Vì sao không cần mã OTP vẫn diễn ra giao dịch thẻ?

Thanh toán không cần tiếp xúc thông qua thẻ tín dụng, thẻ ghi nợ nhanh chóng, dễ dàng cho thấy sự hữu ích, tiện lợi trong thời kỳ đại dịch. Tuy nhiên gần đây, nhiều người bàng hoàng vì tiền trong thẻ tín dụng, thẻ ghi nợ quốc tế (Visa, Master...) tự nhiên "bốc hơi".

Theo ông Vũ Anh Tú, Giám đốc Công nghệ tập đoàn FPT, một chuyên gia bảo mật lâu năm, tình trạng gian lận giao dịch điện tử xảy ra ở cả Việt Nam cũng như trên thế giới. Điều quan trọng là người dùng cần thông báo ngay đến ngân hàng để được kịp thời hỗ trợ đóng thẻ và rà soát, xác thực thông tin giao dịch nhằm bảo vệ quyền lợi hợp pháp nếu phát hiện giao dịch bất thường. Dưới đây là chia sẻ của ông Vũ Anh Tú về tình trạng gian lận giao dịch điện tử và khuyến nghị với người dùng.

- Mạng xã hội đang xôn xao về việc một số tài khoản thẻ tín dụng, thẻ ghi nợ quốc tế bất ngờ bị trừ tiền cho giao dịch trên ZaloPay hay Google, Facebook, ông đánh giá như thế nào về các lo ngại này?

- Khách hàng khi bị trừ tiền bất ngờ sẽ xót xa và có tâm lý hoang mang, cho rằng đó là do lỗ hổng bảo mật của ngân hàng. Thực tế, có nhiều nguyên nhân gây lộ thông tin khách hàng, bao gồm cả trách nhiệm của những nhà thanh toán khi giám sát lỏng lẻo các giao dịch, những tổ chức thanh toán trung gian chưa đảm bảo an ninh thông tin ví khách hàng.

Rủi ro mà khách hàng hay gặp phải là bị lộ số thẻ, ngày đến hạn và mã CVV/CVC2 là mã số bảo mật của thẻ tín dụng dùng trong thanh toán quốc tế, để xác minh quyền sở hữu thẻ của người dùng. Mã CVV/CVC gồm 3 chữ số được in ở phần dưới dải băng đen do ngân hàng phát hành thẻ cấp và quản lý giao dịch mỗi khi người dùng thanh toán hoặc chi tiêu trên thẻ và nó cũng thường được bố trí để mặt sau của thẻ đề phòng các camera quay lén chụp được số thẻ ngày đến hạn và cả CVV2.

- Ông giải thích như thế nào về trường hợp khách hàng bị trừ tiền mà không hề mất thẻ và cũng không nhận được thông báo OTP để xác thực giao dịch?

- Thời gian qua, nhiều ngân hàng đã áp dụng phương thức 3D-Secure (3DS) là một lớp bảo vệ tăng cường cho các chủ thẻ khi giao dịch trực tuyến. Với phương thức này, khi thực hiện các giao dịch trên các website thương mại điện tử, bên cạnh các bước xác thực thông thường, ngân hàng sẽ gửi thêm mật khẩu giao dịch một lần (OTP) qua tin nhắn hoặc email để khách hàng nhập và hoàn tất giao dịch.

Tuy nhiên, việc không áp dụng 3DS là do thỏa thuận giữa Visa, MasterCard với các doanh nghiệp cung cấp dịch vụ. Cụ thể, với các doanh nghiệp lớn đã được xác thực danh tính (verified merchant) như Facebook, Google, Apple, Google... các giao dịch đều không đòi hỏi mã OTP. Vì vậy, trong trường hợp ngân hàng muốn áp dụng 3DS để an toàn cho khách hàng, nhưng các đơn vị cung cấp dịch vụ không hỗ trợ, thì ngân hàng cũng không có cách nào.

Trong một số trường hợp, nếu các ngân hàng áp dụng thái quá 3DS thì cũng ảnh hưởng đến giao dịch mua bán hàng hóa, và trải nghiệm chính cho những người dùng thẻ, khi muốn mua dịch vụ thực sự.

- Khách hàng cần làm gì khi phát hiện bị trừ tiền bất thường, thưa ông?

