Chương 1 : TỔNG QUAN VỀ CÔNG NGHỆ THẺ TỪ
1.2 CÁC LOẠI RỦI RO TRONG SỬ DỤNG THẺ THANH TOÁN
Rủi ro trong hoạt động thẻ là các tổn thất về vật chất hoặc phi vật chất có liên quan tới hoạt động kinh doanh thẻ, bao gồm hoạt động phát hành, hoạt động thanh toán thẻ. Đối tượng chịu rủi ro là ngân hàng hoặc/và chủ thẻ, đơn vị chấp nhận thẻ.
1.2.1 Rủi ro trong phát hành
1.2.1.1 Giả mạo thông tin phát hành thẻ (Fraudulent Applications)
Khách hàng có thể cung cấp thông tin giả mạo về bản thân, khả năng tài chính, mức thu nhập… cho NHPH khi yêu cầu phát hành thẻ. Nếu NHPH không thẩm định thông tin khách hàng, có thể dẫn đến những tổn thất tín dụng cho ngân hàng khi chủ thẻ không có đủ khả năng thanh toán các khoản tín dụng thẻ hoặc chủ thẻ cố tình lừa đảo để chiếm dụng tiền của ngân hàng.
1.2.1.2 Các loại thẻ giả
1) Thẻ bị thay đổi thông tin trên thẻ:
Tội phạm dùng thẻ thật không còn giá trị lưu hành để thay đổi các thông tin trên thẻ. Thường sử dụng các công nghệ đơn giản, có thể dễ dàng kiểm tra bằng mắt thường. Phát hiện giả mạo bằng cách kiểm tra so sánh thông tin in nổi trên thẻ với các thông tin được in trên băng chữ ký mặt sau của thẻ hoặc với dữ liệu trên băng từ khi đọc thẻ qua máy thanh toán thẻ tự động.
2) Thẻ giả mạo:
Tội phạm làm thẻ giả dựa trên các thông tin lấy được từ việc đánh cắp các dữ liệu của thẻ thật bằng các thủ đoạn khác nhau. Loại giả mạo này thường liên quan đến tội phạm có tổ chức (yêu cầu công nghệ cao hơn). Các giao dịch giả mạo được thực hiện từ thẻ giả khó phát hiện và có thể được NHPH hoặc Tổ chức thẻ quốc tế cấp phép chuẩn chi giao dịch. NHPH chỉ phát hiện ra khi khách hàng thật đến khiếu nại về những giao dịch không được thực hiện.
3) Thẻ chỉ giả mạo băng từ:
Là loại thẻ giả chỉ có băng từ được mã hoá dựa trên dữ liệu của thẻ thật nhưng không có các thông tin dập nổi và những đặc điểm bảo mật trên thẻ. Tội phạm sử dụng thẻ tại các đơn vị chấp nhận thẻ thông đồng có máy thanh toán tự động, hoặc tại các điểm bán hàng tự động không được kiểm soát chặt chẽ.
4) Thẻ bị làm giả hoàn toàn:
Là loại thẻ giả hoàn chỉnh với băng từ được mã hoá và trên phôi thẻ có đầy đủ những yếu tố như thẻ thật. Phát hiện giả mạo bằng cách kiểm tra theo đúng quy trình chấp nhận thẻ.
Theo quy định của Tổ chức thẻ quốc tế, NHPH chịu hoàn toàn trách nhiệm với mọi giao dịch mang mã số (BIN) của NHPH.
1.2.1.2 Thẻ thất lạc, mất cắp (Lost - Stolen card)
Thẻ bị mất cắp hoặc thất lạc và bị sử dụng trước khi chủ thẻ kịp thông báo cho NHPH để có các biện pháp chấm dứt sử dụng hoặc thu hồi thẻ. Thẻ bị mất cắp, thất lạc cũng có thể được các tội phạm để sử dụng làm thẻ giả (dập nổi, mã hóa lại băng từ bằng các thông tin giả mạo) như trường hợp thẻ giả. Cần cảnh giác với những trường hợp chủ thẻ cố tình gian lận, báo mất thẻ và sau đó sử dụng thẻ.
1.2.1.3 Chủ thẻ không nhận được thẻ do NHPH gửi
Thẻ bị đánh cắp hoặc bị lợi dụng thực hiện giao dịch trong quá trình chuyển từ NHPH đến chủ thẻ. Cần cảnh giác với những nguyên nhân: nội bộ (cán bộ giao thẻ), vận chuyển.
1.2.1.4 Tài khoản của chủ thẻ bị lợi dụng (Account Takeover)
Rủi ro này phát sinh khi NHPH nhận được những thay đổi thông tin của chủ thẻ đặc biệt là thay đổi địa chỉ của chủ thẻ. Do không xác minh kỹ, nên ngân hàng đã gửi thẻ về địa chỉ theo như yêu cầu, mà không đến tay chủ thẻ thực. Tài khoản của chủ thẻ thực đã bị người khác lợi dụng sử dụng.
1.2.1.6 Rủi ro tín dụng
Chủ thẻ sử dụng thẻ nhưng không thực hiện thanh toán hoặc không đủ khả năng thanh toán. Cần lưu ý trong khâu thẩm định thông tin và khả năng thanh toán của khách hàng.
1.2.2 Rủi ro trong hoạt động thanh toán
1.2.2.1 Đơn vị chấp nhận thẻ giả mạo
Đơn vị chấp nhận thẻ cố tình đăng ký các thông tin không chính xác với NHTT. Ngân hàng sẽ chịu tổn thất khi không thu được những khoản đã tạm ứng cho những ĐVCNT thẻ này trong trường hợp những đơn vị chấp nhận thẻ thông đồng với chủ thẻ hoặc cố tình tạo ra các hoá đơn hoặc giao dịch giả mạo.
1.2.2.2 Đơn vị chấp nhận thẻ thông đồng với chủ thẻ
- CPP – Common Purchase Point: Là hiện tượng một đơn vị chấp nhận thẻ được xác định là địa điểm xảy ra việc đánh cắp dữ liệu thẻ để sử dụng vào mục đích tạo các thẻ giả hoặc giao dịch giả mạo.
- POC – Point of Compromise: đơn vị chấp nhận thẻ thông đồng với chủ thẻ chấp nhận thanh toán thẻ giả.
1.2.2.3 Thanh toán hàng hoá dịch vụ qua các phương tiện viễn thông
Đơn vị chấp nhận thẻ cung cấp hàng hóa dịch vụ theo yêu cầu của chủ thẻ qua thư, điện thoại, fax hoặc internet và thanh toán trên cơ sở các thông tin như: Loại thẻ, số thẻ, ngày hiệu lực, tên chủ thẻ. Đơn vị chấp nhận thẻ cũng như NHTT có thể chịu tổn thất trong trường hợp chủ thẻ thực không phải là khách đặt mua hàng của đơn vị chấp nhận thẻ và giao dịch đó bị từ chối thanh toán.
1.2.2.4 Nhân viên của đơn vị chấp nhận thẻ in nhiều hoá đơn thanh toán của một thẻ (Multiple imprint) hoặc sửa đổi thông tin trên các hoá đơn thẻ
- Khi thực hiện giao dịch, nhân viên của đơn vị chấp nhận thẻ đã cố tình in ra nhiều bộ hoá đơn thanh toán thẻ, nhưng chỉ giao một bộ hoá đơn cho chủ thẻ ký để hoàn thành giao dịch. Sau đó, nhân viên của đơn vị chấp nhận thẻ mạo chữ ký của chủ thẻ để nộp các hoá đơn thanh toán còn lại cho NHTT để lấy tiền tạm ứng của ngân hàng.
- Nhân viên tại đơn vị chấp nhận thẻ cũng có thể sửa đổi các hóa đơn giao dịch, ghi tăng giá trị không được chủ thẻ chấp thuận.
