Bài tiểu luận năng lực số ứng dụng Học viện Ngân hàng điểm cao Đề tài: Tấn công giả mạo trong lĩnh vực ngân hàng số tại Việt Nam Bài tiểu luận năng lực số ứng dụng Học viện Ngân hàng điểm cao Đề tài: Tấn công giả mạo trong lĩnh vực ngân hàng số tại Việt Nam
BÀI TẬP LỚN MÔN NĂNG LỰC SỐ ỨNG DỤNG Tên đề tài: TẤN CÔNG GIẢ MẠO TRONG LĨNH VỰC NGÂN HÀNG SỐ TẠI VIỆT NAM Giảng viên hướng dẫn: Thầy Chu Văn Huy Nhóm 14: Hà Nội, tháng 04 năm 2022 i MỤC LỤC BẢNG PHÂN CHIA CÔNG VIỆC Error! Bookmark not defined MỤC LỤC ii LỜI MỞ ĐẦU 1 Mục đích đề tài Nhiệm vụ đề tài Mục tiêu nghiên cứu PHẦN NỘI DUNG CHƯƠNG 1: TỔNG QUAN VỀ TẤN CÔNG GIẢ MẠO TRONG LĨNH VỰC NGÂN HÀNG SỐ Tổng quan công giả mạo 2 Tấn công giả mạo lĩnh vực ngân số CHƯƠNG THỰC TRẠNG TẤN CÔNG GIẢ MẠO TRONG LĨNH VỰC NGÂN HÀNG SỐ TẠI VIỆT NAM Thực trạng công giả mạo lĩnh vực ngân hàng số Việt Nam Ảnh hưởng công giả mạo lĩnh vực ngân hàng số Việt Nam 11 Thách thức quản lý an ninh mạng ngân hàng 12 CHƯƠNG 3: MỘT SỐ ĐỀ XUẤT, GIẢI PHÁP PHỊNG NGỪA TẤN CƠNG GIẢ MẠO TRONG LĨNH VỰC NGÂN HÀNG SỐ 13 Giải pháp phịng chống cơng giả mạo ngân hàng số 13 Kiến nghị 14 KẾT LUẬN 16 TÀI LIỆU THAM KHẢO 17 ii LỜI MỞ ĐẦU Mục đích đề tài Mục đích tập lớn tìm hiểu công giả mạo cụ thể công giả mạo lĩnh vực ngân hàng số Việt Nam Nhiệm vụ đề tài Sau tìm hiểu cơng giả mạo hình thức cơng mạng hình thức cơng giả mạo trội như: Tấn công giả mạo qua email, tin nhắn, gọi giả mạo website Mục tiêu nghiên cứu Đầu tiên, nêu tổng quan cơng mạng mục đích để cơng giả mạo hình thức cơng mạng Sau đó, tìm hiểu cơng mạng hình thức Mục đích nhóm tập trung vào bốn hình thức chủ yếu công giả mạo là: Qua Email, qua tin nhắn, qua gọi giả mạo website Thứ ba, chúng em tìm hiểu tổng quan ngân hàng số, trả lời câu hỏi ngân hàng số nơi mà tội phạm mạng ngắm tới nêu cách thức mà hacker thực để công Thứ tư, thực trạng công giả mạo lĩnh vực ngân hàng số rút số hệ lụy Cuối cùng, đề xuất giải pháp kiến nghị PHẦN NỘI DUNG CHƯƠNG 1: TỔNG QUAN VỀ TẤN CÔNG GIẢ MẠO TRONG LĨNH VỰC NGÂN HÀNG SỐ Tổng quan công giả mạo 1.1 Tấn công mạng gì? (Đỗ Kiều Trinh) Tấn cơng mạng hình thức công xâm nhập vào hệ thống máy tính, sở liệu, website hay thiết bị một tổ chức, doanh nghiệp, cá nhân Cụm từ “tấn cơng mạng” có nghĩa hiểu: Hiểu theo cách tích cực (positive way): Tấn cơng mạng (penetration testing) việc hacker mũ trắng xâm nhập vào hệ thống mạng, thiết bị hay website để tìm lỗ hổng bảo mật rủi ro công nhằm bảo vệ tổ chức, doanh nghiệp Hiểu theo cách tiêu cực (negative way): Tấn công mạng (network attack) việc hacker mũ đen công vào hệ thống mạng, thiết bị hay website để thay đổi, phá hoại tống tiền nạn nhân Tóm lại, vụ cơng thực nhằm đạt mục tiêu khác 1.2 Các hình thức cơng mạng (Đỗ Kiều Trinh) Hình thức cơng mạng phần mềm độc hại (Malware Attack) Một hình thức cơng mạng điển hình năm gần hình thức cơng phần mềm độc hại (malware) Các phần mềm độc hại bao gồm: mã độc tống tiền (ransomeware), phần mềm gián điệp (spyware), virus worm (phần mềm độc hại có khả lây lan với tốc độ chóng mặt) Các tin tặc thường khai thác lỗ hổng bảo mật để cài đặt malware nhằm xâm nhập công hệ thống Hình thức cơng giả mạo (Phishing Attack) Tấn cơng giả mạo (Phishing Attack) hình thức cơng tin tặc giả mạo thành tổ chức cá nhân uy tín để lấy lịng tin người dùng Từ đó, chúng đánh cắp liệu nhạy cảm tài khoản ngân hàng, thẻ tín dụng… Các công giả mạo thường thực qua email Cụ thể, người dùng nhận email giả mạo tổ chức/ cá nhân uy tín với thông điệp vô khẩn thiết Thông điệp yêu cầu người dùng click vào đường link tin tặc tạo Nếu click vào, người dùng chuyển