VnReview
Hà Nội

Nguy cơ mất tiền với quy trình cấp SIM và thanh toán online lỏng lẻo

Vụ việc anh Nguyễn Thanh Hải (TP HCM) và anh Vũ Minh Nhật (Hà Nội) đều bị "cướp" mất số thuê bao di động và sau đó bị mất hàng chục triệu đồng từ tài khoản ngân hàng đang gây ra nhiều tranh cãi về việc nhà mạng quá dễ dãi trong việc cấp lại SIM cũng như những sơ hở của phía ngân hàng trong giao dịch trực tuyến.

VnReview xin cùng bạn phân tích lại vụ việc để làm rõ những rủi ro mà có phần trách nhiệm không nhỏ của nhà mạng và ngân hàng.

Những dấu hỏi về vụ việc

Chi tiết về vụ việc bạn đọc có thể tham khảo trên báo VnExpress, VnReview chỉ xin nêu ra một số vấn đề cần làm rõ xung quanh vụ việc:

- Trong cả hai trường hợp, nhà mạng Viettel (trường hợp anh Hải) và nhà mạng MobiFone (trường hợp anh Nhật) đều dễ dàng cắt số thuê bao khách hàng đang dùng và cấp lại SIM cho kẻ gian, liệu quy trình cấp lại SIM có quá dễ dãi và liệu nhân viên nhà mạng có thiếu ý thức và thiếu sự cẩn trọng trong việc bảo vệ SIM số của khách hàng khỏi tình trạng lừa đảo, cướp SIM? Có phải ngẫu nhiên khi cả hai trường hợp đều có cách thức cướp SIM và lấy tiền trong tài khoản giống nhau và đều được thực hiện ở Thanh Hóa?

Chi tiết giao dịch thanh toán trực tuyến của kẻ gian để rút tiền từ tài khoản của anh Hải và anh Nhật

- Theo giải thích của các nạn nhân, sở dĩ họ bị mất tiền trong tài khoản ngân hàng vì kẻ gian đã dùng số điện thoại cướp được để nhận mã OTP (One Time Password - mật khẩu dùng một lần) từ phía ngân hàng khi thực hiện giao dịch thanh toán mua hàng trực tuyến. Thực tế hệ thống thanh toán trực tuyến này chỉ cần khách hàng nhập số thẻ (dãy số in trên thẻ), tên chủ thẻ và ngày hiệu lực (hoặc ngày cấp) thẻ, sau đó nhận mật khẩu OTP qua số di động là đã có thể thực hiện giao dịch. Vậy băn khoăn ở đây là, hệ thống ngân hàng liên quan đến túi tiền của khách hàng mà điều kiện để cho phép thông qua một giao dịch như vậy có quá đơn giản và rủi ro?

- Người cướp SIM của anh Hải và anh Nhật chắc chắn là người hiểu rõ về giao dịch trực tuyến, cũng như nắm rõ thông tin cá nhân của họ, vậy người này phải chăng có quan hệ thân quen với anh Hải và anh Nhật? Thực tế anh Hải sống ở TP.HCM và anh Nhật sống ở Hà Nội, và anh Nhật khẳng định đã giữ kín thông tin cá nhân, không làm mất điện thoại, sim, ví, thẻ hay bất kỳ vật gì liên quan. Vậy nếu không phải người quen thì kẻ gian làm thế nào để lấy được các thông tin này, phải chăng các nạn nhân đã để lộ các thông tin trong quá trình giao dịch online, đã bị theo dõi từ lâu hoặc đã bị cài trojan, keylogger để lấy cắp thông tin thẻ?

Quy trình cấp lại SIM thiếu chặt chẽ

Thông thường, để hỗ trợ khách hàng trong trường hợp bị mất điện thoại di động hoặc vì lý do nào đó bị mất SIM điện thoại, các nhà mạng đều cho phép khách hàng gọi điện để báo mất số và đề nghị tạm khóa tài khoản, sau đó đến điểm giao dịch gần nhất để làm thủ tục thay SIM card (giữ lại được số thuê bao và số dư tài khoản nhưng không giữ được các số liên lạc lưu trên SIM). Để được cấp lại SIM, nhà mạng yêu cầu xuất trình CMND, thuê bao cũng phải làm một tờ khai xin cấp lại SIM với yêu cầu cung cấp 5 số điện thoại gọi đi và 5 số gọi đến.

