- Xây dựng Trung tâm chuyển mạch thẻ thống nhất (TTCMTTN): NHNN đã phối hợp các Bộ, ngành liên quan xây dựng Đề án xây dựng TTCMTTN, trình Thủ tướng Chính
3.3Rủi ro do gian lận
3. Các rủi ro trong thanh toán thẻ hiện nay: 1Xem xét rủi ro từ góc độ vĩ mô
3.3Rủi ro do gian lận
Gian lận có thể xem như là các hành vi lừa đảo nhằm thực hiện các giao dịch thanh toán thẻ bất hợp pháp gây tổn thất cho các chủ thể tham gia vào quá trình hoạt động kinh doanh thẻ. Gian lận phát sinh bất kỳ lúc nào không phân biệt thời gian, địa điểm, cả trong hoạt động phát hành lẫn thanh toán thẻ. Nguyên nhân gây nên rủi ro này là do nhiều nhân tố khác nhau như sự vô ý của chủ thẻ, sự đầu tư công nghệ chưa đáp ứng nhu cầu hiện đại hóa của các ngân hàng, lợi dụng các kẻ hở trong qui định qui trình, cũng có thể do ảnh hưởng của tình hình tội phạm thẻ trên thế giới,….Trong thời gian qua trên thế giới và tại Việt Nam đã xảy ra các hình thức gian lận như sau:
- Lấy cắp thẻ
Bước đầu tiên, bọn tội phạm lắp vào khe đọc thẻ của máy ATM một miếng nhựa có khả năng giữ thẻ và ngăn máy nhả thẻ ra. Khi chủ thẻ còn lúng túng chưa biết xử lý ra sao, kẻ gian đến gần, giả vờ là người tốt bụng sẵn sàng giúp đỡ và “tư vấn” chủ thẻ nên nhập lại số pin để lấy lại thẻ và theo dõi. Đây là cơ hội để kẻ gian biết được mật mã truy cập tài khoản thẻ của nạn nhân. Khi chủ thẻ thất vọng bỏ đi, kẻ gian ở lại lấy thẻ ra, sau đó dùng pin vừa nhìn trộm được để truy cập vào tài khoản và rút tiền.
- Trộm dữ liệu bằng camera
Tội phạm lắp đặt một thiết bị đọc thẻ vào máy ATM, nhưng chúng có thể lấy dữ liệu về tài khoản và số pin từ xa nhờ một chiếc camera cũng được lắp kín đáo tại máy ATM . Camera thường được đặt trong một khay để tờ rơi giả nằm cạnh bàn phím, một vị trí có thể ghi hình toàn bộ các thao tác của chủ thẻ cũng như lưu giữ số liệu. Với công nghệ không dây, toàn bộ dữ liệu được truyền đến cho kẻ tội phạm đang đứng gần đó. Dữ liệu lấy được sẽ làm nên các thẻ giả, và sử dụng số pin thu được từ camera để rút tiền của nạn nhân.
- Nhìn trộm qua vai
Kẻ gian có thể đứng gần máy ATM , máy cà thẻ, hay tại các quầy thanh toán của ngân hàng và theo dõi quá trình chủ thẻ thao tác, đặc biệt là chú ý khi chủ thẻ nhập số pin. Sau đó, chúng tìm cách làm chủ thẻ mất tập trung, chẳng hạn hét lên, đánh đổ nước uống hoặc nước sốt vào chủ thẻ hoặc đánh rơi tiền và hỏi đó là tiền của ai. Trong lúc chủ thẻ sao nhãng, kẻ gian liền lấy trộm toàn bộ thẻ, tiền của chủ thẻ. Khi lấy được thẻ, kẻ gian thực hiện rút tiền trong thẻ với số pin đã
30
nhìn trộm được.
- Tội phạm tại các quầy thanh toán
Có thể ngay tại quầy thanh toán của các ĐVCNT hay tại các ngân hàng cũng lắp đặt thiết bị ăn cắp dữ liệu. Thủ đoạn này thường do chính những nhân viên thiếu trung thực lắp đặt chiếc máy đó và họ sẽ lấy chiếc thẻ cà vào máy để lấy cắp thông tin khi chủ thẻ thực hiện thanh toán. Sau khi lấy được dữ liệu, những nhân viên này thực hiện các giao dịch bất hợp pháp để rút tiền hoặc bán dữ liệu vừa trộm được cho bọn tội phạm thẻ chuyên nghiệp. Thậm chí, có những trường hợp chính các nhân viên đó là người của nhóm tội phạm cài cắm vào.
