Trong những năm gần đây, Chính phủ có nhiều chính sách khuyến khích, đẩy mạnh chuyển đổi số trong lĩnh vực tài chính ngân hàng. Đây là môi trường thuận lợi để các định chế tài chính thúc đẩy chuyển đổi số. Tốc độ phổ cập Internet trên đầu người của Việt Nam ở mức trung bình cao trên thế giới. Số lượng người dùng Internet, điện thoại thông minh ngày càng tăng. Trong đó, cả người già và trẻ em cũng tham gia vào hoạt động này. Đây là hai đối tượng đề kháng kém với lừa đảo. Đó là lý do vì sao Việt Nam trở thành đích ngắm cho tội phạm lừa đảo trên mạng và thông qua giao dịch trực tuyến bằng phương tiện diện thoại thông minh.
Ngày 2/11 vừa qua, Cơ quan Cảnh sát điều tra Công an TP Hồ Chí Minh đã ra quyết định khởi tố vụ án hình sự “Lừa đảo chiếm đoạt tài sản” theo Điều 174 Bộ Luật Hình sự năm 2015, sửa đổi, bổ sung năm 2017, để tiếp tục điều tra, truy xét đối tượng thực hiện hành vi phạm tội.
Trước đó, Cơ quan này đã nhận được đơn tố giác của bà N.H.T.T (SN 1984, quê Đồng Nai) về việc các đối tượng (chưa rõ lai lịch) đã làm giả giấy chứng minh nhân dân, đóng giả là bà N.H.T.T rồi đến cửa hàng Viettel có địa chỉ trên đường Lạc Long Quân, phường 5, quận 11 (TP Hồ Chí Minh) thực hiện đổi SIM điện thoại của bà để đăng ký nhận mã OTP chiếm đoạt số tiền hơn 5,3 tỷ đồng trong tài khoản ngân hàng. Theo bà N.H.T.T, ngày 1/1/2021, bà phát hiện điện thoại bị mất sóng, khi gọi lên tổng đài Viettel thì được nhân viên cho biết, SIM trong điện thoại này bị khoá do đã cấp lại SIM mới.
Điều đáng nói là sau đó bà N.H.T.T phát hiện toàn bộ tiền gửi trong tài khoản ngân hàng BIDV (chi nhánh Tân Bình), Viet Capital Bank (chi nhánh Tân Bình) và Vietcombank (chi nhánh Đông Đồng Nai) tổng cộng hơn 5,3 tỷ đồng đã bị chuyển đi cho các tài khoản lạ dưới hình thức chuyển khoản trực tuyến do chính bà xác lập và được xác thực bởi mã OTP qua tin nhắn điện thoại.
Rơi vào hoàn cảnh tương tự bà N.H.T.T, mới đây, một khách hàng gửi tiết kiệm online tại Ngân hàng M khiếu nại bị mất 2,1 tỷ đồng trong tài khoản. Theo thông tin ban đầu, vị khách hàng này bị kẻ gian gọi điện thoại và tự xưng là nhân viên nhà mạng đề nghị hỗ trợ nâng cấp SIM điện thoại rồi kích hoạt SIM điện tử (ESIM) trên điện thoại. Sau đó, tổng đài tự động của ngân hàng nhận được cuộc gọi từ số SIM đã đăng ký dưới tên khách hàng yêu cầu cấp lại tên đăng nhập Internet Banking, được gửi về email mà khách hàng đã đăng ký trước đó.
Sau đó, kẻ gian đăng ký báo quên mật khẩu và yêu cầu cung cấp lại mật khẩu đăng nhập mới rồi chiếm đoạt thông tin tài khoản của khách hàng. Với thủ đoạn này, kẻ gian đã tất toán sổ tiết kiệm online của khách hàng mở tại ngân hàng nói trên.
Thực tế, thời gian vừa quan, ngoài “chiêu” cấp đổi SIM để chiếm quyền quản lý, chiếm đoạt tài sản thì một vài thủ đoạn tinh vi khác cũng đã bắt đầu hiện hữu. Thí dụ như lợi dụng công nghệ trí tuệ nhân tạo (AI) để xây dựng các kịch bản lừa đảo tự động, mạo danh các định chế tài chính.
