logo

Đã đến lúc ngân hàng không thể né trách nhiệm khi khách hàng bị lừa đảo

Đã đến lúc ngân hàng không thể né trách nhiệm khi khách hàng bị lừa đảo
14 giờ trướcBài gốc
Mới đây nhất, hôm 4-1 một phụ nữ đã bị mất sạch gần 3,5 tỉ đồng trong tài khoản ngân hàng chỉ trong vài phút sau khi bị bọn lừa đảo mạo danh cơ quan bảo hiểm xã hội yêu cầu tải ứng dụng (app) giả mạo để đồng bộ thông tin làm thủ tục nhận lương hưu. Sau khi cài app, tài khoản ngân hàng của chị này bị chiếm quyền kiểm soát. Chỉ trong vài phút, toàn bộ số tiền gần 3,5 tỉ đồng bị chuyển đi sạch, kết quả sao kê sau đó cho thấy, tiền được chuyển nhiều lần với, trong đó 6 lần đầu tiên số tiền y hệt nhau là 499 triệu đồng (*).
Nếu ngân hàng có trang bị một hệ thống quản lý danh tính (ID management) đúng chuẩn, các giao dịch này sẽ có thể bị chận ngay từ lần giao dịch đầu tiên trên ứng dụng mobile banking. Dưới góc độ an ninh mạng, chuỗi giao dịch này rất khả nghi vì có nhiều dấu hiệu bất thường như số tiền y hệt nhau được chuyển liên tục trong thời gian rất ngắn. Ngoài ra còn phải kể đến các yếu tố kỹ thuật không thể che giấu như trong điện thoại khách hàng đang có ứng dụng chiếm quyền điều khiển.
Thêm vào đó, có thể thấy là hệ thống xác thực sinh trắc học qua khuôn mặt của ngân hàng đã bị vượt qua, có thể bằng công nghệ trí tuệ nhân tạo (AI) để giả mạo khuôn mặt (deepfake). Điều này rất rõ ràng vì hiện tại chuyển tiền trên 10 triệu đồng phải xác thực khuôn mặt qua app ngân hàng, trong khi chủ tài khoản không hề thao tác mà tiền vẫn được chuyển đi dễ dàng.
Với ID management đúng chuẩn, hệ thống sẽ tự phát cảnh báo khi thấy các yếu tố kỹ thuật cho thấy thiết bị có dấu hiệu bị xâm nhập kèm theo giao dịch khác thường so với lịch sử thường lệ. Khi đó, quy trình bảo vệ khách hàng sẽ được kích hoạt, ngân hàng sẽ yêu cầu chủ tài khoản xác thực lại trước khi chuyển tiền. Cảnh báo và yêu cầu xác thực có thể gởi qua nhiều kênh đến khách hàng như thông báo trên app ngân hàng, e-mail, tin nhắn SMS và cuộc gọi từ nhân viên ngân hàng.
Vì khách hàng ngân hàng, đặc biệt là người lớn tuổi và không rành công nghệ khó lòng mà đối phó nổi với chiêu trò của hacker lừa đảo nên trong vài năm gần đây, xu thế làm luật ở nhiều nước đã quy định ràng buộc trách nhiệm ngân hàng đầu tiên khi xảy ra lừa đảo chiếm đoạt tiền.
Việt Nam cũng đang đi theo hướng tiếp cận này khi bắt buộc các ngân hàng phải triển khai giải pháp nhằm phòng, chống, phát hiện hành vi can thiệp trái phép vào ứng dụng mobile banking của khách hàng. Đây là quy định mới tại Thông tư số 77/2025/TT-NHNN của Ngân hàng Nhà nước, sửa đổi, bổ sung một số điều của Thông tư số 50/2024/TT-NHNN quy định về an toàn, bảo mật cho việc cung cấp dịch vụ trực tuyến trong ngành ngân hàng.
Quy định này sẽ có hiệu lực từ ngày 1-3-2026, nhằm tăng cường an ninh mạng và bảo vệ tài sản của khách hàng trong bối cảnh lừa đảo trực tuyến bùng nổ hiện nay.
Thông tư số 77 ràng buộc các ngân hàng định kỳ tối thiểu 3 tháng một lần phải đánh giá an toàn, bảo mật của các phiên bản phần mềm ứng dụng cung cấp cho khách hàng cài đặt, nhằm xác định các lỗ hổng bảo mật và đánh giá khả năng bị can thiệp bởi tội phạm mạng. Thông tư này cũng yêu cầu tổ chức tín dụng phải triển khai các giải pháp nhằm phòng, chống, phát hiện các hành vi can thiệp trái phép vào ứng dụng mobile banking đã cài đặt trong thiết bị của khách hàng.
Mobile banking phải tự động thoát hoặc dừng hoạt động và thông báo cho khách hàng lý do nếu phát hiện một trong ba dấu hiệu mất an toàn. Một là có trình gỡ lỗi (debugger), chạy trong môi trường giả lập (emulator) hay hoạt động ở chế độ máy tính điều khiển thiết bị Android (Android Debug Bridge); hai là phần mềm ứng dụng bị chèn mã bên ngoài ứng dụng khi đang chạy và ba là thiết bị đã bị phá khóa (root/jailbreak) hoặc bị mở khóa cơ chế bảo vệ (unlock bootloader).
Ngoài ra, để ngăn chặn tội phạm sử dụng deepfake để vượt qua xác thực sinh trắc học, Thông tư 77 cũng quy định hệ thống công nghệ của các ngân hàng phải trang bị giải pháp phát hiện giả mạo thông tin sinh trắc học đạt tiêu chuẩn quốc tế ISO 30107 Level 2.
Có thể thấy, với các quy định chặt chẽ về kỹ thuật trên của Thông tư 77, các ngân hàng không còn vô can như trong vụ người phụ nữ bị mất tiền nói trên. Đây là nền tảng pháp lý cần thiết để các nạn nhân khởi kiện ngân hàng đòi bồi thường thay vì phải cắn răng chịu đựng mất tiền còn ngân hàng thì không phải chịu trách nhiệm gì như trong mấy năm vừa qua.
---------------------------------
(*) https://nld.com.vn/mat-sach-35-ti-dong-trong-tai-khoan-vi-thu-doan-lua-dao-tinh-vi-19626011016243734.htm
Mục Đồng
Nguồn Saigon Times : https://thesaigontimes.vn/da-den-luc-ngan-hang-khong-the-ne-trach-nhiem-khi-khach-hang-bi-lua-dao/

