VnReview
Hà Nội

Giao dịch ngân hàng qua app hay trình duyệt an toàn hơn?

Liệu chúng ta nên sử dụng các ứng dụng tài chính, hay dùng trình duyệt trên Windows 10 để truy cập vào tải khoản ngân hàng? Cách thức truy cập nào sẽ an toàn hơn?

Trong suốt 5 năm trở lại đây, việc truy cập vào tài khoản ngân hàng từ một ứng dụng điện thoại đang dần được mọi người chấp nhận. Nhưng vẫn có nhiều nhân tố khiến có việc này cần phải được cân nhắc như: loại thiết bị, loại phần mềm dùng cho giao dịch, trình duyệt được sử dụng, những ứng dụng khác đang hoạt động trên thiết bị và loại mạng kết nối Internet.

Trên các trình duyệt web, sự kém an toàn được biểu hiện ở việc có hàng tá những loại virus được làm ra chỉ để lấy thông tin về tài khoản ngân hàng của nạn nhân. Còn với ứng dụng thì cũng chẳng khá khẩm hơn khi mà hầu hết những ứng dụng mà chúng ta sử dụng thì đều có những lỗ hổng bảo mật. Không những vậy, giả mạo ứng dụng còn được coi là một trong những biện pháp chiếm đoạt hiệu quả.

Việc truy cập vào tài khoản ngân hàng sẽ an toàn hơn nếu bạn chỉ thực hiện việc đó khi kết nối với mạng gia đình. Nhưng nếu bạn là một người cần thực hiện giao dịch ở bất cứ nơi nào thì một chú ý để bảo vệ bản thân đó là chỉ nên sử dụng mạng 3G hoặc 4G đồng thời hãy tắt kết nối Wi-Fi và Bluetooth.

Một biện pháp nữa để bảo vệ tài khoản của bạn đó là sử dụng xác thực hai bước trên một thiết bị khác. Điều này sẽ ngăn chặn được việc truy cập trái phép nếu mật khẩu của bạn đã bị lộ.

Nhưng ứng dụng là gì?

Vào thời đại máy tính cá nhân bùng nổ vào những năm 1970 của thế kỉ trước, VisiCalc, ứng dụng bảng tính đầu tiên ra đời. Ứng dụng này đã được người dùng ở thời điểm đó ca ngợi là một "phần mềm xương sống". Nhưng những thập kỉ sau đã cho ta thấy sự bùng nổ về số lượng ứng dụng trong các chợ ứng dụng. Khác với các phần mềm trên máy tính, chợ ứng dụng là một nơi uy tín và an toàn, đó cũng là nơi hầu hết các ứng dụng đều được kiểm tra cẩn thận. Và xa hơn nữa là những ứng dụng mới này sẽ được hoạt động trong những "hộp cát" để không cho chúng có đủ khả năng thực hiện việc xấu. Còn ngược lại, ứng dụng trên máy tính cá nhân lại không được xử lí cẩn thận như thế trừ khi người dùng cài cho mình một phần mềm diệt virus.

Khi Microsoft tái thiết kế hệ điều hành Windows 8 để khiến nó có thể hoạt động ngay cả trên những thiết bị máy tính bảng và điện thoại thông minh, công ty này đã giới thiệu một cơ chế tương tự với ứng dụng. Điều này giúp cho hệ điều hành của họ có thể sử dụng những ứng dụng an toàn từ kho ứng dụng với độ an toàn cao hơn nhiều so với những phầm mềm cũ bởi chúng được giới hạn quyền hoạt động riêng biệt với mỗi ứng dụng.

Trình duyệt Edge dành cho hệ điều hành Windows 10 cũng hoạt động dựa trên cơ chế "hộp cát" chính vì đó, khi so sánh về khả năng bảo mật thì trình duyệt này hơn hẳn trình duyệt Internet Explorer. Nhưng trình duyệt Chrome mới là trình duyệt được đánh giá là an toàn nhất khi mà trình duyệt này hoạt động trong chính "hộp cát" xây dựng bởi Google. Một số công ty bảo mật cũng hỗ trợ người dùng cài đặt những ứng dụng hỗ trợ như Kaspersky Safe Money và Bitdefender Safepay.