- Theo tôi, điều quan trọng nếu khách hàng phát hiện và khiếu nại sớm, ngân hàng sẽ phối hợp với Visa để rà soát, điều tra các giao dịch liên quan đến Facebook, Google, Apple, Zalo Pay....

Chẳng hạn như trường hợp gần đây đăng tải trên VnExpress của chị Nguyễn Phương Minh, chủ thẻ Visa Debit (thẻ ghi nợ quốc tế), ngày 6/10, nhận được loạt tin nhắn thông báo trừ tiền từ ngân hàng Techcombank, với tổng giá trị hơn 21 triệu đồng. Nội dung cho những phần giao dịch trừ tiền được báo về là Giao dịch qua POS số thẻ xxx... tại ZaloPay... hoặc Giao dịch qua POS số thẻ xxx... tại SenPay... Trong khi, chị cho biết, chưa hề đăng ký hay sử dụng dịch vụ tại các ví điện tử này.

Với trường hợp được nêu bởi chị Minh hay các khách hàng tương tự, Techcombank khẳng định không có tình trạng hack dữ liệu giao dịch. Ngân hàng ra thông điệp nhấn mạnh sẽ bảo vệ quyền lợi hợp pháp của khách hàng và thúc đẩy tiến trình rà soát để có thể phản hồi đến khách hàng trong thời gian ngắn nhất. Đồng thời, khi dữ liệu từ bên tra soát xác thực khách hàng không thực hiện giao dịch, ngân hàng sẽ phối hợp cùng các bên liên quan để hoàn trả. Ngân hàng cũng khuyến cáo các khách hàng nếu gặp tình trạng tương tự cần lập tức liên hệ với ngân hàng để gửi yêu cầu tra soát, nếu phát hiện có giao dịch khác thường.

- Theo ông, kẻ gian làm thế nào để lấy cắp thông tin của khách hàng?

- Có 4 thủ đoạn mà kẻ gian thường sử dụng để lấy cắp thông tin thẻ gồm lấy thông tin người dùng bằng cách hack trang web mua sắm, dịch vụ... nơi khách hàng hay sử dụng thẻ tín dụng thanh toán; sử dụng máy quét dữ liệu thẻ (Skimming) tại nhà hàng, khách sạn, siêu thị khi khách hàng đưa thẻ thanh toán. Ngoài ra, kẻ gian cũng có thể đặt máy MP3 tại cây ATM để ghi lại tiếng động nhập mật khẩu và chuyển hóa thành các bộ số chính và mã pin thẻ của khách hàng.

Tinh vi hơn là dùng trang web/link giả để lấy thông tin bảo mật từ chính khách hàng. Phổ biến là tội phạm thông qua zalo/facebook/số điện thoại để gửi thông tin cho khách thông quan các lời mời giả mạo (tặng quà, giải thưởng, khác phục sự cố...) để lừa khách hàng nhập thông tin thẻ, ngày đến hạn, CVV... từ đó dùng thông tin để thanh toán, hoặc rút tiền theo mục đích của họ. Trường hợp này thường chỉ có thể giải quyết với sự vào cuộc của ngân hàng phát hành thẻ, phối hợp với an ninh mạng và cơ quan công an.

- Ông có khuyến nghị gì đến người dùng thẻ ngân hàng để để hạn chế các tra soát khiếu nại hay rủi ro từ thanh toán Internet?

- Người dùng không được để lộ thông tin số thẻ, ngày đến hạn và số CVV (thường ở mặt sau) của thẻ tín dụng. Nếu nghi ngờ lộ thông tin, khách hàng cần lập tức liên hệ ngân hàng để đóng thẻ và phát hành thẻ mới. Khách hàng cũng không tự nhập các thông tin này vào các đường link lạ được gửi đến email/số điện thoại/zalo/facebook... để tránh bị kẻ gian lợi dụng tiêu dùng qua thẻ.

Ngoài ra, người dùng không nên hoặc rất hạn chế nhập và lưu thông tin về thẻ khi đăng ký các gói sản phẩm, dịch vụ mang tính định kỳ, như mua dịch vụ của Apple, Google, Facebook... hay đăng ký hội viên VIP của LinkedIn, nạp ví (chơi Game, mua dịch vụ) của Zalo, Moca... Thay vào đó, nên mua từng lần.

Huyền Anh