Wednesday, August 24, 2016

Việt Nam 'nhiều mã độc' nhất thế giới?

Việt Nam 'nhiều mã độc' nhất thế giới?

  • 23 tháng 8 2016
Image copyrightGETTY IMAGES
Image captionSau vụ việc mất 500 triệu qua giao dịch trên mạng tại Vietcombank, nhiều người dùng lo lắng về sự an toàn của tài khoản cá nhân
Một nhóm kỹ sư về bảo mật nói Việt Nam là nơi có tỷ lệ máy tính nhiễm mã độc nhiều nhất thế giới, sau sự cố khách hàng tại Vietcombank bị mất 500 triệu đồng.
Khách hàng tên Hoàng Thị Na Hương bị mất 500 triệu trong tài khoản vào đêm ngày 3/8 và rạng sáng 4/8 với nhiều giao dịch được thông báo qua tin nhắn điện thoại và email.
Báo chí tại Việt Nam dẫn lời Ngân hàng Vietcombank nói do khách hàng truy cập vào một website giả mạo và tự để lộ tài khoản của mình. Vietcombank cho biết đã khoanh giữ 300 triệu, còn 200 triệu đã bị rút khỏi tài khoản từ máy ATM tại Malaysia.
Vụ việc làm dư luận tại Việt Nam đặt câu hỏi về độ bảo mật khi sử dụng giao dịch ngân hàng qua mạng, cũng như quyền lợi của khách hàng ra sao khi bị mất tiền.
VNSECURITY là nhóm kỹ sư về bảo mật đã phân tích về cách mà khách hàng bị tấn công, cũng như giải thích các nguyên nhân dẫn đến lỗ hổng trên giao dịch ngân hàng điện tử của Vietcombank.
Bài viết của nhóm này nói họ được “Các kỹ sư Vietcombank đã phản hồi rất tích cực” khi làm các phân tích.
Một trong những nguyên nhân từng được báo chí tại Việt Nam nêu lên sau sự cố mất 500 triệu là khách hàng bị lừa vào một website giả, có giao diện giống hệt trang của ngân hàng.

Cách tránh lừa đảo?

Trao đổi với BBC Tiếng Việt về các nguy cơ mà khách hàng tại Việt Nam có thể gặp phải, đại diện của nhóm VNSECURITY nói về chiêu lừa này: “Rất khó phòng chống tấn công phishing (giả mạo website như đáng tin cậy thật). Chúng tôi đã từng chứng kiến kỹ sư máy tính chuyên nghiệp cũng bị lừa đảo thông qua tấn công phishing.”
“Tuy nhiên nếu luôn cảnh giác và tuân theo một số nguyên tắc như bên dưới, khả năng bị tấn công sẽ giảm đáng kể, vì bọn tấn công thường chỉ nhắm những nạn nhân dễ tấn công nhất.”
Image copyrightVTV
Image captionHình ảnh trên bản tin của VTV, nói khách hàng đã bị lừa vào một website giả mạo có giao diện như website ngân hàng thật
Nhóm này đưa ra một số chỉ dẫn cho người sử dụng:
  • Kiểm tra kỹ lưỡng các thông tin mình đang tương tác, chẳng hạn như địa chỉ trang web, chứng chỉ số, địa chỉ email gửi/nhận....
  • Không click vào đường dẫn gửi qua web, email hay SMS, bất kể do ai gửi. Nếu muốn truy cập vào một dịch vụ nào đó, tự tay mở trình duyệt, đánh địa chỉ vào. Có thể bookmark (đánh dấu lưu lại) địa chỉ đó, tạo một shortcut (đường dẫn tắt) trên máy tính để lần sau chỉ cần click vào đó là được.
  • Nếu có người thân hay bạn bè liên lạc qua chat yêu cầu chuyển tiền, tìm cách liên hệ lại với họ qua một kênh khác. Nếu không có cách nào nói chuyện (qua điện thoại, hay gặp mặt trực tiếp), hãy từ chối chuyển tiền.
  • Không cung cấp thông tin tài khoản và cá nhân trong tất cả trường hợp nào khác.
  • Thường xuyên cập nhật phần mềm máy tính và điện thoại. Không mở các tập tin lạ, không cài đặt sử dụng phần mềm không rõ nguồn gốc.
  • Nếu có điều kiện, sử dụng riêng một máy tính, chẳng hạn như một chiếc máy tính Chromebook hay Netbook chạy hệ điều hành Linux giá rẻ, cho việc truy cập các dịch vụ quan trọng như Internet Banking (ngân hàng điện tử), thanh toán điện tử.
“Cách duy nhất để người dùng tránh bị lừa là rèn luyện cho mình thói quen cẩn thận, kiểm tra các thông tin về trang mạng mà mình đang tương tác có đúng hay không,” đại diện nhóm VNSECURITY nói với BBC.
“Đối với những ngân hàng, tổ chức tín dụng sở hữu các trang ngân hàng điện tử, việc luôn luôn cảnh báo khách hàng của mình khi họ xài dịch vụ ngân hàng điện tử là điều nên làm.”
“Và thực tế, ví dụ như các ngân hàng ở Singapore, với thực tế là có nhiều báo cáo về các hành vi lừa đảo, đều thực hiện việc cảnh báo này cho khách hàng. Về mặt kĩ thuật, tạo ra một phương thức xác thực chống lừa đảo là một bài toán khó. Chúng tôi sẽ viết một bài viết về hướng tiếp cận để phát triển một phương thức như vậy trong thời gian tới.”