Cơ chế trên cũng có mặt trên những thiết bị máy tính bảng và điện thoại thông minh nhưng giống với người anh máy tính cá nhân, những trình duyệt này khó có thể chống lại được sự tấn công bằng những phương thức chuyên biệt.

Đâu là những thiết bị không an toàn?

Một trong những mối nguy lớn nhất ảnh hưởng tới việc bảo mật trong giao dịch ngân hàng tới từ những mã độc có khả năng ghi lại thông tin đăng nhập và gửi về cho một người hoàn toàn lạ mặt. Một trong những cái tên đã làm mưa làm gió về loại mã độc này chính là Zeus và biến thể Neverquest, Gozi. Loại mã độc này xuất hiện lần đầu vào năm 2007.

Zeus thường nấp dưới lớp vỏ là tệp đính kèm trong email, cùng với đó là nội dung thuyết phục người đọc nên ấn vào xem tệp tin đó. Đó có thể là thông báo về tài khoản ngân hàng của bạn đã bị "hack" và yêu cầu người dùng phải đăng nhập để thay đổi mật khẩu. Zeus sẽ đưa người dùng tới một màn hình nhìn giống so với trang web hợp pháp hoặc đưa người dùng tới một trang web giả mạo. Sau đó mã độc sẽ ghi lại toàn bộ những thông tin mà người dùng nhập vào trong quá trình đăng nhập vào tài khoản ngân hàng. Đáng sợ hơn nữa, biến thể Gozi của loại mã độc này còn có thể bắt chước cách gõ và cách sử dụng chuột của người dùng để có thể đánh lừa ngân hàng.

Những mã độc nhắm vào dịch vụ ngân hàng có thể trốn dưới vỏ bọc là một tệp tin Word, PDF,… Một số loại còn được lây nhiễm bằng cách cài đặt các chương trình từ một trang web có chứa công cụ tấn công.

Thủ đoạn này sẽ thay đổi trên những thiết bị điện thoại thông minh và máy tính bảng. Bằng một cách nào đó, tin tặc có thể vượt qua quá trình kiểm duyệt của kho ứng dụng đối với ứng dụng có gán mã độc, từ đó công khai lây lan mã độc thông qua kho ứng dụng. Những ứng dụng đó đôi khi có thể đòi hỏi những quyền hoạt động khá kì lạ. Một ví dụ đó là ứng dụng đèn pin cho điện thoại lại đòi quyền về giám sát hoạt động mạng hay đòi quyền thay đổi nội dụng bộ nhớ USB.

Sự không an toàn đến từ những ứng dụng ngân hàng

Để có thể bảo vệ người dùng, những ứng dụng thực hiện giao dịch ngân hàng cần phải trở nên an toàn hơn nữa. Vào năm 2014 đã có một cuộc khảo sát nho nhỏ thống kê về mức độ an toàn của những ứng dụng hoạt động ngân hàng. Cuộc thử nghiệm đã được thực hiện trên 40 ứng dụng ngân hàng và đáng buồn là tới tận 90% ứng dụng có chứa đường dẫn không an toàn (một trong số đó còn thậm chí không sử dụng SSL), 40% trong số đó không hề kiểm tra lại chứng chỉ SSL, có tới tận 20 ứng dụng dễ dàng bị xâm nhập bởi lỗ hổng Cross-site Scripting (XSS) và cũng có tới tận 40% ứng dụng có thể trở thành nạn nhân của phương thức tấn công Man In The Middle. Ứng dụng ngân hàng ngày nay đáng nhẽ ra phải an toàn hơn thế.