đến website giả mạo yêu cầu đăng nhập Khi đó, tin tặc có thơng tin đăng nhập liệu nhạy cảm khác người dùng Mục đích cơng giả mạo thường đánh cắp liệu thơng tin thẻ tín dụng, mật Đôi khi, công phishing để lừa người dùng cài đặt malware vào thiết bị Lúc này, phishing công đoạn công malware Hình thức cơng trung gian (Man in the middle attack) Tấn cơng trung gian hình thức tin tặc xen vào phiên giao dịch hay giao tiếp hai đối tượng Khi xâm nhập thành công, chúng theo dõi hành vi người dùng Tệ hơn, chúng đánh cắp tồn liệu phiên giao dịch Tấn cơng trung gian dễ xảy nạn nhân truy cập vào mạng wifi khơng an tồn Hình thức công từ chối dịch vụ (DoS & DDoS) Một công từ chối dịch vụ (DoS viết tắt từ Denial of Service) hay công từ chối dịch vụ phân tán (DDoS viết tắt Distributed Denial of Service) hình thức cơng mà tin tặc đánh sập hệ thống máy chủ tạm thời cách tạo lượng traffic khổng lồ thời điểm khiến cho hệ thống bị tải sử dụng mạng lưới máy tính để cơng Khi đó, người dùng khơng thể truy cập vào mạng thời gian tin tặc cơng Hình thức cơng DDoS chủ yếu nhắm vào mục tiêu như: website, máy chủ trò chơi, máy chủ DNS… làm chậm, gián đoạn đánh sập hệ thống Hình thức cơng sở liệu (SQL Injection) SQL Injection hình thức cơng tin tặc chèn đoạn mã độc hại vào server sử dụng ngôn ngữ SQL để đánh cắp liệu quan trọng Hậu lớn SQL Injection làm lộ liệu database Thông tin liệu khách hàng bị lộ toàn dẫn đến lo lắng, niềm tin khách hàng cá nhân/doanh nghiệp, từ ảnh hưởng nghiêm trọng chí dẫn đến phá sản Khai thác lỗ hổng Zero Day (Zero Day Attack) Lỗ hổng Zero Day thực chất lỗ hổng bảo mật phần mềm phần cứng mà người dùng chưa phát Chúng tồn nhiều môi trường khác như: Website, Mobile Apps, hệ thống mạng doanh nghiệp, phần mềm – phần cứng máy tính, thiết bị IoT, Cloud, … Chưa có vá thức cho lỗ hổng Nói cách khác, vụ cơng Zero Day xảy cách bất ngờ mà nhà phát triển phần mềm khơng thể dự liệu trước Đó lý hậu vụ công Zero Day thường vơ nặng nề Các loại hình cơng khác: Ngồi ra, cịn nhiều hình thức công mạng khác như: Tấn công chuỗi cung ứng, công Email, công vào người, công nội tổ chức 1.3 Tấn công giả mạo gì? (Cao Thị Lan Anh) Tấn cơng giả mạo hình thức cơng mạng phổ biến, hình thức mà tội phạm mạng thường hay thực Cụ thể, nạn nhân thường bị hacker giả mạo tổ chức, cá nhân uy tín quan Nhà nước, ngân hàng, nhà mạng Mục đích lợi dụng nhẹ tin, thiếu hiểu biết để thực hành vi chiếm đoạt tài sản, chiếm đoạt thông tin, liệu quan trọng người dùng 1.4 Các hình thức cơng giả mạo (Cao Thị Lan Anh) Hiện nay, hacker sử dụng kỹ thuật lừa đảo tinh vi để thực vụ công giả mạo Phương thức công thường thực qua email, web, tin nhắn, điện thoại… Giả mạo email: Giả mạo mail hình thức cơng email mà hacker cơng thường giả mạo tổ chức, cá nhân uy tín để thực kế hoạch lừa đảo email người dùng, khiến họ tin tưởng cung cấp thông tin tài khoản cá nhân, click vào liên kết có chứa mã độc, nhằm xâm nhập vào hệ thống người dùng Các hacker tạo nội dung email gần giống với giao diện email tổ chức, cá nhân để lừa đảo người dùng khiến họ tin tưởng email thực gửi từ tổ chức mà họ có giao dịch Kẻ giả mạo gửi email tư cách tổ chức uy tín, khơng tinh ý người dùng khó nhận khả cao dễ dàng “sập bẫy” Email giả mạo thường giống với email chủ, khác chi tiết nhỏ, khiến cho người dùng dễ bị nhầm lẫn, khơng đề phịng trở thành nạn nhân Giả mạo website Là webste mà kẻ công tạo ra, giả mạo trang web mạng xã hội, ngân hàng, giao dịch trực tuyến, ví điện tử…để lừa người dùng chia sẻ thông tin cá nhân Đây phương thức giả mạo phổ biến người dùng bị lừa trang web giả mạo Cụ thể để đánh lừa nạn nhân, trang web lừa đảo thiết kế hoàn toàn giống với trang web thật, từ màu sắc, bố cục nội dung Nếu xem lướt qua, người dùng khó nhận trang web giả mạo Thơng thường, trang web giả mạo có khung điền thông tin để lấy thông tin người dùng Để kích thích người dùng điền thơng tin nhanh chóng, tin tặc đưa ưu đãi, quà tặng với giá trị hấp dẫn Hoặc đối tượng giả mạo bạn bè,người thân, đối tác cung cấp đường link giả mạo, sau người dùng truy cập cung cấp thơng tin đối tượng nắm tồn thơng tin người dùng Hơn nữa, cịn sử dụng đường link khác ký tự khiến người dùng khó phát đánh lừa người dùng Giả mạo tin nhắn Tương tự lừa đảo qua email, thực qua tin nhắn văn Nhiều người tinh ý nhận email lừa đảo, lại người nghi ngờ tin nhắn SMS, điều khiến cho kẻ giả mạo lừa đảo thành cơng Tinh vi hơn, cịn có nhiều tin nhắn giả mạo lưu trữ thư mục với tin nhắn thương hiệu “thật” ngân hàng, điện lực, thương hiệu uy tín… điện thoại di động người dùng, khách hàng dễ nhầm tưởng thơng báo thức từ tổ chức Giả mạo gọi Đây hình thức công giả mạo nguy hiểm sử dụng nhiều để lừa người dùng Kẻ giả mạo sử dụng công nghệ cao, điện thoại mạo danh tổ chức, cá nhân nhằm chiếm đoạt tài sản Mục tiêu mánh khóe lừa nạn nhân cung cấp thông tin cá nhân quan trọng qua điện thoại Nếu nạn nhân “mắc bẫy”, tin tặc truy cập vào tài khoản tài đánh cắp danh tính nạn nhân Tấn cơng giả mạo lĩnh vực ngân số 2.1 Tổng quan ngân hàng số (Đào Huyền Trang) Ngân hàng số việc tích hợp số hóa cơng nghệ số vào lĩnh vực ngân hàng truyền thống Hiểu cách nôm na, ngân hàng số giúp giao dịch khách hàng với ngân hàng thuận tiện nhanh chóng so với ngân hàng truyền thống nhiều Nếu trước đây, ngân hàng truyền thống, khách hàng phải đến ngân hàng để trực tiếp làm thủ tục rút tiền, nộp tiền vào tài khoản, gửi tiết kiệm, vay tiền,…khiến khách hàng tốn nhiều thời gian, thủ tục phức tạp,…thì ngân hàng số đời khắc phục nhược điểm Ngân hàng số thực hầu hết giao dịch ngân hàng hình thức trực tuyến thơng qua Internet Từ áp dụng chuyển đổi số vào hoạt động ngân hàng, đem lại kết tích cực khách hàng, ngân hàng với kinh tế Cụ thể, lợi ích đem lại cho khách hàng như: Tiết kiệm thời gian, chi phí; Thực giao dịch ngân hàng thời gian, địa điểm nào; Thực giao dịch với độ xác cao, nhanh chóng, thuận tiện;…Lợi ích đem lại cho ngân hàng như: Giảm chi phí kinh doanh; Tăng tốc độ giao dịch, suất làm việc; Quy trình tự động hóa, giảm lượng nhân quầy giao dịch; Giúp ngân hàng mở rộng phạm vi nâng cao vị cạnh tranh;…Từ gián tiếp đem lại lợi ích cho kinh tế như: Giảm lượng tiền mặt lưu thông; Tạo liên thông đơn vị tài chính; Giúp quan Nhà nước có số xác xác định nguồn thuế thu nhập;… Mặc dù đạt số kết định, song, phát triển ngân hàng số Việt Nam cịn số trở ngại như: Thói quen sử dụng dịch vụ ngân hàng thông qua kênh truyền thống phận khách hàng cao đặc biệt khách hàng lớn tuổi; Hành lang pháp lý chưa đầy đủ; Hạ tầng công nghệ thông tin hạ tầng an tồn, an ninh thơng tin cịn hạn chế; Nguồn chi phí đầu tư đổi cơng nghệ chuyển đổi số tốn kém;… 2.2 Tại ngân hàng số đích ngắm công giả mạo? (Đào Huyền Trang) Đầu tiên, phải kể đến hình thức kinh doanh đặc thù ngân hàng – kinh doanh tiền tệ Do vậy, ngân hàng mục tiêu hấp dẫn tổ chức hacker từ trước đến Bên cạnh đó, kết hợp hạ tầng công nghệ thông tin, an ninh thông tin hạn chế nhận thức, hiểu biết người sử dụng ngân hàng số thấp, khả xử lý tình cơng nghệ cịn chưa cao nhẹ tin khiến cho ngân hàng số trở thành không gian mà tội phạm mạng ngắm tới Nếu trước đây, ngân hàng truyền thống việc cướp nhà băng đối tượng khó khăn, khả đối tượng bị