cấp thông tin tài khoản ngân hàng/thanh toán một khoản phí để nhận được giải thưởng.
Thông báo tài khoản người dùng sẽ bị khóa và yêu cầu gửi thông tin đăng nhập để xác nhận.
Những trang web giả mạo:
Những tên tội phạm sẽ tạo ra một trang web có giao diện giống với trang web của ngân hàng mà người dùng sử dụng để giao dịch, sau đó chúng sẽ lừa người dùng nhập vào các thông tin như tên đăng nhập, mật khẩu, OTP. Khi đó thông tin của người dùng sẽ được gửi đến bọn tội phạm và chúng sẽ dùng thông tin có được để truy cập vào tài khoản người dùng và chuyển tiền cho bên thứ ba hoặc giả danh thực hiện các hành vi gây thiệt tài chính/uy tín của người dùng.
Lừa đảo qua mạng xã hội:
Đây là hình thức lừa đảo mà những tên tội phạm chiếm đoạt tài khoản mạng xã hội người dùng như Facebook, Zalo… sau đó đọc những tin nhắn cũ và bắt chước thói quen nhắn tin, xưng hô của người dùng để thực hiện hành vi lừa đảo yêu cầu người thân quen của nạn nhân thực hiện các giao dịch tài chính.
Một hình thức lừa đảo qua mạng xã hội khác là giả hệ thống thông báo người dùng trúng một giải thưởng nào đó và yêu cầu người dùng truy cập một trang web lừa đảo từ đó chiếm đoạt thông tin tài khoản/lừa người người thực hiện giao dịch.
Đây là trò lừa đảo dưới dạng một email có hình thức như được gửi trực tiếp cho người nhận, nhưng thật ra đã được bọn tội phạm gửi cho rất nhiều người. Email sẽ đưa ra đề nghị người nhận sẽ được một khoản tiền lớn nếu giúp cho người gửi (bọn tội phạm mạo danh là quan chức chính phủ hay ngân hàng nào đó tận châu Phi, biết về một khoản tiền, vàng, thừa kế không có chủ và họ không thể nhận được và cần người nhận hộ), khi nạn nhân đồng ý thì người gửi (bọn tội phạm) sẽ yêu cầu một khoản chi phí để có thể nhận tiền nhưng thực tế thì người nhận sẽ không thể nhận được.
Xem thêm: https://vi.wikipedia.org/wiki/L%E1%B...91c_t%E1%BA%BF
Trộm danh tính:
Là hành vi mà các cá nhân/tổ chức thu thập thông tin cá nhân như thông tin thẻ tín dụng của người dùng để kiếm các lợi ích tài chính, tạo ra món nợ lớn về lịch sử tín dụng của nạn nhân và dẫn đến những rắc rối về luật pháp.
Phần mềm độc hại (Virus, Trojans, Pharming, Rootkit, Keylogger, …):
Là những phần mềm được thiết kế để gây hại máy tính/ smartphone/ tablet. Phần mềm độc hại có thể thực hiện các hành vi phá hoại, thậm chí là lấy cắp thông tin nhạy cảm như tài khoản ngân hàng từ thiết bị của người dùng và gửi về cho bọn tội phạm.
Các biện pháp bảo mật để tránh bị tấn công và lừa đảo trực tuyến:
Đối với thiết bị được dùng để giao dịch trực tuyến (máy tính, smartphone):
Khi hệ điều hành/phần mềm tồn tại lỗ hổng chưa được vá, những kẻ tấn công sẽ dùng điểm yếu này để khai thác và lấy các thông tin, dữ liệu nhạy cảm như thông tin tài khoản ngân hàng. Do đó hệ điều hành cũng như các phần mềm cần được thường xuyên cập nhật các bản vá lỗ hổng từ nhà cung cấp. Người dùng hệ điều hành hay phần mềm từ nhà cung cấp nào thì vào trực tiếp trang web của nhà cung cấp đó để tải về những bản cập nhật mới nhất, tránh cập nhật từ những nguồn giả mạo.
Khi sử dụng smartphone thì nên dùng các thiết bị không jailbreak (iOS) hay rooted (Android).
Chỉ tải và sử dụng các ứng dụng Internet Banking/Mobile Banking (tên gọi khác nhau tùy ngân hàng) từ App Store (iOS), Google Play (Android), Windows Store (Window Phone) khi được đảm bảo từ ngân hàng.
Máy tính/smartphone khi sử dụng internet sẽ rất dễ bị nhiễm mã độc nếu như người dùng không cẩn thận trước các mối đe dọa, do đó người dùng nên cài đặt và cập nhật bản mới nhất cho một chương trình Anti-Malware mạnh trên máy tính lẫn smartphone với các tính năng tiên tiến như: tường lửa, giao dịch online an toàn, chống lộ lọt thông tin… sẽ góp phần bảo vệ người dùng trước các cuộc tấn công, giảm nguy cơ bị đánh cắp dữ liệu, thông tin cá nhân, an toàn khi giao dịch trực tuyến…
Không sử dụng các phần mềm không rõ nguồn gốc, crack, keygen… vì hành động này có thể làm máy tính nhiễm mã độc, gây lộ thông tin tài khoản.
