Trong mấy ngày qua, thông tin của hơn 31.000 giao dịch thẻ ngân hàng (NH) và hơn 5 triệu email được cho là của khách hàng Thế Giới Di Động (TGDĐ) bị tài khoản erchowin chia sẻ trên Internet. Đáng lo ngại, tin tặc công bố đầy đủ 16 chữ số thẻ tín dụng của những tài khoản được cho là của khách hàng TGDĐ.
Trước thực tế trên, nhiều NH đã chuẩn bị các kịch bản ứng phó, nhất là trong trường hợp nếu tin tặc tung thêm các thông tin nhạy cảm hơn.
“Chỉ mất… một giây là xử lý xong!”
Trao đổi với Pháp Luật TP HCM, ông Phạm Mạnh Thắng, Phó Tổng Giám đốc NH Thương mại Cổ phần Ngoại thương Việt Nam (Vietcombank), khẳng định: Sau khi xảy ra sự cố lộ thông tin, Vietcombank đã ngay lập tức rà soát lại toàn bộ thẻ của khách hàng mà tin tặc đã công bố trên mạng. Qua rà soát cho thấy sự cố trên chưa gây ra bất cứ thiệt hại gì cho các tài khoản thẻ bị lộ.
“Còn việc cảnh báo rủi ro và các phương án phòng tránh rủi ro cho khách hàng thì chúng tôi làm thường xuyên và liên tục chứ không phải đến khi xảy ra sự cố như vừa qua mới cảnh báo cho khách hàng sử dụng thẻ” - ông Thắng nhấn mạnh.
Tổng Giám đốc NH Phương Đông Việt Nam (OCB) Nguyễn Đình Tùng cũng tự tin cho biết: “Tôi tin chắc rằng một khi tin tặc đã công bố số thẻ (danh sách 31.000 tài khoản bị rò rỉ - PV), chắc chắn những thẻ tín dụng đó đã hết hiệu lực và không còn tiềm ẩn rủi ro nữa. Bởi ngay lập tức các NH áp dụng nhiều biện pháp nhằm bảo đảm an toàn cho những thẻ bị lộ thông tin”.
Nhận định bóng đá
Cụ thể, những thẻ trên sẽ không thanh toán được do NH chuyển đổi sang số thẻ tín dụng khác hoặc một mã định danh khác cho khách hàng. “Nếu mất số thẻ mà ngay cả khách hàng cũng không biết thì mới nguy hiểm, chứ đã công bố số thẻ công khai lên mạng như vậy thì xử lý vô cùng đơn giản. Việc thay đổi số thẻ hoặc mã định danh mới để đảm bảo an toàn cho khách hàng bị lộ thẻ trong danh sách này chỉ cần… một giây là hoàn tất” - Tổng Giám đốc NH OCB Nguyễn Đình Tùng tự tin.
Nhiều nơi dễ để lộ thông tin
Lãnh đạo một NH lớn cho biết thêm: Việc rò rỉ số thẻ có thể đến từ nhiều kênh khác nhau. Song ngay khi thiết lập hệ thống thẻ, bản thân mỗi NH đều thiết lập nhiều lớp bảo mật để bảo vệ an toàn cho thẻ của khách hàng rồi.
Ví dụ, các NH thuê các hãng bảo mật quốc tế hằng tháng tổ chức những cuộc tấn công giả định vào NH và NH tự lập hệ thống để chống đỡ lại cuộc tấn công đó.
“Hiện các NH đều chi rất nhiều tiền cho hệ thống thông tin bảo mật. Trong đó có NH chi phí đầu tư bảo mật cho hệ thống thẻ lên tới gần chục triệu USD/năm” - vị lãnh đạo NH trên cho hay.
Tổng giám đốc NH OCB nhìn nhận: Thực tế từ trước tới nay, việc rò rỉ thông tin số thẻ của khách hàng đã xảy ra nhưng chỉ mang tính đơn lẻ nên ít người quan tâm. Đặc biệt, các nhà hàng, quán ăn, nơi bán hàng… là những nơi dễ để lộ thông tin thẻ tín dụng nhất.
Đáng lo ngại nhất là nhiều khách hàng thường có thói quen đưa trực tiếp thẻ tín dụng cho nhân viên phục vụ tại các nhà hàng, quán ăn… khi được yêu cầu thanh toán. Trong trường hợp này, nếu nhà hàng có ý muốn đánh cắp số thẻ, ngày hết hạn, ba số bí mật phía sau thẻ (mã CVV)… thì có thể thực hiện được ngay. Thói quen này tiềm ẩn rất lớn nguy cơ làm mất tiền.
Lộ thông tin có thể đến từ nhiều nguồn
Chiều 9/11, Cục An toàn thông tin thuộc Bộ TT&TT đã phát đi thông báo liên quan đến thông tin về khả năng khách hàng sử dụng dịch vụ của TGDĐ bị lộ, lọt một số thông tin cá nhân. Theo đó, đến thời điểm hiện tại chưa nhận thấy có dấu hiệu tấn công vào các thành phần hệ thống liên quan tới thông tin cá nhân bị công bố. Cục An toàn thông tin sẽ tiếp tục phối hợp với TGDĐ và các cơ quan chức năng liên quan kiểm tra, rà soát.
“Các thông tin quan trọng của thẻ tín dụng khách hàng không được lưu trữ trên hệ thống do TGDĐ quản lý. Thông thường, trong quá trình thanh toán trên máy đọc thẻ tại các điểm bán (POS) và giao dịch trực tuyến qua trang web, thông tin liên quan đến thẻ tín dụng của khách hàng được mã hóa và chuyển sang NH hoặc tổ chức cung ứng dịch vụ trung gian thanh toán theo quy định của NH Nhà nước Việt Nam” - Cục An toàn thông tin phân tích.
Tuy vậy, Cục An toàn thông tin cũng cho rằng thông tin email có thể được thu thập từ nhiều nguồn khác nhau đã từng lộ, lọt trước đây hoặc thông qua lừa đảo. Do vậy, cơ quan này khuyến cáo các tổ chức, doanh nghiệp chủ động rà soát các điểm yếu, lỗ hổng trên hệ thống thông tin; theo dõi, giám sát, phát hiện sớm nguy cơ, dấu hiệu tấn công mạng, kịp thời xử lý các vấn đề phát sinh.