quan chức bắt sau phạm tội tuyệt đối áp dụng việc chuyển đối số, đối tượng chiếm đoạt cách dễ dàng quan chức gặp nhiều cản trở, khó khăn truy tìm đối tượng 2.3 Cách thức công giả mạo lĩnh vực ngân hàng số Việt Nam (Đào Huyền Trang) a Tấn công qua tin nhắn, email Bước 1: Thu thập thông tin Đối tượng thu thập thông tin cá nhân người bị hại Những thơng tin bị lộ lọt bất cẩn nạn nhân, thông tin bị giao bán,… Bước 2: Nạn nhân cung cấp thông tin Các đối tượng gửi tin nhắn tới số điện thoại/ email nạn nhân với nội dung mang tính khẩn cấp như: tài khoản họ đăng nhập thiết bị lạ, tài khoản bị khóa, cảnh báo lừa đảo…Hoặc nội dung khác như: nhận trúng thưởng, quà tặng,…và gửi đường link đính kèm theo nội dung có u cầu nạn nhân click vào đường link để xác nhận VD:… Với nhẹ tin, nạn nhân nhanh chóng ấn vào đường link mà đối tượng gửi Đường link dẫn nạn nhân đến trang đăng nhập, yêu cầu nạn nhân nhập username, password Tinh vi hơn, username đối tượng nhập sẵn để tăng độ tin cậy, đề phịng trường hợp nạn nhân cố tình nhập sai, đối tượng lập trình để nạn nhân nhập lần đầu bị báo nhập sai mật (dù nạn nhân nhập xác mật khơng nghi ngờ nhiều họ nghĩ họ nhập sai, quan trọng nhập password không cho nạn nhân xem trước mật khẩu) dễ lấy tin tưởng từ nạn nhân Khi nạn nhân đăng nhập thành công, chuyển hướng nạn nhân tới website khác hệ thống báo vui lòng đợi giây lát Bước 3: Lấy mã OTP hồn tất hành vi lừa đảo Sau có password nạn nhân, đối tượng đăng nhập vào tài khoản ngân hàng nạn nhân để thực hành vi lừa đảo Tuy nhiên, ngân hàng yêu cầu nhập mã OTP để xác nhận giao dịch Khi đó, điện thoại nạn nhân báo mã OTP lúc website mà nạn nhân thực yêu cầu cung cấp mã OTP, nạn nhân không cảnh giác cung cấp mã OTP đối tượng hoàn tất hành vi lừa đảo Tuy nhiên, hoạt động lấy mã OTP phải diễn nhanh chóng khéo léo đa phần mã OTP mà ngân hàng cung cấp thường có hiệu lực vòng 30s b Giả mạo Website Bước 1: Tạo trang web giả mạo Các đối tượng tạo trang web giống trang web thống ngân hàng Theo đó, trang web giả mạo giống trang web thống tới 99% cụ thể thiết kế giao diện bao gồm logo, màu sắc, đăng tải nội dung, sản phẩm dịch vụ…y hệt trang web thức ngân hàng Và trang web yêu cầu người dùng đăng nhập Bước 2: Thực hành vi lừa đảo Các trang web giả mạo tối tượng tạo chủ yếu để gián tiếp phục vụ hành vi lừa đảo đánh cắp lấy thông tin, liệu người dùng kết hợp gửi đường dẫn trang web giả mạo với hình thức giả mạo qua tin nhắn, mail, điện thoại c Tấn công giả mạo qua gọi Bước 1: Thu thập thông tin Đối tượng thu thập thông tin cá nhân người bị hại Những thông tin bị lộ lọt bất cẩn nạn nhân, thông tin bị giao bán… Bước 2: Thực hành vi lừa đảo Các đối tượng dựa vào nguồn liệu thông tin thu thập được, đặc biệt thông tin cá nhân, số điện thoại, tài khoản ngân hàng Tiến hành thực gọi cho nạn nhân để thực hành vi lừa đảo Nội dung gọi, đối tượng thường đóng giả nhân viên ngân hàng để thông báo tới nạn nhân vấn đề nghiêm trọng, khẩn cấp, trúng thưởng, tri ân Để tăng độ tin cậy, đối tượng đọc tài khoản nạn nhân yêu cầu họ đọc tiếp số cịn lại Sau đó, yêu cầu nạn nhân đọc password giây lát có mã OTP gửi điện thoại họ Các đối tượng tiếp tục thực hành vi lừa đảo tương tự qua hình thức tin nhắn email Ngồi hình thức trên, đối tượng khéo léo thực kết hợp hình thức với Như thơng qua gọi, đối tượng gửi thông tin tới tin nhắn điện thoại mail nạn nhân để yêu cầu họ đăng nhập vào hệ thống giả mạo CHƯƠNG THỰC TRẠNG TẤN CÔNG GIẢ MẠO TRONG LĨNH VỰC NGÂN HÀNG SỐ TẠI VIỆT NAM Thực trạng công giả mạo lĩnh vực ngân hàng số Việt Nam (Phạm Thị Hồng Thu) Lĩnh vực ngân hàng môi