1.2.2.5 Đánh cắp dữ liệu băng từ (Skimming, Line Tapping)
- Các thiết bị đọc thẻ tại đơn vị chấp nhận thẻ có thể bị cài thêm thiết bị để thu thập các thông tin trên băng từ của thẻ thanh toán tại các đơn vị chấp nhận thẻ; hoặc nhân viên tại đơn vị chấp nhận thẻ có thể câu kết với các tổ chức tội phạm đọc dữ liệu thẻ thật bằng thiết bị chuyên dùng riêng.
- Để phòng chống, cần niêm phong máy thanh toán thẻ tự động và kiểm tra thường xuyên hoạt động của đơn vị chấp nhận thẻ cũng như tình trạng của máy thanh toán thẻ tự động.
- Tổ chức tội phạm có thể gắn các thiết bị ghi âm vào đường dây điện thoại truyền dữ liệu từ máy thanh toán thẻ tự động, máy ATM về hệ thống của ngân hàng để đánh cắp dữ liệu, sau đó giải mã để tạo thẻ giả.
1.2.2.6 Các đơn vị chấp nhận thẻ có tỷ lệ rủi ro cao (High Risk Merchants)
Các đơn vị chấp nhận thẻ có tỷ lệ rủi ro cao là các đơn vị kinh doanh hàng hoá, dịch vụ có giá trị lớn, có tính chất dễ chuyển đổi sang tiền mặt – nơi tội phạm hoặc các tổ chức tội phạm thường sử dụng thẻ giả mạo.
Các đơn vị chấp nhận thẻ thuộc loại hình có tỷ lệ rủi ro cao bao gồm: - Điểm ứng tiền mặt: MCC 6010
- Các hàng hoá dịch vụ đặc biệt như tiền mặt (sòng bạc, xổ số…): MCC 7995
- Kinh doanh vàng bạc, đá quý, đồ trang sức, đồng hồ cao cấp, phòng tranh...
- Kinh doanh điện thoại di động, thiết bị viễn thông - Kinh doanh máy tính, thiết bị điện tử, tin học
- Kinh doanh hàng hoá, dịch vụ qua mạng, điện thoại, thư tín (MO/TO)
1.2.3 Rủi ro kỹ thuật
- Rủi ro phát sinh khi hệ thống quản lý thẻ có sự cố liên quan đến xử lý dữ liệu hoặc kết nối.
1.2.4 Giải pháp khắc phục rủi ro khi dùng thẻ
Công nghệ thẻ từ là một công nghệ cũ có độ tuổi hơn 40 năm. Độ an toàn, bảo mật dữ liệu, khả năng lưu trữ dữ liệu thấp, không có khả năng xử lý dữ liệu linh hoạt. Để khắc phục những nhược điểm trên yêu cầu phải có một nền tảng công nghệ mới cho thẻ thanh toán. Giải pháp để chống giả mạo thẻ từ hiện nay như sau:
- Sử dụng bộ đọc hình ảnh HIR (do tổ chức thẻ quốc tế Mastercard sản xuất), thiết bị này ra đời dựa trên sự phát triển của các yếu tố bảo mật trên thẻ. Đối với thẻ Mastercard, cũng như visa đều có một hình ảnh in chìm 3 chiều. Khi thẻ được đưa vào bộ HIR, một hệ thống đọc hình ảnh phức tạp sẽ nhận biết thẻ thật thẻ giả trên cơ sở phân tích hình ảnh 3D.
- Phát hành thẻ mới cho chủ thẻ ngay sau khi chủ thẻ sử dụng tại những nước có tỷ lệ rủi ro trong thẻ từ cao (Malaysia).
- Sử dụng thiết bị sinh mật khẩu một lần (OTP - One time password), mật khẩu chỉ được sử dụng một lần, lần sau mật khẩu cũ sẽ hết hiệu lực.