Thẻ ghi nợ trả trước: điểm yếu trong bảo mật ngân hàng

Thứ Bảy, 11/05/2013, 10:20:00

NDĐT - Vụ bắt giữ các thành viên của nhóm tội phạm công nghệ cao tại Mỹ, những kẻ đã đánh cắp được 45 triệu USD từ các máy ATM tại 27 quốc gia trên thế giới, đã làm lộ ra “gót chân Achilles” của ngành công nghiệp tài chính toàn cầu: thẻ ghi nợ (debit) trả trước.

Thẻ ghi nợ trả trước: điểm yếu trong bảo mật ngân hàng

Ảnh: REUTERS

 

Các chuyên gia bảo mật máy tính và các nhà phân tích trong ngành công nghiệp nói rằng sự bùng nổ việc sử dụng thẻ ghi nợ trả trước để trả tiền cho tất cả mọi thứ từ thẻ quà tặng cho tới góp tiền từ thiện cho các nạn nhân thảm họa đã tạo điều kiện cho những tin tặc dễ dàng hơn trong việc rút những lượng tiền mặt lớn trước khi bị phát hiện.

Thẻ ghi nợ trả trước ít phải chịu các biện pháp kiểm soát hơn so với các loại thẻ tín dụng và thẻ ghi nợ thông thường do các ngân hàng phát hành. Mỗi thẻ ghi nợ trả trước này được phát hành cũng giống như một tấm bảng trắng: vô danh, mới tinh và không hề có bất kỳ thông tin nào về quá trình tín dụng hay kiểu hành vi cá nhân mà nhờ đó các nhân viên ngân hàng hay các đơn vị chi trả có thể xem xét để tìm ra dấu hiệu nguy hiểm.

Ngoài ra, những tấm thẻ này cũng dễ bị xâm nhập. Những tin tặc thường phải xâm nhập vào một hệ thống tại một đơn vị chi trả thứ ba để tìm cách nâng hạn mức rút tiền trên một thẻ trả trước. Và những công ty này thường có quy mô nhỏ hơn một ngân hàng và nhiều khi chỉ áp dụng các tiêu chuẩn bảo mật máy tính và mạng lỏng lẻo.

Ông Joe Petro, một tổng giám đốc tại Tập đoàn Tài chính Promontory , người đã từng 20 năm giữ chức vụ phụ trách bộ phận điều tra và ngăn chặn lừa đảo của Tập đoàn Citygroup, nói: “Thẻ ghi nợ trả trước thường bị lợi dụng trong các vụ lừa đảo. Những kẻ xấu biết rõ về các hệ thống và chúng có khả năng khai thác, lợi dụng chúng. Những hệ thống dễ bị xâm nhập thường là của các đơn vị thứ ba, những công ty không có được một hệ thống bảo mật tốt như của các ngân hàng”.

Trong các chiến dịch được dàn xếp và diễn ra trên toàn cầu vừa được phát hiện hôm qua, những tin tặc đã xâm nhập vào các công ty xử lý chi trả nhận diện hai lớp, chuyên xử lý các thẻ ghi nợ trả trước cho hai ngân hàng ở Trung Đông. Khi đã xâm nhập được vào bên trong các mạng máy tính, các tin tặc đã tìm cách làm tăng số dư tiền mặt và hạn mức rút tiền trên các thẻ ghi nợ MasterCard do Ngân hàng Muscat của Oman và Ngân hàng Quốc gia Ras Al Khaimah PSC của Các Tiểu vương quốc Ả-rập thống nhất phát hành.

Sau đó, các thành viên của nhóm tội đã tản ra các nước trên khắp thế giới và sử dụng các thẻ ghi nợ trả trước lừa đảo để rút tiền từ hàng nghìn máy ATM. Các điều tra viên cho biết, quy mô và tốc độ của nhóm trộm cắp này là chưa từng thấy. Trong trường hợp của Ngân hàng Muscat, chỉ trong vòng hơn 10 tiếng, những tên tội phạm đã lấy trộm được 40 triệu USD.

Các chuyên gia nói rằng việc bọn tội phạm sử dụng thẻ ghi nợ trả trước, thay vì các thẻ tín dụng thông thường, không phải là ngẫu nhiên. Các thẻ tín dụng được gắn với từng cá nhân với những thói quen chi tiêu trong một khoảng thời gian nhất định. Điều này cho phép các ngân hàng và các công ty thẻ có được một khuôn mẫu rõ ràng mà họ có thể sử dụng nó để tìm cách nhận diện các hành vi bất thường hay trái pháp luật. Nếu nột tên tội phạm liên tục di chuyển từ máy ATM này sang máy ATM khác với một thẻ tín dụng cá nhân sẽ nhanh chóng bị nghi ngờ, bởi hành vi của hắn không giống với hành vi thông thường của một chủ thẻ.