trường hấp dẫn tin tặc bị công thường xuyên so với lĩnh vực khác Trong khoảng hai năm trở lại đây, biễn biến đại dịch COVID-19, khiến nhu cầu giao dịch, tốn mơi trường internet tăng mạnh Chính thế, mà điều vơ tình góp phần tạo mơi trường lý tưởng cho tin tặc hồnh hành, nên mức độ cơng mạng có chiều hướng gia tăng; đặc biệt công giả mạo xu hướng công mạng phổ biến năm 2021 thời gian tới hình thức cơng tiếp tục mối nguy hại lớn cho ngân hàng Theo thống kê, tính từ đầu năm 2021 đến hết tháng 2/2022, quan chức ghi nhận, cảnh báo hướng dẫn xử lý 12.300 công mạng gây cố vào hệ thống thông tin Việt Nam, có 2.358 cơng giả mạo (chiếm 19,17%) Trong dịp Tết nguyên đán 2022, hệ thống cảnh báo, giám sát an tồn khơng gian mạng ghi nhận 240 cố công mạng, số công giả mạo chiếm gần 74% với gần 180 Trong lĩnh vực ngân hàng số Việt Nam, khơng có báo cáo hay số liệu thống kê cụ thể công bố cơng giả mạo năm, nhìn chung có tương đối nhiều thời gian gần đây, nhiều ngân hàng liên tục đưa cảnh báo với khách hàng Cục Cạnh tranh Bảo vệ người tiêu dùng ghi nhận gia tăng phản ánh người tiêu dùng việc bị lừa đảo thực số giao dịch ngân hàng Cụ thể sau: Trong thời gian gần đây, nhiều thuê bao di động nhận tin nhắn mạo danh ngân hàng Vietcombank, TPBank, Sacombank, ACB, Theo thông tin Cục An tồn thơng tin (Bộ Thơng tin truyền thơng) chia sẻ, đối tượng công sử dụng thiết bị phát sóng giả mạo để thực gửi tin nhắn rác trực tiếp vào điện thoại mà không thông qua mạng viễn thơng di động Ví dụ, ngày 18/09/2021, Công an thành phố Hà Nội tiếp nhận tin trình báo người dân việc bị lừa đảo chiếm đoạt tài sản, ông nhận tin nhắn số điện thoại lạ với nội dung: “Tài khoản bạn bị ngừng dịch vụ vào ngày 18/09/2021 lúc 22:00 Vui lòng vào www:mxsccb.com để kiểm tra” Khi ông đăng nhập vào đường link tin nhắn điện thoại phát tài khoản bị 399 triệu đồng Lúc ông biết bị lừa đến quan cơng an trình báo Hay Vietcombank, ngày 28/7/2016, vụ việc nửa tỷ đồng qua tài khoản chị Hoàng Thị Na Hương gây sốt dư luận sau chị truy cập vào trang web giả mạo (http://creatingacreator.com/kob/1/index.htm) qua điện thoại cá nhân khiến mật bị đánh cắp Ngồi ra, cịn nhiều vụ việc thiệt hại nghiêm trọng người dùng cơng giả mạo hình thức gây Về hình thức cơng giả mạo qua website, Theo Cục trưởng Cục An tồn Thơng tin, Bộ TT&TT, năm 2021 vừa rồi, giới có 2.000.000 trang web lừa đảo, Việt Nam có tới 816 website lừa đảo giả mạo ngân hàng để thực hành vi công mạng nhằm lừa đảo chiếm đoạt thông tin, tài khoản tiền khách hàng Cụ thể: Theo trung tâm xử lý tin giả Việt Nam, Cục Phát thanh, Truyền hình Thông tin điện tử (Bộ TT&TT), ngày 20/05/2021 đưa cảnh báo website giả mạo trang tin Ngân hàng TMCP Xuất nhập Việt Nam (Eximbank) Website giả mạo sử dụng tên, hình ảnh Ngân hàng Eximbank với tên miền khác (eximbank.xyz) Ngồi ra, trang web giả mạo có thiết kế, logo, màu sắc, chí đăng tải nhiều nội dung thơng tin, dịch vụ ngân hàng Eximbank dễ gây nhầm lẫn cho người dùng truy cập (Hình ảnh website giả mạo website thức Eximbank) Tương tự, BIDV phải lên tiếng cảnh báo tình trạng mạng Internet xuất website giả mạo website BIDV địa giả mạo http://homebank247.com/Bidv/, nhằm lừa đảo khách hàng đăng nhập để đánh cắp thông tin 10 Ảnh hưởng công giả mạo lĩnh vực ngân hàng số Việt Nam (Phạm Thị Hồng Thu) Có thể nói, cơng giả mạo lĩnh vực ngân hàng số gây nhiều tổn thất, thiệt hại nặng nề cho ngân hàng khách hàng ngân hàng 2.1 Ảnh hưởng trực tiếp Ngân hàng Các ngân hàng gặp rủi ro danh tiếng, uy tín thương hiệu Các khách hàng phần lớn có khả sử dụng dịch vụ thương hiệu ngân hàng mà họ tin