- Trộm dữ liệu khi thanh toán qua mạng Internet
Bên cạnh các thủ đoạn lừa đảo ngày càng nhiều và tinh vi, hiện tượng thông tin thẻ tín dụng thanh toán qua mạng Internet bị hacker đánh cắp dữ liệu cũng đang có xu hướng gia tăng. Các hiện tượng đánh cắp cũng khá đa dạng mà chủ thẻ cần đề phòng như thủ đoạn lừa đảo trực tuyến (Phishing), với việc tạo website giả để lấy thông tin, tấn công đánh cắp dữ liệu, chặn luồng giao dịch của thẻ từ để lấy cắp mật khẩu,…. Nghiêm trọng hơn, các đối tượng hacker còn tung các thông tin thẻ lên các diễn đàn trực tuyến để chia sẻ cho những kẻ xấu khác có thể lợi dụng.
- Tấn công cơ học
M ục đích của những cuộc tấn công này là mở két sắt của máy ATM bằng phương tiện máy móc để lấy cắp tiền. Hình thức tội phạm này thường mang tính chất manh động và liều lĩnh. Ở Mỹ vẫn thường xảy ra tình trạng bọn tội phạm dùng xe kéo đổ máy ATM , sau đó mang tới một địa điểm an toàn rồi cậy phá. Đặc biệt ở Châu Phi, bọn tội phạm còn sử dụng chất nổ để lật tung máy ATM rồi lấy két sắt mang đi.
- Bẫy thẻ
Bẫy thẻ được thực hiện bằng cách gắn một miếng nhựa nhỏ vào bên trong khe đọc thẻ. M iếng nhựa này sẽ giữ lại thẻ ATM sau khi nạn nhân vừa đưa thẻ vào. Tiếp theo là kẻ gian tiến lại gần và gợi ý nạn nhân nhập lại mã pin để lấy thẻ ra, nhưng dĩ nhiên là không tài nào rút ra được. Khi nạn nhân chán nản bỏ đi, tên trộm kéo bẫy ra và lấy thẻ, tiếp đó là đưa thẻ vào máy, nhập mã pin để rút tiền. M ột cách khác, bên cạnh việc bẫy thẻ trong khe đọc, bọn tội phạm sẽ quệt một
31
chút dầu lên bàn phím nhập pin để “bắt chết” phím số mà nạn nhân đã bấm. Từ đây kẻ gian có thể lấy cắp được mã pin mà không cần tiếp cận nạn nhân.
- Đầu đọc thẻ giả (skimmer)
Đầu đọc thẻ giả là thiết bị ăn cắp dữ liệu trên dãy từ, có hình dạng giống như những chiếc đầu đọc thẻ ATM thông thường. Chúng thường được gắn sát hoặc ở phía trên đầu đọc thẻ thật. Một đầu đọc thẻ giả có thể đánh cắp và lưu thông tin về số tài khoản, số dư tài khoản, và mã xác nhận liên quan đến mỗi chủ thẻ của hơn 200 thẻ ATM . Thông thường, khách hàng sẽ lầm tưởng skimmer là một bộ phận của máy rút tiền. Kẻ gian sẽ hướng dẫn nạn nhân quẹt thẻ vào skimmer trước, sau đó mới tiếp tục các giao dịch khác, hoặc chúng sẽ nói rằng skimmer là dụng cụ làm sạch thẻ giúp tăng khả năng hoạt động cho những chiếc thẻ từ. Khi nạn nhân quẹt thẻ vào skimmer là lúc dữ liệu thẻ bị lấy cắp. Sau đó kẻ gian lợi dụng thông tin để thực hiện các giao dịch thanh toán không cần xuất trình thẻ. - Bàn phím nhập pin giả hoặc thiết bị giả khác
Đây là hình thức dán bàn phím nhập pin giả (pin pad) lên trên bàn phím nhập pin thật. Pin pad giả thường có kích thước và hình dạng bên ngoài giống như thật, cực mỏng, trong suốt và thật đến mức gần như những người sử dụng máy ATM không thể nhận ra được nên vẫn tiến hành giao dịch một cách bình thường. Thiết bị này sẽ lấy cắp và lưu trữ dữ liệu pin của mỗi giao dịch. Pin pad giả sẽ bị hủy ngay sau đó. Số pin bị ghi lại sẽ được tải xuống, kết hợp với những chiếc thẻ ATM giả tạo ra từ việc lấy trộm thông tin, kẻ gian sẽ rút tiền của chủ thẻ.
