2.3 Thực trạng rủi ro trong hoạt động kinh doanh thẻ tại ACB
2.3.1.4 Thực trạng rủi ro về công nghệ
Cơng nghệ càng hiện đại thì cơng nghệ về thẻ cũng hiện đại, mang lại nhiều tiện ích cho người sử dụng. Tuy nhiên, những thành viên tham gia vào dịch vụ thẻ luôn phải đối mặt với bọn tội phạm ln rình rập để có thể kiếm lợi một cách bất hợp pháp mà nỗi lo lớn nhất chính là rủi ro từ những bọn hacker. Đây là loại rủi ro rất cần được quan tâm vì khi sự cố xảy ra tác hại rất lớn, không chỉ ảnh hưởng đến một khách hàng, một ngân hàng mà còn tác hại đến cả hoạt động của hệ thống thẻ. Đối với ACB, rủi ro do công nghệ chưa xảy. Tuy nhiên, việc tuân thủ và có những
52
biện pháp phòng ngừa để tránh xảy ra những tổn thất lớn từ việc bị tấn công vào hệ thống thẻ là rất quan trọng. Luận văn trình bày hai sự việc xảy ra gần đây về bọn tội phạm thẻ đã tấn công hệ thống thẻ của một số ngân hàng trên thế giới để đánh cắp dữ liệu và thực hiện hành vi gian lận với số tiền lên đến hàng triệu USD.
Trường hợp 1: Đầu năm 2010, Nish Bhalla, là giám đốc điều hành của Security Compass, một công ty kiểm tra hệ thống an ninh của các ngân hàng, hãng bán lẻ, công ty năng lượng và các tổ chức khác có các số liệu nhạy cảm, ngồi bên máy tính với mục tiêu đánh cắp một số tiền lớn từ ngân hàng Bhalla đã tiết lộ với CNNMoney bốn bước dễ dàng thực hiện:
Một là, truy cập bằng cách đăng nhập vào mạng không dây (wifi). Một khi đang sử dụng wifi của ngân hàng, các mạng nội bộ và bên ngồi thường khơng đủ tách biệt. Hồn tồn có thể đánh lừa các máy tính khác của ngân hàng rằng máy tính của bạn cũng là một máy tính ngân hàng. Hoặc cắm một ổ USB vào hệ thống của nhân viên giao dịch, khởi động lại nó với một hệ điều hành mới, cho phép họ tiếp cận với ổ cứng của hệ thống của nhân viên giao dịch. Từ đó, tên người dùng, mật khẩu sẽ hiện ra.
Hai là, Bhalla tìm ra cách mà các hệ thống của ngân hàng kết nối với nhau. Sau đó, đẩy lượng lớn thơng tin vào các hộp chuyển mạch (switches) - các hộp nhỏ truyền thông tin trực tiếp - để khiến mạng lưới nội bộ của ngân hàng quá tải thông tin (biến các hộp chuyển mạch thành các "trung tâm" truyền dữ liệu ra ngồi).
Ba là, thơng tin được chuyển giữa các máy tính của các nhân viên giao dịch và cơ sở dữ liệu chính của chi nhánh ngân hàng khơng được mã hóa. Điều đó nghĩa là mật khẩu và số tài khoản ngân hàng đều phơi bày.
Bốn là, có thể bước vào bất cứ chi nhánh ngân hàng nào, chuyển tiền vào một tài khoản nước ngoài, và tới 1 máy ATM và rút ra số tiền kỷ lục bất chính.
Trường hợp 2: Ngày 10/05/2013, cơ quan công tố Mỹ đã bắt giữ 7 người
trong một băng nhóm tội phạm, nhóm người này đã tấn công vào cơ sở dữ liệu của các ngân hàng đánh cắp tới 45 triệu USD từ các máy ATM ở khắp 26 quốc gia. Băng nhóm này sử dụng các loại thẻ giả để rút tiền của các ngân hàng ở UAE và Oman. Các thành viên trong nhóm này đã tấn cơng vào các hệ thống máy tính của
53
ngân hàng để đánh cắp dữ liệu của các thẻ trả trước đồng thời đã dùng thủ thuật để tăng số dư cũng như hạn mức rút tiền của các thẻ trả trước MasterCard do các ngân hàng Bank Muscat tại Oman, National Bank of Ras Al Khaimah PSC (RAKBANK) tại UAE phát hành. Sau đó thơng tin bị đánh cắp được chuyển cho các tịng phạm khắp thế giới. Với thơng tin có được, những kẻ này sẽ tạo nên những thẻ từ, và có thể rút tiền từ các máy ATM với số lượng lớn chỉ trong vòng vài giờ.
Các nghi phạm đã thực hiện 4,500 giao dịch với tổng trị giá 5 triệu USD tại khoảng 20 nước với các thẻ mang tài khoản của ngân hàng Rakbank của UAE. Trong vòng 10 tiếng, tội phạm đã rút được 40 triệu USD từ các máy ATM ở 24 nước sau khoảng 36.000 giao dịch. Tại New York, với các thẻ giả mang cùng một số tài khoản của Bank Muscat, bọn người này rút 2,904 giao dịch lấy đi 2,4 triệu USD. Cuối tháng 2 vừa qua, Bank Muscat đã công bố việc phải chịu tổn thất lên tới 15 triệu rial (tương đương 39 triệu USD) do bị giả mạo thẻ trả trước tại nước ngoài.