tưởng, niềm tin yếu tố vô quan trọng định người tiêu dùng Khả bảo vệ quyền lợi khách hàng ngân hàng trở nên quan trọng việc thiết lập trì lịng tin, vậy, mà khách hàng bị công giả mạo, quyền lợi họ bị ảnh hưởng, điều làm suy giảm niềm tin khách hàng thương hiệu ngân hàng Sau đó, khách hàng cân nhắc đến việc sử dụng dịch vụ tổ chức, ngân hàng khác mà họ cảm thấy tin tưởng 2.2 Ảnh hưởng trực tiếp khách hàng Mặc dù, ngân hàng đưa nhiều cảnh báo nguy lừa đảo cho khách hàng mình, song, nhiều khách hàng sử dụng dịch vụ ngân hàng hạn chế nhận thức kỹ số, kỹ an tồn thơng tin nên dễ dàng bị lừa gạt bới công giả mạo Thứ nhất, khách hàng bị đánh cắp thông tin cá nhân, thông tin tài khoản ngân hàng Do truy cập vào website giả mạo đưa tin nhắn lừa đảo, giống hệt với website thức ngân hàng mà nhiều khách hàng bất cẩn cung cấp thông tin cá nhân thân tài khoản ngân hàng để từ tin tặc lợi dụng thơng tin vào mục đích xấu gây tổn thất cho khách hàng Thứ hai, khách hàng bị thiệt hại tài Trong trường hợp bị cơng giả mạo vậy, ngân hàng chịu trách nhiệm, lỗi ngân hàng mà nhận thức khách hàng chưa đủ nên bị lừa Chính thế, trường hợp khơng tìm thủ phạm khách hàng phải chịu hồn tồn thiệt hại số tiền bị Thứ ba, làm cho tâm lý khách hàng bị hoang mang, lo lắng 11 Sau bị đánh cắp thông tin chiếm đoạt tài sản tin tặc khách hàng trở nên hoang mang khơng hiểu lý mà tài khoản lại bị trừ tiền, có nhiều khách hàng đã bị số tiền lớn Khi đó, họ lo lắng khơng biết làm cách để lấy lại số tiền mà quan chức khơng tìm thủ phạm làm ảnh hưởng đến tâm lý khách hàng Như vậy, công giả mạo để lại cho lĩnh vực ngân hàng hậu nghiêm trọng, gây tình trạng thất uy tín, thương hiệu, tài sản tổ chức ngân hàng khách hàng; an ninh, an tồn thơng tin từ trở thành phần lý gây cản trở cho phát triển lĩnh vực ngân hàng số Việt Nam Thách thức quản lý an ninh mạng ngân hàng (Phạm Thị Hồng Thu) Thứ nhất, Việt Nam nhiều ngân hàng chưa xây dựng quy trình quản trị rủi ro an ninh mạng mang tính đồng hiệu Ngân hàng thiếu kịch ứng phó, quy trình xử lý cố khách hàng ngân hàng gặp phải rủi ro bị cơng giả mạo Vì thế, mà nhiều nhân viên ngân hàng lúng túng việc xử lý cố cho khách hàng, từ làm giảm yêu thích niềm tin khách hàng dành cho ngân hàng Thứ hai, nhiều khách hàng ngân hàng chưa trọng vào vấn đề an tồn thơng tin mạng, họ chưa có đủ nhận thức lực vấn đề Do đó, mà khách hàng ngân hàng bị tin tặc công giả mạo hình thức khác Thứ ba, nhiều khách hàng chưa có ý thức bảo vệ thơng tin cá nhân số điện thoại, số thẻ CCCD, số tài khoản ngân hàng thơng tin khách hàng lưu lại trang thương mại điện tử, mạng xã hội dễ dàng bị tin tặc thu thập Đây lỗ hổng mà tin tặc lợi dụng để dễ dàng thực hành vi cơng giả mạo 12 CHƯƠNG 3: MỘT SỐ ĐỀ XUẤT, GIẢI PHÁP PHÒNG NGỪA TẤN CÔNG GIẢ MẠO TRONG LĨNH VỰC NGÂN HÀNG SỐ Giải pháp phịng chống cơng giả mạo ngân hàng số (Nguyễn Huyền Trang) Tấn công giả mạo qua tin nhắn, gọi - Cẩn trọng với gọi, tin nhắn từ người lạ Nếu số lạ gọi đến yêu cầu bạn cung cấp thông tin ngân hàng nên cẩn trọng Khơng nên tùy tiện chia sẻ thông tin cá nhân số cước công dân, số thẻ ngân hàng, địa nơi ở,… Khi lỡ cung cấp thông tin cá nhân vào đường dẫn lạ: Liên hệ đến hotline tổ chức ngân hàng Sau yêu cầu nhân viên khóa tài khoản thay đổi mật nhằm tránh mác tài sản Báo cáo với quan chức để điều tra truy vết: Hãy liên hệ báo cáo với Hotline chăm sóc khách hàng ngân hàng, tổ chức dịch vụ bị giả danh tin nhắn để báo cáo phịng ngừa Tấn cơng giả mạo qua website - Kiểm tra web trước truy cập Cảnh báo lừa đảo, mạo danh tin nhắn ngân hàng Hiện nay, số ngân hàng Việt Nam ghi nhận