Mặc dù thủ tục đơn giản tạo thuận lợi cho khách hàng khi có nhu cầu cấp lại SIM, nhưng điều này cũng tạo khe hở cho kẻ gian "cướp SIM". Thực tế đã có nhiều trường hợp, nhất là những người sở hữu SIM số đẹp, bị kẻ gian lợi dụng quy trình cấp lại SIM của nhà mạng để "nẫng tay trên" số SIM đang dùng.

Một trong những cách để có danh sách các số liên lạc gần nhất có thể thực hiện dễ dàng, đó là dùng nhiều SIM nháy máy, nhắn tin để chủ thuê bao gọi lại. Trong trường hợp của anh Hải và anh Nhật, do làm kinh doanh nên anh thường xuyên đàm thoại với các số điện thoại lạ, do đó không khó để kẻ gian có danh sách này. Vấn đề còn lại là một CMND giả không phải là quá khó làm nếu kẻ gian rắp tâm thực hiện hành vi lừa đảo.

Theo anh Hải, SIM số của anh Hải được cấp cho kẻ gian ở một phòng giao dịch Viettel tại Thanh Hóa, kẻ gian cung cấp cho nhân viên giao dịch một bản photo từ một bản photo CMND có công chứng để lưu lại, với số CMND rất mờ. Như vậy, nhiều khả năng kẻ gian đã cố tình cung cấp bản photo bị mờ này để tránh bị "soi" khi vụ việc vỡ lở, còn giao dịch viên Viettel cũng không kiểm tra kỹ CMND, và tất nhiên cũng không có nghiệp vụ kiểm tra CMND như công an nên không phát hiện sự giả mạo. Trong vụ việc của anh Nhật, nhân viên đại lý Thanh Hóa của MobiFone thậm chí còn không yêu cầu xem chứng minh thư gốc, cũng không yêu cầu khai báo các số liên lạc.

Bản photo công chứng CMND đen sì mà kẻ gian cung cấp cho nhân viên giao dịch của nhà mạng

Có thể thấy, do việc cấp lại SIM bị mất là giao dịch khá thường xuyên nên các giao dịch viên không xem là vấn đề cần phải làm thật cẩn trọng, nhân viên phòng giao dịch và các đại lý của nhà mạng cũng không được nhắc nhở và lưu ý thỏa đáng, nên việc kiểm tra CMND thường làm chiếu lệ - bản thân người viết đã trải nghiệm điều này, cho nên kẻ gian sẽ dễ dàng qua mặt giao dịch viên khi sử dụng giấy tờ giả. Nếu trong quy trình cấp lại SIM của nhà mạng chỉ cần yêu cầu có thêm một mật khẩu, chẳng hạn như mật khẩu cấp khi cấp SIM lần đầu, hoặc một câu hỏi bí mật mà chỉ thuê bao chính chủ mới biết, thì dù kẻ gian có làm giả giấy tờ cũng không thể lấy được SIM.

Hệ thống thanh toán online quá rủi ro?

Hiện nay người kinh doanh và mua bán trực tuyến khi cần thanh toán online sẽ phải thông qua một cổng thanh toán trực tuyến (payment gateway) có vai trò trung gian đảm bảo giao dịch thành công. Hiện có nhiều công ty cung cấp dịch vụ cổng thanh toán này như: cổng thanh toán Ngân Lượng, Bảo Kim, Smartlink, 123pay, VnPayment, OnePay… Các cổng thanh toán sẽ kết nối website thương mại điện tử với ngân hàng nhằm giúp các khách hàng là chủ thẻ của Ngân hàng có thể sử dụng thẻ để thanh toán, mua bán hàng hóa dịch vụ qua Internet.