- Bẫy tiền
Cách đơn giản nhất là dán một miếng băng dính thật chắc vào mặt sau cửa thoát tiền để chặn những tờ tiền máy thu lại do chủ thẻ chưa nhận. M ột cách tinh vi hơn nữa là gắn một thiết bị cơ học có thể chuyển số tiền máy đưa ra vào một chiếc hộp được ngụy trang rất khéo léo. Mặc dù bị mất tiền nhưng chủ thẻ nghĩ rằng máy ATM có thể đang trục trặc và chán nản bỏ đi. Sau khi chủ thẻ đi, kẻ gian đến tháo bỏ bẫy hoặc cửa nhả tiền giả rồi ung dung nhận tiền. M ột cách thức khác là tên tội phạm sử dụng một chiếc thẻ thật để rút tiền hợp pháp. Khi máy đưa tiền ra, tên tội phạm sẽ không rút cả xấp tiền, thay vào đó chúng chừa một khoảng thời gian nhất định để máy ATM thu lại số tiền bị “bỏ quên” và ghi vào hệ thống là chủ thẻ không nhận tiền. N gay lập tức chúng lật cửa nhả tiền ra và
32
giật nhanh số tiền đang bị máy thu lại vào đúng thời điểm. Tên tội phạm không bị trừ tiền trên tài khoản nhưng vẫn lấy được tiền bởi giao dịch đã bị đảo ngược.
- Đảo ngược giao dịch
Hình thức này sử dụng một loạt biến thể để tạo ra một tình huống gây lỗi trên máy ATM làm cho máy vận hành chủ đảo chiều giao dịch bởi tiền đã bị máy ATM thu trở lại, có nhiều hình thức tương tự hình thức bẫy tiền vừa kể trên. Tuy nhiên trên thực tế, một phần số tiền rút đã bị kẻ gian lấy. Ví dụ : “Kẻ gian nhập lệnh rút 100$, tuy nhiên ngay khi xấp tiền vừa được đưa ra, hắn cẩn thận lấy ra chỉ 60$. Vài giây sau, giao dịch kết thúc và 40$ còn lại được máy ATM thu vào. Vì máy ATM không thể đếm được có bao nhiêu tiền thu lại nên trong két tiền bị thiếu 60$ do giao dịch bị đảo ngược toàn bộ”.
- Đặt máy ATM giả
Với ngân hàng, việc lắp thêm máy rút tiền tự động để phục vụ khách hàng rất phức tạp, song với tên trộm lại đơn giản, chỉ cần đặt một máy ATM có vẻ bề ngoài giống hệt máy của ngân hàng, bên trong không có khoang đựng tiền mà chỉ có thiết bị đọc dữ liệu trên băng từ của thẻ. Chiếc máy ATM này không nhằm mục đích lấy cắp tiền ngay mà làm chủ thẻ lầm tưởng rằng máy đang gặp sự cố nên gắng sức thực hiện lại các thao tác để chiếc máy hoạt động bình thường trở lại. Đó cũng là lúc tất cả dữ liệu trong thẻ bị đánh cắp. Cùng với thiết bị đọc này, một chiếc camera bé xíu cũng được lắp đặt ở một vị trí kín đáo nhằm quay cận cảnh bàn phím khi khách hàng bấm mã số bí mật truy cập tài khoản. Thông tin từ đầu đọc giúp bọn tội phạm làm thẻ giả, còn mã số bí mật giúp chúng truy cập vào tài khoản của chủ thẻ để lấy cắp tiền.
- Ăn cắp thông tin thẻ bằng cách “Gửi dữ liệu bằng S MS ” (adsbygoogle = window.adsbygoogle || []).push({});
Kẻ gian sẽ gắn đầu đọc thẻ thu dữ liệu, bàn phím giả ghi lại thao tác nhập pin tại máy ATM . Điện thoại di động được kết nối với máy tính chạy ứng dụng điều khiển hoạt động của thiết bị ăn cắp, những thông tin thu được sẽ gửi về qua đường SM S. Nếu cần thiết, kẻ gian có thể thiết lập một cuộc gọi tới thiết bị giả và tải thông tin về, tuy nhiên, nhận tin SM S vẫn là cách tiện lợi hơn. Nói một cách khác, kẻ gian chỉ cần ung dung ngồi ở nhà và điều khiển thiết bị để lấy cắp thông tin thẻ. Tiếp theo là khâu giải mã thông tin tải về rồi ngay lập tức trải qua một quá trình mã hóa khác để ngăn chặn sự kiểm tra của các cơ quan có thẩm quyền. Sau khi mã hóa, những thông tin lấy cắp được sẽ được ghi vào thẻ trắng và sử dụng số pin có được để rút tiền.
33
- Dùng máy MP3
Vào đầu năm 2009, các phương tiện thông tin có đưa tin, M axwell Parsons, tuổi, đã dùng thiết bị MP3 để ghi lại dữ liệu được truyền từ các máy rút tiền đặt ở những điểm không được bảo vệ nghiêm ngặt như quán bar, phòng chơi bowling,… M áy nghe nhạc này thu “giai điệu” bấm phím giống như âm thanh phát ra từ máy fax. Dữ liệu sau đó được chuyển thành những con số có thể đọc được thông qua chương trình máy tính độc lập hoặc một thiết bị nối rẽ . Sau đó thẻ giả được sản xuất và rút tiền của nạn nhân.