Người dùng không nên mở các trang web không an toàn, không mở các email lạ hoặc những tập tin đính kèm không rõ nguồn gốc và không đảm bảo an toàn. Trong trường hợp mở thì nên quét virus hoặc chỉ mở trong môi trường an toàn.
Đăng nhập/giao dịch/thoát an toàn:
Một điều rất quan trọng là khi thực hiện mọi thao tác trên dịch vụ ngân hàng trực tuyến (tên dịch vụ khác nhau tùy ngân hàng) người dùng chỉ nên truy cập bằng cách gõ thật chính xác địa chỉ trang web vào thanh địa chỉ trình duyệt.
Sau khi truy cập trang web dịch vụ ngân hàng trực tuyến cần kiểm tra biểu tượng ổ khóa và chứng nhận của trang web.
Không thực hiện hoạt động giao dịch khi người thân, đồng nghiệp yêu cầu qua tin nhắn mạng xã hội như Facebook, Zalo… vì có thể tài khoản của họ đã bị hack. Trong trường hợp thực hiện giao dịch thì cần xác minh danh tính thật cẩn thận.
Không click/đăng nhập vào những đường link lạ được gửi qua email, tin nhắn mạng xã hội.
Khi thực hiện nhập tên người dùng/mật khẩu nên sử dụng tính năng bàn phím ảo để tăng cường bảo mật tránh bị lộ thông tin tài khoản do keylogger.
Không đăng nhập bằng cách click vào một liên kết trông có vẻ giống với trang dịch vụ ngân hàng trực tuyến mà bạn định thực hiện giao dịch.
Không đăng nhập tài khoản vào trang web có giao diện giống nhưng địa chỉ trang web lại khác với trang giao dịch trực tuyến mà bạn sử dụng.
Chỉ đăng nhập trên các thiết bị tin cậy, không bị nhiễm mã độc. Ghi nhớ các thiết bị đã dùng để đăng nhập để có biện pháp giải quyết khi có sự cố xảy ra, hạn chế đăng nhập trên nhiều thiết bị để dễ kiểm soát.
Không thực hiện đăng nhập, giao dịch khi sử dụng wifi công công, máy tính công cộng vì đây là những môi trường không an toàn và người dùng có thể bị đánh cắp thông tin ngân hàng.
Khi hệ thống đang xử lý giao dịch, người dùng không nên thoát khỏi màn hình giao dịch cho đến khi có thông báo kết quả giao dịch từ hệ thông trước khi thực hiện các thao tác khác.
Để thoát khỏi hệ thống giao dịch trực tuyến người dùng không nên dùng cách đóng tab trình duyệt mà nên sử dụng tính năng thoát/đăng xuất của hệ thống, sau đó tắt hoàn toàn trình duyệt.
Sử dụng và bảo quản mật khẩu:
Nên sử dụng mật khẩu mạnh cho tài khoản ngân hàng trực tuyến cũng như những tài khoản khác. Mật khẩu mạnh là mật khẩu có độ dài >8 ký tự (tùy quy định của ngân hàng) bao gồm chữ cái thường, in hoa, chữ số và cả những ký tự đặc biệt như @, !, %, #, $,…
Nên sử dụng mật khẩu khác nhau cho những trang web khác nhau, để tránh trường hợp 1 tài khoản bị lộ mật khẩu sẽ ảnh hưởng đến những tài khoản khác.
Không đặt mật khẩu dễ đoán như tên, ngày sinh, số điện thoại… vì kẻ xấu có thể dựa vào những thông tin này để tấn công tài khoản người dùng.
Nên đổi mật khẩu thường xuyên để đảm bảo an toàn cho tài khoản. Đặc biệt là nên thay đổi mật khẩu ngay khi click vào những đường link nghi ngờ là không an toàn, hoặc vô tình nhập thông tin tài khoản vào những trang web không an toàn.
Không viết, không chia sẻ các thông tin như tên tài khoản, mật khẩu, email, thông tin tài khoản… cho người khác.
Không nhập mật khẩu vào trang web của bên thức ba trừ trang web của ngân hàng cung cấp dịch vụ mà bạn sử dụng.
OTP SMS / OTP Token và cách sử dụng an toàn:
Không nhập/nhập tạm OTP vào bất cứ website / màn hình hiển thị nào khác trừ trang giao dịch của ngân hàng mà bạn sử dụng.
Khi nhận được tin nhắn OTP, cần kiểm tra các nội dung liên quan đến giao dịch (số tiền, số tài khoản nhận, ...). Trong trường hợp thông tin không khớp đúng, người dùng tuyệt đối không nhập OTP vào bất cứ màn hình nào và nên báo với ngân hàng mà bạn sử dụng.
Trong trường hợp người dùng không thực hiện giao dịch nhưng có tin nhắn cung cấp OTP thì nên khẩn cấp thay đổi mật khẩu tài khoản.
Đối với OTP token, người dùng cần giữ thiết bị token cẩn thận, khi bị mất thì cần báo với ngân hàng ngay lập tức.
Chỉnh sửa lần cuối: