Bảo mật thông tin là một yêu cầu thiết yếu đối với bất kỳ hệ thống nào trong bối cảnh tình hình an ninh mạng hiện nay. Số lượng các giao dịch cá nhân và doanh nghiệp được thực hiện bằng phương thức điện tử đang tăng lên một cách nhanh chóng. Mua sắm trực tuyến, chuyển tiền trực tuyến và ngân hàng trực tuyến giúp người dùng tiết kiệm rất nhiều thời gian.

Tuy nhiên, những công nghệ này cũng giúp tội phạm mạng tiến hành các cuộc tấn công dễ dàng hơn bằng cách cung cấp cho chúng những cách thức tiến hành mới và dễ dàng đánh cắp tiền hoặc tài sản số của người dùng. Các ứng dụng độc hại nhắm vào các giao dịch ngân hàng trực tuyến cũng đã gia tăng đáng kể trong vài năm qua. Worms, Trojan, virus, tấn công lừa đảo, tấn công từ chối dịch vụ và gửi thư rác là những mối đe dọa phổ biến nhất. Tất cả các hoạt động độc hại này đã dẫn đến việc truy cập trái phép, trộm cắp và gian lận tài khoản, thông tin người dùng.

CÁC MỐI ĐE DỌA THƯỜNG GẶP TRONG THANH TOÁN ĐIỆN TỬ

1. Kỹ nghệ xã hội

Điện thoại di động ngày càng được sử dụng phổ biến bởi cá nhân và tổ chức doanh nghiệp. Đáng lo ngại là điện thoại di động sở hữu nhiều thông tin quan trọng của người dùng, những thông tin này có thể giúp tội phạm mạng thực hiện các cuộc tấn công tinh vi.  

Một hình thức tấn công phổ biến nhắm vào người dùng là  khai thác các kênh liên lạc khác nhau (như điện thoại, email, SMS) và dữ liệu về người dùng có sẵn trong vùng lưu trữ công khai (như các trang web truyền thông xã hội, công cụ tìm kiếm). Những dữ liệu mà tội phạm mạng nhắm tới thường là dữ liệu thẻ tín dụng và dữ liệu cá nhân người dùng. Dữ liệu thẻ tín dụng hoặc thẻ ghi nợ bị đánh cắp (như PAN, CVV, ngày hết hạn thẻ) có thể được lợi dụng để thực hiện các thanh toán bất hợp pháp (như thực hiện các giao dịch buôn bán trong các thị trường chợ đen) hoặc được sử dụng để gian lận trong thanh toán. Dữ liệu cá nhân bị đánh cắp của người dùng thanh toán di động (tên, họ, ngày sinh, thông tin liên hệ như địa chỉ giao hàng thanh toán, email, số điện thoại) có thể được sử dụng cho các cuộc tấn công mạo danh và đánh cắp danh tính.

2. Cài đặt các ứng dụng giả mạo và phần mềm độc hại

Những kẻ tấn công sẽ tìm cách cài đặt phần mềm độc hại trên bằng cách lừa đảo hoặc áp dụng các kỹ nghệ xã hội đối với nạn nhân để mở tệp đính kèm độc hại bằng email và chuyển hướng người dùng đến một URL độc hại. Một kênh khác có thể lây nhiễm phần mềm độc hại là các điểm truy cập WiFi không an toàn (như Internet công cộng tại các quán cà phê) có thể cho phép kẻ tấn công nhắm mục tiêu vào thiết bị di động thông qua kỹ thuật tấn công Man in The Middle.

Ngoài ra, tội phạm mạng còn có thể thực hiện tấn công giả mạo qua mạng. Đó là khi người dùng độc hại thiết lập một điểm truy cập giả mạo có cùng tên mạng, giống với điểm đã tồn tại, chẳng hạn như tên quán cà phê nổi tiếng.

Tin tặc có thể thiết lập một trang web giả để “xác thực” người dùng. Bằng cách này, chúng sẽ thu thập dữ liệu, sau đó sử dụng dữ liệu này cho các bước tiếp theo trong cuộc tấn công. Không có gì lạ khi thấy nhiều người sử dụng cùng tên người dùng và mật khẩu cho nhiều dịch vụ khác nhau, ngay cả đối với ứng dụng thanh toán di động.

3. Truy cập trái phép vào thiết bị di động bị mất hoặc bị đánh cắp

Các cuộc tấn công trực tiếp giả định tin tặc sở hữu một thiết bị mà người dùng vô tình làm mất hoặc bị đánh cắp. Sau khi sở hữu thiết bị, tin tặc có thể cố gắng truy cập vào thiết bị, thông thường chúng sẽ thực hiện kỹ thuật tấn công Brute Force nhằm vượt qua lớp bảo mật bằng mã PIN hoặc dấu vân tay. Khi thiết bị được bảo vệ thông qua xác thực dấu vân tay, tin tặc cũng có thể sử dụng dấu vân tay bị đánh cắp từ các nguồn dữ liệu dấu vân tay khác. 

Bên cạnh đó, tin tặc sẽ cố gắng sử dụng các công cụ điều tra số thương mại hoặc mã nguồn mở để bẻ khóa hệ điều hành của thiết bị và giành quyền truy cập vào trong hệ thống tệp để lấy cắp dữ liệu được cài đặt trên thiết bị.

4. Khai thác các lỗ hổng của ứng dụng thanh toán di động

Việc khai thác lỗ hổng của ứng dụng di động có thể cho phép kẻ tấn công có thể lấy cắp bất kỳ dữ liệu nhạy cảm nào được ứng dụng lưu trữ (như các thông tin chi tiết về tài khoản cá nhân của người dùng và dữ liệu thẻ tín dụng). Việc khai thác các lỗ hổng như xác thực có thể cho phép kẻ tấn công truy cập trái phép vào thiết bị. Việc truy cập trái phép vào chức năng thanh toán di động có thể xảy ra do việc khai thác các API thanh toán di động được sử dụng để mua hàng cho phép tin tặc thực hiện các giao dịch gian lận.

Ngoài ra, có thể xảy ra gian lận với các tài khoản ngân hàng và thẻ tín dụng bị đánh cắp được liên kết với ứng dụng thanh toán di động. Tin tặc cũng có thể khai thác các điểm yếu trong quá trình đăng ký để thêm một thiết bị di động khác vào hồ sơ người dùng nhằm thực hiện các giao dịch mua bán gian lận.

TÌNH HÌNH MẤT AN TOÀN TRONG THANH TOÁN ĐIỆN TỬ TẠI KHU VỰC ĐÔNG NAM Á

Ngày 06/04/2022, Hãng bảo mật Kaspersky công bố nghiên cứu cho thấy mối tương quan tích cực giữa việc áp dụng các phương thức thanh toán kỹ thuật số và nhận thức về các rủi ro và mối đe dọa liên quan đến chúng ở Đông Nam Á.

Cụ thể, nghiên cứu phát hiện gần như tất cả những người được khảo sát ở Đông Nam Á (97%) đều nhận thức được ít nhất một loại đe dọa đối với các nền tảng thanh toán điện tử, trong khi gần 3/4 (72%) người sử dụng đã gặp phải ít nhất một loại đe dọa liên quan đến công nghệ này. Hơn 25% số người tham gia khảo sát đã gặp phải các trò lừa đảo phi kỹ thuật qua tin nhắn hoặc cuộc gọi (37%), trang web giả mạo (27%), các khuyến mãi giả mạo (27%) và 1/4 báo cáo đã nhận được các trò lừa đảo trực tuyến (25%).

Đáng chú ý, lừa đảo phi kỹ thuật là mối đe dọa hàng đầu đối với hầu hết các quốc gia Đông Nam Á, bao gồm Indonesia (40%), Malaysia (45%), Philippines (42%), Singapore (32%) và Việt Nam (38%). Duy chỉ có Thái Lan với mối đe dọa hàng đầu là trang Web giả mạo (31%).

Theo nghiên cứu, việc tiếp xúc nhiều với các mối đe dọa mạng có thể liên quan trực tiếp đến mức độ nhận thức cao hơn. Lừa đảo phi kỹ thuật, trang Web giả mạo, các khuyến mãi giả là một trong những mối đe dọa thường gặp nhất, với tỉ lệ nhận biết cao lần lượt là 72%, 75% và 64%. Tài khoản bị tấn công bởi vi phạm dữ liệu (47%), ứng dụng giả mạo và gian lận (45%), mã độc tống tiền ransomware (45%) và các khuyến mãi giả mạo (43%) cũng được liệt kê là 5 mối đe dọa hàng đầu dẫn đến tổn thất tài chính ở Đông Nam Á.

Tại Việt Nam, trong năm 2021, tình hình đại dịch COVID-19 tiếp tục có những diễn biến phức tạp, hàng loạt doanh nghiệp, cơ quan tổ chức chuyển sang làm việc từ xa. Điều này tạo môi trường cho kẻ tấn công khai thác lỗ hổng, đánh cắp thông tin, nhiều vụ tấn công mạng quy mô lớn diễn ra tại Việt Nam và trên toàn cầu. Trong bối cảnh diễn biến phức tạp, việc thanh toán điện tử hoặc mua sắm trực tuyến trên nền tảng Internet trở nên phổ biến đối với mọi người dân, điều này càng khiến cho tin tặc dễ dàng khai thác dữ liệu và đánh cắp thông tin nhiều hơn trên không gian mạng.

Theo thống kê trong năm 2021, lượng người sử dụng ví điện tử và các ứng dụng thanh toán không tiền mặt tăng mạnh, hơn 85% người tiêu dùng sở hữu ít nhất 1 ví điện tử hoặc ứng dụng thanh toán; hơn 42% người tiêu dùng sử dụng thanh toán bằng thiết bị di động. Đặc biệt có tới 71% người dùng sử dụng ví điện tử hoặc các ứng dụng thanh toán ít nhất 1 lần/ tuần.

Đầu tháng 8/2021, tin tặc đã đăng tin rao bán nhiều lỗ hổng bảo mật nhằm chiếm đoạt tài khoản người dùng Zalo và Zalo Pay, ứng dụng chat và thanh toán phổ biến số 1 Việt Nam với hơn 100 triệu người dùng. Các chuyên gia đánh giá, nếu làm chủ được các lỗ hổng này, kẻ tấn công có thể truy cập dễ dàng vào tài khoản người dùng Zalo và xem được hết tin nhắn, hình ảnh, dữ liệu riêng tư trong thời gian dài mà nạn nhân không hề hay biết. Nếu những thông tin này bị rò rỉ hoặc được tiết lộ bởi bên thứ 3, hậu quả sẽ không chỉ xảy ra nặng nề đối với người sử dụng thanh toán trực tuyến, mà còn ảnh hưởng cực kỳ lớn đối với doanh nghiệp và uy tín của chính doanh nghiệp đó.

Theo số liệu mới nhất từ Kaspersky, có đến 26,36% các nỗ lực lừa đảo tại Việt Nam vào tháng 4/2022 liên quan đến tài chính. Các vụ lừa đảo nhắm vào ngân hàng, các hệ thống thanh toán và cửa hàng trực tuyến. Trong đó, lừa đảo thông qua các hệ thống thanh toán là trường hợp phổ biến nhất được hãng bảo mật phát hiện, chiếm 11,77% tổng số lừa đảo và hơn 44% trong số các loại lừa đảo tài chính.

Không chỉ có các cuộc tấn công sử dụng các công nghệ đặc biệt, ngoài ra, các kỹ nghệ xã hội nhằm lừa đảo người dùng cũng được sử dụng bởi những kẻ lừa đảo mạo danh. Thời gian gần đây, rất nhiều người dùng tại Việt Nam nhận được tin nhắn định danh mạo danh các ngân hàng với mục đích lừa đảo khi thực hiện thanh toán trực tuyến. Nội dung tin nhắn thông báo tài khoản ngân hàng có giao dịch bất thường và đề nghị khách hàng đăng nhập nếu không sẽ bị khóa tài khoản sau 24 giờ, kèm theo đường dẫn để dụ người dùng truy cập dẫn đến chiếm đoạt tài sản của người dùng.

Điều này dấy lên mối lo ngại về bảo mật an toàn trong việc thanh toán điện tử trên thế giới nói chung và tại Việt Nam nói riêng. Các doanh nghiệp trong và ngoài nước cần đảm bảo an toàn thông tin đối với người dùng cuối - một trong những mắt xích chứa nhiều điểm yếu nhất, bằng cách thường xuyên triển khai các hoạt động nâng cao nhận thức, trang bị kỹ năng đảm bảo an toàn, an ninh mạng cho toàn bộ cán bộ lãnh đạo, nhân viên. Song song với đó, doanh nghiệp cũng nên triển khai các đợt đánh giá an ninh mạng, các chiến dịch kiểm tra độc lập thông qua các công ty cung cấp dịch vụ kiểm thử an toàn thông tin chuyên nghiệp để có cái nhìn khách quan đối với khả năng phòng thủ, tình hình đáp ứng an ninh bảo mật hiện tại của đơn vị.

Tại Việt Nam, ngày càng có nhiều cách thức thanh toán điện tử mới đang được triển khai rộng rãi đến mọi tầng lớp người dân bởi tính tiện dụng và đa dạng mà các hình thức này đem lại. Tuy nhiên, đi kèm với những ứng dụng công nghệ mới luôn là những rủi ro, nguy cơ bảo mật đe dọa người dùng khi thực hiện các thanh toán điện tử. Do vậy, người dùng nên tuân theo một số biện pháp bảo mật tối thiểu cần thiết để sử dụng ứng dụng một cách an toàn như sau:

• Người dùng cần thực hiện cập nhật hệ điều hành thường xuyên, ngay sau khi nhà cung cấp hệ điều hành cung cấp bản cập nhật.
• Sử dụng mạng tin cậy: Thực hiện các giao dịch thanh toán di động từ một mạng không đáng tin cậy (chẳng hạn như điểm phát WIFI công cộng) có thể tạo điều kiện cho các bên thứ ba chặn giao tiếp và có khả năng giả mạo thanh toán.
• Xác thực của người dùng đối với thiết bị di động phải luôn được thực thi bằng việc sử dụng các kiểm soát sinh trắc học hoặc mã PIN hoặc các chuỗi ký tự mạnh.
• Cần cấu hình hiệu quả trong trường hợp thiết bị bị mất hoặc bị xâm phạm, chẳng hạn như xóa sạch dữ liệu từ xa.