Những ngân hàng tốt nhất và sự “ghé thăm” của hacker
Riêng trong năm 2015, Vietcombank nhận được 5 giải thưởng trong nước, 10 giải thưởng quốc tế và 3 chứng nhận do các ngân hàng quốc tế trao tặng về thanh toán tự động, trong đó có tới 3 giải thưởng ngân hàng tốt nhất Việt Nam và 1 giải thưởng ngân hàng nội địa tốt nhất Việt Nam. Trong khi TPBank, theo phần tự giới thiệu thì ngân hàng này đang hướng tới mục tiêu ngân hàng số hàng đầu Việt Nam. Tuy vậy, cả hai ngân hàng này lại trở thành mục tiêu tấn công cho tin tặc với 2 vụ bê bối lớn nhất kể từ đầu năm 2016.
Ngân hàng số hàng đầu tại Việt Nam bị “hacker” ghé thăm
Giữa tháng 5/2016, một bài viết của hãng tin Reuters trích dẫn nguồn thông tin từ Công ty an ninh mạng BAE Systems cho biết một ngân hàng thương mại (NHTM) tại Việt Nam đã trở thành mục tiêu của một cuộc tấn công bằng phần mềm độc hại vào hệ thống chuyển tiền SWIFT vào quý 4/2015. Ít lâu sau đó, những thông tin về danh tính của ngân hàng này cũng được hé lộ - Ngân hàng TMCP Tiên Phong (TPBank), với mục tiêu của tin tặc nhằm đánh cắp hơn 1 triệu Euro (khoảng 1.1 triệu USD) thông qua các yêu cầu chuyển tiền nhưng đã bị ngăn chặn thành công.
TPBank ngay sau đó đã phát đi thông báo cho biết, việc chuyển tiền của bọn tội phạm được thực hiện bằng cách sử dụng cơ sở hạ tầng của một nhà cung cấp thuê ngoài được kết nối với hệ thống tin nhắn chuyển tiền SWIFT của Ngân hàng, mặc dù không công bố thông tin chi tiết về nhà cung cấp thuê ngoài này.
* TPBank là mục tiêu tấn công thông qua phần mềm chuyển tiền của SWIFT
Cũng cần lưu ý là chỉ mới đầu năm 2016 (tháng 2/2016), các tin tặc đã cố gắng đánh cắp gần 1 tỷ USD từ tài khoản của NHTW Bangladesh tại Cục Dự trữ Liên bang New York bằng đúng phương pháp đã sử dụng với TPBank. Số tiền bị đánh cắp trong thương vụ nói trên là 81 triệu USD, đến hiện tại vẫn chưa thể thu hồi được.
Đó là câu chuyện của bên ngoài, còn với bản thân TPBank, mở đầu báo cáo thường niên năm 2015 của ngân hàng này đã tự giới thiệu: “Dựa vào nền tảng công nghệ tiên tiến và trình độ quản lý chuyên sâu, TPBank là ngân hàng luôn tiên phong trong các xu hướng dịch vụ ngân hàng hiện đại, hướng tới mục tiêu trở thành ngân hàng số hàng đầu tại Việt Nam”. Ngân hàng này cũng nhận được 2 giải thưởng Ngân hàng bán lẻ tốt nhất Việt Nam 2015 và Ngân hàng số sáng tạo nhất Việt Nam 2015 do Tạp chí Global Financial Market Review (GFM) trao tặng.
Thậm chí chỉ cần nhìn vào danh sách cổ đông sáng lập, với sự xuất hiện của một trong số những công ty về công nghệ thông tin hàng đầu nước ta hiện nay – CTCP FPT (HOSE: FPT) cũng đủ cho thấy vị thế của TPBank đối với lĩnh vực công nghệ thông tin. Theo giới thiệu thì FPT là cổ đông sáng lập, đóng vai trò quan trọng trong việc hỗ trợ công nghệ và kinh nghiệm khai thác các giải pháp công nghệ trong hoạt động ngân hàng cho TPBank.
Cho dù vậy, ngân hàng này vẫn lọt vào danh sách mục tiêu của một nhóm tin tặc về công nghệ thông tin.
Đầu tháng 7/2016, TPBank cũng nhận quyết định khiển trách từ Trung tâm Lưu ký Chứng khoán Việt Nam (VSD) do trong tháng 6/2016 đã nhiều lần sửa lỗi giao dịch chứng khoán đã thực hiện trên Sở GDCK hà Nội (HNX). Theo lý giải của VSD, việc sửa lỗi giao dịch chứng khoán trong trường hợp thành viên của VSD đặt nhầm, sai lệnh liên quan đến một số thông tin của giao dịch. Không rõ lỗi này do hệ thống hay bản thân nhân viên của TPBank, tuy nhiên VSD đã yêu cầu ngân hàng này tăng cường việc kiểm soát hoạt động giao dịch chứng khoán đảm bảo tuân thủ các quy định hiện hành.
Cho tới ngân hàng tốt nhất Việt Nam
Vietcombank – một trong những ngân hàng có quy mô đứng đầu thị trường mới đây đã gặp phải một biến cố liên quan đến hành vi lừa đảo thông qua giao dịch trực tuyến trên một tài khoản của khách hàng cá nhân.
Sự việc xảy ra vào đêm ngày 3/8 và rạng sáng ngày 4/8, tài khoản tại ngân hàng Vietcombank của một khách hàng Hà Nội đã bị chuyển khoản 500 triệu đồng, trong đó 200 triệu đồng rút khỏi tài khoản qua ATM ở Malaysia và 300 triệu đồng được chuyển tiếp thông qua Internet Banking. Số tiền 300 triệu này đã kịp thời khoanh giữ và trả lại cho khách hàng, tuy nhiên còn khoản tiền 200 triệu đã rút hiện vẫn chưa thể quy kết trách nhiệm và phương án xử lý một cách rõ ràng.
Theo thông cáo phát đi ngày 12/08, Vietcombank đã xác định việc mất tiền trong tài khoản xảy ra bởi khách hàng bị đánh cắp thông tin tài khoản do trước đó đã truy cập và khai báo thông tin trên đường link giả mạo website của ngân hàng. Trả lời phỏng vấn báo chí sau đó, ông Đào Minh Tuấn, Phó TGĐ của Vietcombank cũng cho biết khi khách hàng bị đối tượng lừa đảo truy cập vào đường dẫn lạ và cung cấp thông tin truy cập và tiếp theo đó khách hàng lại vô tình cung cấp mã OTP để kích hoạt e-token thì bản thân khách hàng đã giao hết chìa khóa cho đối tượng lừa đảo.
Tuy nhiên, dưới góc nhìn của các chuyên gia bảo mật, câu chuyện mất tiền của khách hàng tại Vietcombank không chỉ dừng ở những thông tin đã có mà được “mổ xẻ” theo nhiều góc nhìn khác nhau và các giả định về cách thức mà tin tặc đã thực hiện. Mặc dù vậy, hầu hết các chuyên gia bảo mật đều cho rằng, do các thông tin của vụ việc được công bố còn quá ít, không được tiếp cận với những thông tin cụ thể nên việc phân tích và quy kết trách nhiệm thuộc về khách hàng hay ngân hàng là điều rất khó nói.
Ngoài ra, một thông tin khác cũng được chia sẻ là ứng dụng Smart OTP – một trong những nhân tố giữ vai trò quan trọng trong vụ “bốc hơi” nửa tỷ đồng của Vietcombank cũng được cập nhật và sửa lỗi bằng phiên bản mới (ngày 12/08/2016) trên các kho ứng dụng ngay sau khi sự việc mất tiền trên xảy ra. Trước đó, ngày 04/08/2016, Vietcombank cũng đã thông báo thay đổi chính sách dịch vụ Smart OTP, theo đó các khách hàng sẽ phải thực hiện đăng ký lại dịch vụ tại các điểm giao dịch.
Thông báo của Vietcombank về việc thay đổi chính sách dịch vụ Smart OTP
|
Theo thông tin mới nhất từ Cục Cảnh sát phòng chống tội phạm công nghệ cao (C50) của Bộ Công an vào ngày 15/08, bước đầu đã xác định, đây là hành vi lừa đảo theo hình thức giao dịch trực tuyến và có liên quan tới một nhóm đối tượng cả trong và ngoài nước. Chiều muộn cùng ngày (15/08), Vietcombank cũng bất ngờ phát đi thông báo mới, theo đó trong trường hợp nguyên nhân được xác định không phải do lỗi của khách hàng, Vietcombank khẳng định quyền lợi của khách hàng tại Vietcombank sẽ hoàn toàn được bảo vệ.
Quay lại với Vietcombank, đây là một trong số những ngân hàng có quy mô xét về cả tổng tài sản cho tới quy mô vốn hoạt động đều xếp hàng đầu trong hệ thống ngân hàng tại Việt Nam, chưa kể tới đây là ngân hàng đã giữ thị phần đứng đầu về thanh toán xuất nhập khẩu và hàng loạt các chứng nhận, giải thưởng từ các tổ chức trong nước và quốc tế uy tín trao tặng.
Riêng trong năm 2015, Vietcombank nhận được 5 giải thưởng trong nước, 10 giải thưởng quốc tế và 3 chứng nhận do các ngân hàng quốc tế trao tặng về thanh toán tự động. Trong đó, Vietcombank nhận được 3 giải thưởng ngân hàng tốt nhất Việt Nam và 1 giải thưởng ngân hàng nội địa tốt nhất Việt Nam. Trong số những hạng mục để bình xét là quản trị rủi ro và công nghệ thông tin là hai tiêu chí đáng quan tâm.
Hiện câu chuyện tại Vietcombank vẫn chưa có kết luận cuối cùng để khẳng định lỗi thuộc về ngân hàng hay sự sơ suất của chủ tài khoản, cũng như biện pháp xử lý đối với 200 triệu đồng bị tin tặc lấy cắp. Tuy vậy, những thông tin bên lề vụ việc mà các chuyên gia bảo mật đưa ra liên quan đến phương thức bảo mật của một tác nhân trong vụ việc nói trên là ứng dụng Smart OTP của một trong những ngân hàng hàng đầu của Việt Nam lộ nhiều điểm đáng ngờ.
Hai vụ việc liên quan đến an ninh mạng của hai ngân hàng, một ngân hàng đứng hàng đầu về quy mô, một ngân hàng tự giới thiệu đang hướng tới mục tiêu trở thành ngân hàng số hàng đầu đang khiến niềm tin của người gửi tiền thực sự bị lung lay. Chưa khi nào, vấn đề bảo mật đang được quan tâm như hiện tại. Trường hợp của TPBank hay Vietcombank cũng cho thấy, một nước quy mô chỉ xếp hàng trung bình như Việt Nam cũng có thể lọt vào tầm ngắm của các tổ chức tin tặc quốc tế, vấn đề mà trước nay các ngân hàng còn khá chủ quan./.
|