Vấn đề đặt ra ở đây là với tốc độ phát triển công nghệ tự động như hiện nay thì quy mô lừa đảo sẽ tác động đến hàng trăm ngàn đến hàng triệu người chứ không phải chỉ vài trường hơp được nêu ra ở trên.
Minh chứng là, vụ việc liên quan đến việc mất tiền trong tài khoản vì bị chiếm đoạt SIM điện thoại là không mới và không hiếm. Hồi tháng 3/2022, Bộ Công an phát đi thông cáo, tại một số địa phương trong đó có TP Đà Nẵng, nổi lên hiện tượng các đối tượng tội phạm thực hiện thủ đoạn lừa chiếm đoạt quyền sử dụng SIM điện thoại cá nhân. Cụ thể, đối tượng thu thập thông tin cá nhân của bị hại, những thông tin này do lộ lọt, mua bán trên không gian mạng... Lợi dụng thông tin mua được cùng chính sách dịch vụ của các nhà mạng di động cho phép thuê bao di động được chuyển hướng cuộc gọi đến một số điện thoại khác, từ đó chúng chiếm đoạt mật khẩu tài khoản ngân hàng, ví điện tử, tài khoản mạng xã hội… để chiếm đoạt tài sản.
Đến tháng 6/2022, Công an quận Hà Đông (Hà Nội) phối hợp với Phòng Cảnh sát hình sự - Công an TP Hà Nội và Cục An ninh mạng và phòng chống tội phạm công nghệ cao (Bộ Công an) triệt xóa đường dây sử dụng tài liệu giả của cơ quan, tổ chức chiếm đoạt khoảng 10 tỷ đồng trong tài khoản ngân hàng của người dân.
Theo ông Trương Đức Lượng, Chủ tịch Công ty CP An ninh mạng Việt Nam (VSEC), thủ đoạn cũng là chiếm đoạt SIM điện thoại nhưng các đối tượng đã có sự đầu tư hơn. Theo đó, thay vì chỉ lừa chuyển hướng cuộc gọi, các đối tượng đã bỏ ra nhiều triệu đồng để dùng chứng minh nhân dân giả xin cấp lại SIM điện thoại. Sau đó, các đối tượng lắp SIM vào điện thoại, tải ứng dụng chuyển tiền của ngân hàng, xin cấp lại mật khẩu tài khoản ngân hàng rồi đăng nhập vào tài khoản chuyển khoản. Thậm chí, toàn bộ tiền trong tài khoản của chủ tài khoản được đưa đến hàng loạt tài khoản trung gian, mua bán tiền ảo để thực hiện việc rửa tiền, tránh sự phát hiện của các cơ quan chức năng.
Trở lại với vụ việc bị chiếm đoạt 2,1 tỷ đồng tại ngân hàng M như đã nói ở trên, dù thủ đoạn không mới nhưng có hai yếu tố rất đáng quan tâm. Thứ nhất, vị khách hàng bị chiếm đoạt SIM điện thoại qua việc cấp lại ESIM từ tháng 1/2022 mà đến tận tháng 8/2022 chưa phát hiện ra và vẫn yêu cầu ngân hàng thanh toán khoản tiền tiết kiệm? Thứ hai, tại sao ngân hàng cung cấp lại mật khẩu qua điện thoại?
Thực tế, việc cấp lại SIM hoặc chuyển đổi sang từ SIM vật lý sang ESIM gồm rất nhiều bước xác thực như: Phải đến trực tiếp đại lý/chi nhánh nhà mạng; phải cung cấp giấy tờ xác minh là chủ SIM điện thoại; xác minh định danh điện tử (eKyc); cung cấp số điện thoại liên lạc gần đây… Theo đó, các thủ tục này diễn ra nghiêm tục tại chi nhánh chính hãng. Tuy nhiên, tại một số đại lý uỷ quyền, quy trình có thể bị bóp méo do nhân viên đại lý trục lợi (?). Hoặc do khách hàng tự làm lộ thông tin cá nhân và đối tượng phạm tội làm giả giấy tờ quá chuyên nghiệp khiến nhân viên đại lý khó phân biệt.
Riêng với thủ tục cung cấp những số liên lạc gần nhất, do nhân viên đại lý cũng không có quyền tra cứu danh sách mà chỉ được phép kiểm tra tính đúng/sai về thông tin khách hàng cung cấp. Do đó, các đối tượng tội phạm sẽ dùng một vài số điện thoại lạ để nháy máy, nếu người dùng gọi điện lại thì đây là thông tin để cấp lại SIM mới. Ngoài ra, việc khách hàng không phát hiện ra việc bị đánh cắp thông tin điện thoại có thể do các đối tượng đăng ký sử dụng MultiSIM. Hiểu đơn giản, dịch vụ này cho phép người dùng có thể sử dụng một số điện thoại bằng nhiều SIM trên nhiều thiết bị khác nhau.
Đối với yếu tố thứ hai, thông thường, ngân hàng luôn khuyến khích khách hàng sử dụng nhiều lớp bảo mật trong xác thực giao dịch, bao gồm sử dụng ứng dụng bên thứ ba. Khi đó, nếu khách hàng bị chiếm đoạt SIM điện thoại từ xa thì các đối tượng xấu cũng không thể thực hiện giao dịch chuyển tiền. Mặt khác, với các yêu cầu cung cấp lại mật khẩu giao dịch hoặc mật khẩu tài khoản, hầu hết các ngân hàng đều thực hiện qua phương thức eKyc. Mà điều này thì rất khó có thể làm giả, bởi đều thực hiện thông qua máy móc và công nghệ AI.
Tuy nhiên, có một thực tế là các cách xác thực này vẫn phải phụ thuộc vào yếu tố chủ quan của khách hàng, tức phải được khách hàng chấp thuận. Trong trường hợp không được khách hàng đồng ý sử dụng công nghệ mới, ngân hàng buộc phải xác thực bằng phương thức truyền thống đến trực tiếp phòng giao dịch hoặc qua điện thoại (phone banking). Với qua điện thoại, khách hàng phải cung cấp đúng số tài khoản; đúng căn cước công dân; các giao dịch gần nhất; đặc biệt mật khẩu mới chỉ được hỗ trợ chuyển về điện thoại hoặc email đã đăng ký trước đó… Song, cách xác thực bằng truyền thống rất dễ đánh cắp. Bởi lẽ, thông tin cá nhân của người dùng từ số điện thoại, ngày sinh, căn cước công dân, địa chỉ nhà, email… rất dễ bị lộ và được rao bán qua nhiều kênh khác nhau. Khi đó, nếu bị chiếm thêm quyền sử dụng SIM điện thoại thì ngân hàng rất khó để phát hiện giao dịch bất thường.
Ở góc độ ngân hàng, các ngân hàng có sự cố đáng tiếc nêu trên đều khẳng định, quy trình tại các ngân hàng không có vấn đề. Mặt khác, nếu ngân hàng có lỗ hổng thì sẽ không chỉ một vài trường hợp mất tiền mà số nạn nhân phải lên tới hàng nghìn, hàng triệu người. Nghĩa là mấu chốt vẫn là người dùng khi để lộ thông tin tài khoản, thông tin cá nhân một cách quá dễ dàng.
Về vấn đề này, TS Nguyễn Quốc Hùng - Tổng Thư ký Hiệp hội Ngân hàng Việt Nam cho hay, tội phạm mạng trong lĩnh vực ngân hàng ngày càng gia tăng làm các ngân hàng hết sức đau đầu. Nhiều trường hợp khách hàng mất tiền trong tài khoản là do sự chủ quan của chính bản thân song ít nhiều thương hiệu ngân hàng cũng bị tổn hại. Chính vì vậy, bên cạnh ngân hàng thường xuyên phải tăng cường bảo mật, mỗi khách hàng phải luôn ý thức bảo vệ thông tin cá nhân của mình.
Và không phải ngẫu nhiên, các ngân hàng đều ra khuyến nghị: “Người dùng nên bật chế độ thông báo của các ứng dụng ngân hàng. Bởi, mỗi tài khoản chỉ được đăng nhập trên một app tại một thiết bị nhất định (trust device). Nếu bị chiếm đoạt SIM điện thoại, kẻ gian vẫn buộc phải gọi lên tổng đài yêu cầu xác thực và đăng xuất trên thiết bị cũ. Hoạt động này sẽ có thông báo lên trên màn hình điện thoại của khách hàng”.