Ông Shawn Henry, cựu chỉ huy đơn vị điều tra tội phạm công nghệ cao tại FBI và hiện đang là một chuyên gia tại Công ty an ninh CrowdStrike, nói: “Những ngân hàng sử dụng những biện pháp phòng vệ cực kỳ tiên tiến, nhưng những kẻ xâm nhập vào mạng máy tính của họ còn thông minh và thành thạo hơn nhiều”.

Mặc dù khoản tiền bị trộm cắp 45 triệu USD là một trong những khoản tiền bị đánh cắp qua mạng lớn nhất từ trước tới nay, nhưng các chuyên gia an ninh nói rằng các ngân hàng vẫn đang phải thường xuyên đối phó với các dạng trộm cắp tương tự, mặc dù có quy mô nhỏ hơn nhiều. Và chính những vụ trộm cắp nhỏ này thường ít khi bị phát hiện.

Theo một bản báo cáo do Tập đoàn tư vấn Mercator, năm 2009, số lượng tiền được lưu chuyển thông qua các thẻ trả trước chỉ là $28.6 tỷ USD. Nhưng đến năm 2012, con số này đã lên tới khoảng 201,0 tỷ USD. Ông Scoot Valentin, một nhà phân tích của hãng FBR Capital Markets & Co, nói: “Thẻ trả trước là loại thẻ có tốc độ phát triển nhanh nhất trong tất cả các loại thẻ tín dụng được lưu hành trên thị trường”.

Ông cũng nhận định rằng với sự sụt giảm của các hình thức trả tiền mặt và sự phát triển của các hình thức trả tiền qua di động và thương mại điện tử, tẩm quan trọng của những tấm thẻ này chỉ có tăng mà không giảm. Với thẻ tín dụng cá nhân, người tiêu dùng phải chứng minh độ tin cậy nhất định và với thẻ ghi nợ thì họ cần phải có tài khoản ngân hàng. Còn với các thẻ trả trước, người ta có thể bỏ qua những vấn đề đó và nhờ vậy nó đang ngày càng trở nên phổ biến.

Điều này đã làm dấy lên sự quan tâm về nhu cầu phải có những biện pháp bảo mật tốt hơn đối với những tấm thẻ trả trước, cũng như các công ty xử lý thẻ chuyên cung cấp những tấm thẻ này. Trong hơn một thập kỷ qua, tại Mỹ, luật pháp nước này đã buộc các ngân hàng phải bảo đảm an toàn các hệ thống điện tử của họ, đồng thời những hệ thống được sử dụng bởi các nhà thầu từ bên ngoài cũng phải đáp ứng những đòi hỏi về an toàn nhất định. Các ngân hàng Mỹ sử dụng các công ty xử lý chi trả cũng phải có một bản giao kèo theo đó các công ty xử lý chi trả phải đáp dứng được cùng các tiêu chuẩn về bảo mật như của các ngân hàng.

Nhưng theo ông Doug Johnson, phó chủ tịch phụ trách các chính sách quản lý rủi ro tại Hiệp hội các Chủ ngân hàng Mỹ tại Washington, thì các ngân hàng Mỹ thường khó có thể bảo đảm được rằng các công ty xử lý tín dụng ở nước ngoài có thực sự triển khai các biện pháp bảo mật đúng như với những gì mà họ đã cam kết trong hợp đồng hay không. Trong trường hợp hai ngân hàng Trung Đông thì một ngân hàng sử dụng một công ty xử lý thẻ tín dụng của Mỹ, còn ngân hàng kia thì sử dụng một công ty ở Ấn Độ. Và việc hai ngân hàng này bị xâm nhập đã cho thấy thậm chí dù đã sử dụng công ty xử lý tín dụng ở Mỹ cũng vẫn khiến ngân hàng dễ bị xâm nhập.

Còn ông William B. Nelson, giám đốc điều hành của một tổ chức bảo mật phi lợi nhuận chuyên tư vấn cho ngành công nghiệp ngân hàng, cho rằng vụ việc ở Mỹ đã làm ông nhớ đến vụ hệ thống của công ty RBS WorldPay bị xâm nhập năm 2008. Trong vụ tấn công đó, các tin tặc đã xâm nhập vào chi nhánh Ngân hàng Hoàng gia Scotland để lấy dữ liệu về các khách hàng, tạo ra những tấm thể mới và sau đó nâng hạn mức rút tiền hằng này của những tấm thẻ đó. Trong vụ việc đó, ngân hàng đã bị lấy mất 9 triệu USD chỉ trong một ngày.

 

THẢO NGUYÊN

TheoReuters