trường hợp giả mạo tin nhắn mang thương hiệu ngân hàng, gửi kèm link giả để lừa khách hàng nhập thông tin tài khoản ngân hàng điện tử mã OTP nhằm chiếm đoạt tiền tài khoản Cách tốt bạn kiểm tra đường link xem có thuộc quyền sở hữu Ngân hàng hay không? Hãy làm theo bước đơn giản để kiểm tra thơng tin tên miền (domain đó) Bước https://khonggianmang.vn/checkphishing?fbclid=IwAR1ogchM1b31ndiKmxDQG6Glo1PU33mQi4muzEUAiXP8SEI i3P_bW7uCU70 1: Bạn truy cập vào trang Bước 2: Gõ tên miền bạn muốn kiểu tra vào tìm kiếm Bước 3: Kiểm tra thơng tin tên miền Tấn cơng giả mạo qua mail - Thay đổi mật mail thường xuyên 13 Để nhận biết giả mạo online cách đề phòng, nên thay đổi mật tài khoản thường xuyên, tránh dùng mật dễ đốn Đặc biệt khơng nên sử dụng mật chung cho tài khoản ngân hàng trang web khác - Sử dụng công cụ phịng chống thư rác, thư giả mạo: Các cơng cụ phòng chống thư rác, thư giả mạo thiết bị phần mềm có chức phát hiện, lọc ngăn chặn thư giả mạo gửi đến gửi từ máy chủ thư điện tử Đây công cụ thiếu hệ thống thư điện tử cơng tác phịng chống thư rác thư giả mạo Kiến nghị (Nguyễn Huyền Trang) 2.1 Đối với quan quản lý - Đẩy mạnh ứng dụng công nghệ đại vào hoạt động điều hành quản lý, thúc đẩy hoạt động nghiên cứu khoa học công nghệ, nghiên cứu ứng dụng lĩnh vực số hóa nhằm hỗ trợ q trình xây dựng sách hành lang pháp lý - Tuân thủ quy định, hướng dẫn NHNN đảm bảo an toàn bảo mật giao dịch ngân hàng trực tuyến; xây dựng kịch bản, quy trình, hướng dẫn ứng phó chi tiết với cố gian lận trực tuyến Mới đây, NHNN ban hành Thơng tư số 09/2020/TT-NHNN quy định an tồn hệ thống thông tin hoạt động ngân hàng nhằm cập nhật quy định Luật An tồn thơng tin mạng văn hướng dẫn; đồng thời, điều chỉnh yêu cầu an ninh bảo mật phù hợp với thực tế phát triển nhanh chóng, đa dạng cơng nghệ thơng tin tình hình an tồn thơng tin mạng ngành Ngân hàng - Ngân hàng Nhà nước cần xây dựng, ban hành văn quy định bắt buộc kết nối tốn để ngân hàng phải hồn tất hệ thống kết nối toán; xây dựng mâu thuẫn hệ thống sở liệu, quy định tiêu chuẩn an ninh, bảo mật, quy trình bảo trì, nâng cao chất lượng dịch vụ; xây dựng khung pháp lý giải tranh chấp, khiếu nại giao dịch điện tử để ngân hàng tuân thủ thực 2.2 Đối với Ngân hàng thương mại Nhằm nâng cao hiệu cơng tác phịng, chống tội phạm sử dụng cơng nghệ cao nói chung loại tội phạm truyền thống cấu kết với tội phạm sử dung công nghệ cao nhằm chiếm đoạt tài sản nói riêng, thời gian tới, cần tập trung vào số giải pháp bản, trọng tâm sau đây: Một là, bộ, ban, ngành địa phương cần tăng cường công tác tuyên truyền, giáo dục, phổ biến hệ thống pháp luật phương thức thủ đoạn tội phạm sử dụng công nghệ cao nhằm nhằm nâng cao ý thức, trách nhiệm toàn thể người 14 dân loại tội phạm Tuyên truyền, hướng dẫn tổ chức, cá nhân sử dụng giải pháp kỹ thuật công nghệ để tự bảo vệ trước công tội phạm sử dụng công nghệ cao Đặc biệt, cần khuyến cáo người dân nên sử dụng phần mềm có quyền; sử dụng mật có tính bảo mật cao thường xun thay đổi mật khẩu; cài đặt sử dụng phần mềm bảo vệ (diệt vi rút) thiết lập tường lửa (firewall) Hai là, cần rà soát, nghiên cứu đề xuất hoàn thiện văn quy phạm pháp luật làm sở vững cho công tác đấu tranh phịng, chống tội phạm sử dụng cơng nghệ cao như: Bộ luật Hình sự, Bộ luật Tố tụng hình sự, pháp luật xử lý vi phạm hành chính…Trong tập trung trọng vào việc đề xuất bổ sung vào Bộ luật TTHS quy định liên quan đến chứng điện tử; thủ tục tố tụng hình việc thu thập, bảo quản, phục hồi giám định chứng điện tử phù hợp với đặc điểm, tính chất tội phạm sử dụng công nghệ cao; kiến nghị tăng nặng chế tài