Cục Cạnh tranh và Bảo vệ người tiêu dùng cũng khuyến cáo, người dân nêu cao tinh thần cảnh giác, thực hiện các biện pháp phòng tránh, ngăn ngừa, như kiểm tra thông tin, không truy cập các đường dẫn lạ, tăng cường bảo mật cho SIM điện thoại của mình, có thể bằng cách cài đặt mã PIN cho sim điện thoại theo hướng dẫn của nhà mạng, liên hệ tổng đài khóa SIM ngay khi phát hiện thẻ SIM trên máy điện thoại của mình bị vô hiệu hóa, nghi ngờ do bị chiếm đoạt quyền kiểm soát SIM… Bởi nguyên tắc đầu tiên của các đối tượng lừa đảo hiện nay là có trong tay một số thông tin nhất định để dễ dàng có được “niềm tin” của khách hàng. Trong khi đó, nhiều khách hàng vẫn vô tư chia sẻ thông tin cá nhân trên mạng, biến mình thành miếng mồi cho lừa đảo.
Thực tế, không chỉ các ngân hàng, các cơ quan chức năng cũng đang rất đau đầu khi đối phó với vấn nạn lừa đảo, chiếm đoạt tiền trong tài khoản ngân hàng. Bởi thủ đoạn của các đối tượng ngày càng tinh vi. Trong khi, việc đưa ra cảnh báo là chưa đủ và nguyên nhân vẫn xuất phát chủ yếu từ việc khách hàng tự để lộ thông tin. Nghĩa là lỗi vẫn và chỉ tại khách hàng. Và đương nhiên người chịu mọi thiệt thòi cũng chính là khách hàng – đối tượng đã thụ hưởng các tiện ích, thuận lợi kia.
Tất nhiên, để hạn chế cho rủi ro cho người dùng, nhà mạng và ngân hàng có thể siết lại quy trình bảo mật chặt chẽ hơn như vậy lại gây bất tiện cho người dùng. Giải pháp hữu hiệu nhất để phòng trách lừa đảo là người dùng cần ý thức về việc cung cấp thông tin cá nhân cho người khác khi trao đổi trên mạng. Người dùng cần áp dụng triệt để nguyên tắc: “không tin tưởng, luôn xác minh lại”. Nghĩa là mỗi khi nhận được các cuộc gọi, tin nhắn, email từ phía ngân hàng, nhà mạng hay bất kỳ đơn vị nào thì cũng không vội tin ngay mà phải kiểm tra lại số điện thoại đó có phải của ngân hàng, nhà mạng… hay không, không nên vội vàng làm theo hướng dẫn khi nhận được điện thoại.
Tuy nhiên, việc giải quyết hậu quả của những sự vụ nêu trên không hề đơn giản. Đơn cử như vấn đề bồi hoàn, nếu các bên chưa thỏa thuận được thì nên đợi kết luận của cơ quan chức năng. Song ngân hàng cũng phải xử lý rất khéo. Nếu đẩy hết phần thiệt cho khách hàng thì nguy cơ người dân quay lưng với ngân hàng là rất cao.
Và mặc dù hành lang pháp lý liên quan đến xử lý các hành vi lừa đảo, tấn công mạng ở Việt Nam hiện đã được ban hành khá đầy đủ với Luật An toàn thông tin mạng, Luật An ninh mạng và các văn bản liên quan hướng dẫn, xử lý vi phạm. Tuy nhiên, vấn nạn tấn công, lừa đảo, mạo danh các tổ chức tài chính, ngân hàng sẽ không thể xử lý triệt để 100% mà chúng ta phải đối mặt với nó.
Thiết nghĩ, ngoài những lời cảnh báo, thậm chí là sự đùn đẩy, chối bỏ trách nhiệm từ các bên liên quan, nhất là từ phía các ngân hàng, đã đến lúc, nâng cao hơn nữa trách nhiệm của các bên liên quan để giảm thiểu thiệt hại và củng cố lòng tin vào hệ thống ngân hàng của người dân./.