Hầu hết các cổng thanh toán hiện nay đều chấp nhận thanh toán cho các thẻ mang thương hiệu quốc tế như Visa, Mastercard, American Express, Diners Club, JCB, CUP… và cả các thẻ ghi nợ nội địa (ATM) của các ngân hàng thương mại trong nước phát hành. Tuy nhiên, như đã nói ở trên, hầu hết các hệ thống thanh toán chỉ cần khách hàng nhập số thẻ (dãy số in trên thẻ), tên chủ thẻ và ngày hiệu lực (hoặc ngày cấp) thẻ, sau đó nhận mật khẩu OTP qua số di động là đã có thể thực hiện giao dịch. Với thẻ quốc tế, khách hàng cũng chỉ cần nhập số thẻ, ngày hết hạn và mã CVV, CVC (mã số bảo mật, gồm 3 chữ số in dạng nghiêng ngược trên mặt sau của thẻ). Do các thông tin này đều in rõ ràng trên thẻ, nêu sẽ rất rủi ro cho khách hàng nếu chẳng may đánh mất thẻ.

Quy trình thanh toán trực tuyến lỏng lẻo của hầu hết các ngân hàng hiện nay

Tuy nhiên, qua tìm hiểu của VnReview, nếu khách hàng sử dụng thẻ quốc tế mà có tham gia chương trình Verified by Visa hoặc MasterCard Secure Code, J-Secure của Ngân hàng phát hành, thì khách hàng được yêu cầu nhập thêm mật khẩu giao dịch trực tuyến sau bước nhập thông tin thẻ, tăng độ bảo mật cho giao dịch.

Với các thẻ ghi nợ nội địa, hiện tại nếu khách hàng có thẻ ATM của Vietcombank, Đông Á Bank thì sẽ an toàn hơn, bởi sau bước nhập thông tin thẻ, khách hàng sẽ phải đi qua cổng Internet Banking của các ngân hàng này, nhập mã khách hàng và mật khẩu, sau khi đã vào trong giao diện Internet Banking thì mới cần tới mã OTP. Ngoài ra, các giao dịch với thẻ ATM của BIDV và SHB cũng khá an toàn vì ngoài thông tin trên thẻ, khách hàng sẽ phải nhập thêm mật khẩu giao dịch trực tuyến hoặc mã khách hàng.

Vietcombank là một trong số ít ngân hàng yêu cầu thêm thông tin, ngoài các thông tin in trên thẻ

Như vậy, rõ ràng quy trình thanh toán trực tuyến hiện nay của hầu hết các ngân hàng vẫn còn lỏng lẻo, cộng thêm quy trình cấp lại SIM số của nhà mạng cũng không chặt chẽ, thì nguy cơ khách hàng bị mất tiền trong tài khoản như trường hợp của anh Hải và anh Nhật sẽ còn xảy ra.

Chuyện anh Hải, và sau đó là anh Nhật, bị cướp SIM không phải là trường hợp đầu tiên cho đến nay, nhưng đáng nói là các nhà mạng vẫn chưa thay đổi quy trình cấp lại SIM cũng như yêu cầu nhân viên thận trọng hơn trong việc cấp phát lại SIM số để đảm bảo an toàn hơn cho khách hàng. Ngay sau sự việc của anh Hải, nhà mạng và ngân hàng vẫn còn tỏ ra thiếu trách nhiệm, cho rằng khách hàng phải "tự bảo vệ thông tin", nhưng với vụ việc của anh Nhật tiếp ngay sau đó, cả nhà mạng và ngân hàng đều đã nhận thấy mức độ nghiêm trọng của vấn đề, chắc chắn sẽ phải có những điều chỉnh thích hợp để đảm bảo an toàn cho khách hàng.

Về câu hỏi thứ ba của VnReview ở trên, chúng tôi đã liên hệ với ông Nguyễn Minh Đức, Giám đốc Bộ phận An ninh mạng Bkav, ông Đức cho rằng: "Trong một số tình huống thì không loại trừ khả năng đó là người thân quen của nạn nhân, hoặc kẻ xấu cũng có thể đã theo dõi được máy tính của nạn nhân, nên các thông tin liên quan đến thẻ có thể bị lộ. Do đó, người dùng thẻ ngân hàng cần cẩn thận với thông tin về thẻ của mình, tránh cung cấp cho người lạ. Nếu thường xuyên giao dịch online, người dùng cũng cần cảnh giác khi truy cập vào các trang web lạ hoặc mở các file đính kèm không rõ nguồn gốc, tránh bị cài trojan hoặc keylogger. Người sử dụng cũng nên trang bị cho mình phần mềm phòng chống virus tốt, có các tính năng chặn keylogger và tưởng lửa bảo vệ".

Ngọc Mai

Chủ đề khác