xử phạt nhằm răn đe, ngăn chặn hành vi phạm tội Ngồi cần phải xây dựng Thơng tư liên ngành Bộ Công an với Bộ, ngành hữu quan (Ngân hàng Nhà nước; Bộ Thông tin truyền thơng) quy chế phối hợp phịng ngừa, đấu tranh với loại tội phạm Ba là, ngân hàng cần phải tiến hành đại hóa hệ thống thơng tin, cơng nghệ hồn hệ thống, thực quản lý đồng Nâng cấp đường truyền tốc độ cao, tránh tình trạng treo máy thực nghiệp vụ kinh doanh Mọi giao dịch, phát sinh phải cập nhập đăng tải hệ thống Bốn là, tăng cường công tác hợp tác quốc tế phịng, chống tội phạm sử dụng cơng nghệ cao, đặc biệt việc trao đổi thông tin tội phạm kinh nghiệm tổ chức phòng, chống loại tội phạm này, bên cạnh cần tranh thủ nguồn hỗ trợ tài chính, phương tiện, thiết bị, cơng cụ phục vụ phịng, chống tội phạm Phối hợp với ngành chức hoạt động triển khai ứng dụng công nghệ, thiết lập hệ thống phòng vệ để chủ động nâng cao hiệu phòng ngừa tội phạm 15 KẾT LUẬN Ngày nay, giới bước vào kỷ nguyên 4.0, ngân hàng số trở thành xu tất yếu hỗ trợ phát triển kinh tế thương mại toàn cầu Ngân hàng số ko lựa chọn dành cho ngân hàng mà trở thành yếu tố “sống còn” buộc ngân hàng phải thay đổi không muốn bị bỏ lại phía sau Tuy nhiên, điều thời cho tội phạm mạng thực hành vi lừa đảo Tấn cơng giả mạo đem lại nhiều hệ lụy cho ngân hàng, khách hàng với kinh tế Các hình thức công giả mạo ngày biến tấu, tinh vi Do vậy, chúng em đề xuất xây dựng số giải pháp kiến nghị để góp phần đẩy lùi công giả mạo lĩnh vực ngân hàng số Việt Nam 16 TÀI LIỆU THAM KHẢO “Các hình thức cơng mạng phổ biến cách phòng tránh” https://bitly.com.vn/o2jeyb “ Top hình thức cơng mạng phổ biến nay”https://bitly.com.vn/a1dedq ”Tấn cơng mạng - hình thức phương pháp phịng tránh” https://bitly.com.vn/kx3rqr “8 kiểu cơng giả mạo (phishing attack) bạn nên biết”https://bitly.com.vn/yg0dom “Ngân hàng số gì? Tại ngân hàng số xu hướng nay” https://bitly.com.vn/gchqvi “6 chiêu lừa hack tài khoản phổ biến giao dịch ngân hàng” https://bitly.com.vn/f2wdho “Cảnh giác thủ đoạn giả mạo ngân hàng để lừa đảo”https://bitly.com.vn/dhwmuf “Cảnh báo gia tăng công mạng vào ngành tài chính, ngân hàng: Ví điện tử, tiền ảo NFT đích ngắm” https://bitly.com.vn/hml48v “Hơn triệu người dùng Internet Việt Nam truy nhập tới trang web lừa đảo”https://bitly.com.vn/4e4fhf 10 Cổng thông tin điện tử tỉnh Phú Thọ, “Website giả mạo gia tăng: giải hiệu cần chủ động phối hợp bên” https://bitly.com.vn/f74ro3 11 “Bị lừa gần 400 triệu đồng nhận tin nhắn báo tài khoản ngân hàng bị khóa” https://bitly.com.vn/klpfrm 12 “Chủ thẻ bị 500 triệu sau đêm: Do truy cập vào trang web giả mạo”, https://bitly.com.vn/ermym3 13 “Các biện pháp kĩ thuật để hạn chế tình trạng thư giả mạo” https://bitly.com.vn/av6oan 14 “CẢNH BÁO: Lừa đảo qua tin nhắn giả mạo & Biện pháp” https://bitly.com.vn/r3k7km 15 “Cảnh báo lừa đảo, mạo danh Ngân hàng” https://www.youtube.com/watch?v=lUR_HOMvtNk 16 CÔNG CỤ KIỂM TRA WEBSITE PHISHING https://khonggianmang.vn/checkphishing?fbclid=IwAR0kOVeVYbNwL89n7kG1fdrO8ydbpLHxMoCqky_oV27Y4qsd2EeWtm-YAs 17 ... TẤN CÔNG GIẢ MẠO TRONG LĨNH VỰC NGÂN HÀNG SỐ Tổng quan công giả mạo 2 Tấn công giả mạo lĩnh vực ngân số CHƯƠNG THỰC TRẠNG TẤN CÔNG GIẢ MẠO TRONG LĨNH VỰC NGÂN... hệ thống giả mạo CHƯƠNG THỰC TRẠNG TẤN CÔNG GIẢ MẠO TRONG LĨNH VỰC NGÂN HÀNG SỐ TẠI VIỆT NAM Thực trạng công giả mạo lĩnh vực ngân hàng số Việt Nam (Phạm Thị Hồng Thu) Lĩnh vực ngân hàng môi... NGÂN HÀNG SỐ TẠI VIỆT NAM Thực trạng công giả mạo lĩnh vực ngân hàng số Việt Nam Ảnh hưởng công giả mạo lĩnh vực ngân hàng số Việt Nam 11 Thách thức quản lý an ninh mạng ngân hàng