Tin khác

Mất 850 triệu đồng vì cài ứng dụng 'EVN' giả
Mất 850 triệu đồng vì cài ứng dụng 'EVN' giả
Mất 850 triệu đồng vì cài ứng dụng 'EVN' giả
4 giờ trước
Ghi nhận gần 63.000 loại mã độc mới trên điện thoại năm 2025
Ghi nhận gần 63.000 loại mã độc mới trên điện thoại năm 2025
Ghi nhận gần 63.000 loại mã độc mới trên điện thoại năm 2025
một ngày trước
Tổ chức thành lập dưới 12 tháng phải xác thực sinh trắc học khi giao dịch trên 50 triệu đồng
Tổ chức thành lập dưới 12 tháng phải xác thực sinh trắc học khi giao dịch trên 50 triệu đồng
Tổ chức thành lập dưới 12 tháng phải xác thực sinh trắc học khi giao dịch trên 50 triệu đồng
một ngày trước
MB tiên phong chuyển đổi số - Bài 3: Bảo mật tối đa cho khách hàng (Tiếp theo và hết)
MB tiên phong chuyển đổi số - Bài 3: Bảo mật tối đa cho khách hàng (Tiếp theo và hết)
MB tiên phong chuyển đổi số - Bài 3: Bảo mật tối đa cho khách hàng (Tiếp theo và hết)
một ngày trước
Cẩn thận với chiêu trò lừa đảo qua điện thoại: 'Bạn có nghe thấy tôi không?'
Cẩn thận với chiêu trò lừa đảo qua điện thoại: 'Bạn có nghe thấy tôi không?'
Cẩn thận với chiêu trò lừa đảo qua điện thoại: 'Bạn có nghe thấy tôi không?'
20 giờ trước
Ngân hàng nâng cấp 'lá chắn số' bảo vệ người dùng
Ngân hàng nâng cấp 'lá chắn số' bảo vệ người dùng
Ngân hàng nâng cấp 'lá chắn số' bảo vệ người dùng
một ngày trước