Việt Nam 'nhiều mã độc'

“Vì sự việc khách hàng của Vietcombank bị tin tặc lừa đảo chiếm đoạt tiền gần đây, nên nhiều người chú ý đến vấn nạn lừa đảo. Nhưng bên cạnh lừa đảo thì một vấn đề khác đáng được chú tâm hơn, đó là mã độc," đại diện của nhóm nghiên cứu bảo mật ra đời từ năm 1998 tại Việt Nam cho biết.
“Việt Nam được đánh giá là một trong những nơi có tỉ lệ máy tính nhiễm mã độc nhiều nhất thế giới."
Nhóm này dẫn một báo cáo của hãng máy tính Microsoft vào tháng 6/2016 tên Báo cáo nhiễm độc Malware 2016 (Walware Infection Index 2016) cho thấy Việt Nam đứng hạng thứ 5 tại Châu Á Thái Bình Dương về nguy cơ nhiễm mã độc máy tính, và nhận định:
“Với sự dễ dàng trong việc lây nhiễm, và người dùng quá thiếu kiến thức trong việc phòng ngừa, việc mất tiền chỉ là sớm hay muộn.
“Riêng về vấn đề lừa đảo, chúng thường tấn công vào điểm yếu tâm lý của người dùng. Cách thức tấn công thì rất nhiều và vô cùng biến hoá, chẳng hạn như giả mạo nhà cung cấp hay người thân, bạn bè gửi các thông tin lừa trúng thưởng, tặng quà, cập nhật dịch vụ, mượn tiền... qua các phương tiện truyền thông phổ biến như email, mạng xã hội, tin nhắn, điện thoại đến nạn nhân.
Image copyrightAFP
Image captionSau khi vụ việc xảy ra, Vietcombank đã có thông báo liên quan đến thay đổi dịch vụ Smart OTP, vốn là giao thức đã khiến khách hàng bị mất tiền.

Tìm ngân hàng an toàn?

BBC đặt câu hỏi liệu một người dùng bình thường không có quá nhiều kiến thức về công nghệ có thể tìm và chọn được ngân hàng có dịch vụ an toàn hay không?
Đại diện của nhóm kỹ sư VNSECURITY này trả lời:
“Thay vì tìm kiếm một ngân hàng có một hệ thống là an toàn - là một điều khó, có thể là bất khả thi đối với người dùng bình thường, thì tốt hơn là người dùng nên tìm kiếm ngân hàng nào có thể bảo vệ mình tốt nhất, nếu không may có sự cố xảy ra.”
“Ví dụ như sự việc lần này đối với Vietcombank, nếu không xét dưới góc độ an toàn của ứng dụng Smart OTP, việc chuyển khoản hơn nửa tỉ đồng, trong đêm như vậy là một "hành vi bất thường", và trong tình huống này, ngân hàng nên giữ giao dịch đó lại và kiểm tra lại với người dùng, chứ không chỉ đơn giản là chấp nhận giao dịch đó một cách bình thường.”
Nhóm VNSECURITY cũng là đơn vị tổ chức sự kiện mang tên "Trà đá hacking" dành cho thanh niên trẻ về các vấn đề bảo mật tại Thành phố Hồ Chí Minh vào tháng 6/2016.
Hôm 16/8, trả lời BBC, luật sư Trương Thanh Đức, có kinh nghiệm nhiều năm làm pháp chế ngân hàng, cho biết những vụ việc tương tự như Vietcombank cũng “xảy ra tương đối nhiều” nhưng “các ngân hàng cũng hay chấp nhận bồi thường cho khách hàng vì ít nhiều cũng có lỗi và để giữ hình ảnh của mình trên thị trường."

Tin liên quan

No comments:

Post a Comment