Mạng thông tin không an toàn

Nếu bạn đang kết nối tới một địa chỉ wifi công cộng thì mọi hoạt động thông qua mạng của bạn đều được ghi lại, điều này sẽ thực sự rất tai hại nếu bạn truy cập vào một địa chỉ wifi giả mạo được phát ra từ một chiếc máy tính gần đó. Và một điều cũng tai hại không kém đó là chúng ta thường khó quan tâm tới việc xác định xem mình có truy cập vào đúng địa chỉ wifi của quán cà phê, của khách sạn, của sân bay hay không. Chính những địa chỉ mạng này sẽ trở thành nhân tố khiến cho thiết bị của bạn dễ dàng bị quan sát và trở thành nạn nhân của phương thức tấn công Man In The Middle.

Nhưng đôi khi những điều trong thực tế còn tai hại hơn những gì ta nghĩ. Ngay cả khi không biết tên tài khoản hay mật khẩu, vẫn có người đủ khả năng để đánh cắp tài khoản của bạn. Điều này được thực hiện thông qua phương pháp tên là Firesheep, phương pháp này cho phép kẻ thực hiện tấn công có thể ăn cắp dữ liệu không được mã hóa về phiên hoạt động trên những trang web mà bạn truy cập đồng thời âm thầm chiếm quyền sử dụng tài khoản. Song điều này chỉ có thể thực hiện được nếu bạn và kẻ tấn công cùng truy cập một mạng Internet công cộng.;

Chính vì điều này, để bảo vệ tài khoản của bản thân, bạn chỉ nên truy cập vào những trang web có hỗ trợ mã hóa đầu – cuối. Một đặc điểm để nhận dạng chức năng này được thể hiện thông qua dòng chữ "https" nằm ở trên thanh địa chỉ. Việc mã hóa dữ liệu quan trọng tới mức mà toàn bộ ngành thương mại điện tử và chính phủ điện tử đều coi đây là một việc mang tính sống còn.

SSL và chức năng bảo mật khởi động (Secure boot)

Mọi hoạt động ngân hàng trực tuyến đều phụ thuộc vào hệ thống Secure boot và bảo mật giao tiếp. Hệ thống Secure boot có nhiệm vụ là đảm bảo rằng thiết bị có hoạt động ngân hàng được khởi động ở trạng thái an toàn. Để thực hiện điều này, nó sử dụng phần cứng để xác nhận mã bootloader. Quy trình này cũng được tích hợp trên các thiết bị điện thoại thông minh và những máy tính chạy Windows 10. Quy trình bảo mật này bị phá vỡ khi người dùng cố jailbreak hoặc root thiết bị của mình và để đảm bảo an toàn, các ứng dụng ngân hàng phải phát hiện và chặn những máy bị phá vỡ quy trình bảo mật.

Nhưng đó mới chỉ là bước đầu của bảo mật. Một khi thiết bị kết nối với dịch vụ ngân hàng thì kết nối đó phải được bảo mật theo phương thức SSL/https nhưng tính tới hiện tại thì không phải trang web nào cũng có trang bị phương thức trên. Và để giải quyết vấn đề này, bạn có thể sử dụng tiện ích mở rộng HTTPS Everywhere. Tiện ích này đang được cung cấp rộng rãi cho cả ba trình duyệt web Chrome, Firefox và Opera.

Những mẹo tự bảo vệ bản thân

Bạn cũng có thể nâng cao bảo mật cho hoạt động ngân hàng trên thiết bị chạy hệ điều hành Windows 10 bằng một số mẹo hữu ích. Nếu có thể hãy dành riêng một trình duyệt chỉ để sử dụng cho hoạt động ngân hàng, đồng thời luôn bật chế độ ẩn danh hoặc luôn xóa bộ nhớ cache và cookies sau mỗi lần sử dụng. Nếu cẩn thận hơn nữa, bạn cũng có thể dành riêng một tài khoản máy tính chỉ để cho hoạt động ngân hàng của mình.

Trung Nguyễn

Chủ đề khác