1.4. Mô hình nghiên cứu về sự phát triển của dịch vụ ngân hàng điện
1.4.3. Mức độ an toàn, bảo mật và khả năng phòng chống rủi ro
Đây là vấn đề luôn được các ngân hàng ưu tiên đặt lên hàng đầu khi xây dựng hệ thống giao dịch điện tử. Bởi vì cơng nghê thơng tin và cơng nghệ bảo mật không ngừng được cải tiến và thay đổi liên tục. Trong môi trường kinh doanh đầy biến động, khi nền kinh tế càng phát triển thì việc đánh cắp thơng tin, đánh cắp tiền mặt trên mạng, nạn tin tặc… cũng khơng ngừng phát triển. Chính vì vậy, cơng nghệ bảo mật cũng phải luôn cải tiến, đổi mới. Ngân hàng cần chú trọng vấn đề này vì chính việc xây dựng được công nghệ bảo mật, an tồn sẽ tạo dựng được lịng tin nơi khách hàng, tạo cho họ sự thoải mái, yên tâm khi giao dịch với ngân hàng. Để phát triển dịch vụ ngân hàng điện tử, các NHTM cần không ngừng đầu tư phát triển hạ tầng kỹ thuật mạng, xây dựng một kết cấu công nghệ thông tin hiện đại để đảm bảo hoạt động dịch vụ được thông suốt, cung cấp các dịch vụ điện tử đa dạng gần gũi và dễ sử dụng tới khách hàng để tạo được lịng tin từ họ. Bên cạnh đó, việc đào tạo đội ngũ nhân viên làm chủ được kỹ thuật hiện đại, có kỹ năng giao tiếp, xử lý tình huống tốt, chuyên nghiệp là những yếu tố nâng cao các thành phần cấu thành nên một chất lượng dịch vụ đáp ứng được kỳ vọng của khách hàng.
1.4.4. Sự hài lịng của khách hàng
Có thể nói, chỉ có thể phát triển dịch vụ NHĐT khi đạt được sự hài lòng của khách hàng. Vì NHĐT ra đời là để phục vụ khách hàng. Có khách hàng sử dụng thì NHĐT mới phát triển được. Chính vì vậy, NHĐT của ngân hàng nào đáp ứng được các nhu cầu đa dạng của khách hàng, cung cấp được nhiều tiện ích cũng như chiếm được sự tin tưởng, an tâm của khách hàng khi sử dụng. Ngân hàng đó sẽ thu hút được số lượng lớn khách hàng sử dụng dịch vụ NHĐT. Từ đó ngày càng phát triển mạnh dịch vụ NHĐT của mình.
Sự đa dạng tiện ích
Sự hài lịng của khách hàng Chất lượng dịch vụ
Mức độ an tồn, bảo mật, phịng chống rủi ro
Sự phát triển dịch vụ NHĐT Quy mô dịch vụ
1.4.5. Quy mô của dịch vụ ngân hàng điện tử
Để đánh giá dịch vụ NHĐT có phát triển hay khơng thì doanh thu, số lượng khách hàng và số lượng giao dịch tăng qua các năm là minh chứng rõ ràng nhất. Ngồi ra, sự phát triển cịn dựa vào thị phần khách hàng và cách thức quảng bá, tiếp thị sản phẩm. Nếu một ngân hàng có thị phần khách hàng là nơng dân chiếm tỷ lệ cao thì rất khó phát triển dịch vụ NHĐT. Hoặc ngân hàng có cách thức quảng bá, tiếp thị sản phẩm dịch vụ chưa mạnh cho thấy quy mơ của dịch vụ NHĐT cịn nhỏ, chưa giới thiệu được đến khách hàng. Vì vậy, đây cũng là một chỉ tiêu quan trọng để đánh giá sự phát triển của dịch vụ NHĐT.
Với mơ hình này, việc phát triển dịch vụ NHĐT được đo lường bằng các tiêu chí như: sự hài lịng của khách hàng và quy mơ dịch vụ. Trong đó sự hài lòng của khách hàng được đo lường bởi ba tiêu chí: sự đa dạng tiện ích, chất lượng dịch vụ và mức độ an tồn, bảo mật, phịng chống rủi ro.
1.5. VẤN ĐỀ BẢO MẬT
Như đã nói ở trên, bảo mật là vấn đề sống còn của ngân hàng điện tử. Vì nó xây dựng lịng tin cho khách hàng khi sử dụng dịch vụ này. Tuy nhiên, ngân hàng trực tuyến luôn là mục tiêu tấn công chủ yếu của bọn tội phạm mạng.
1.5.1. Các kiểu tấn công trực tuyến hiện nay
Có nhiều kiển tấn cơng trực tuyến, các cuộc tấn cơng trực tuyến có thể nhằm vào các đối tượng khác nhau. Kẻ tấn cơng có thể khai thác các điểm yếu trong hệ điều hành, hoặc cố gắng nhiều lần để thâm nhập bất hợp pháp vào trang Web trong thời gia ngắn và ngăn cản cung cấp dịch vụ cho khách hàng. Các kiểu tấn công trực tuyến hiện nay:
Thứ nhất là các hacker sẽ tấn công trực tiếp máy chủ của ngân hàng: dùng hệ thống một mạng máy tính ảo cùng truy cập 1 lúc khiến cho hệ thống dịch vụ ngân hàng bị tê liệt, người sử dụng không rút được tiền, làm ảnh hưởng đến uy tín của ngân hàng. Hoặc trong q trình tấn cơng hệ thống các ngân hàng, hacker sẽ tìm cách chèn các mã độc vào máy chủ nội bộ của các ngân hàng để lấy cơ sở dữ liệu.
Thứ hai là tấn công người sử dụng bằng cách gửi các mail giả mạo, lừa đảo, gửi
phần mềm gián điệp, phần mềm keylogger để ăn cắp thông tin mật khẩu tài khoản. Đây là những chương trình có dung lượng rất nhỏ được cài đặt vào máy tính sau khi xâm nhập thành công thông qua những lỗ hổng bảo mật chưa được vá, keylogger không phá hoại hệ thống nhưng bí mật gửi dữ liệu về mọi hoạt động trên bàn phím cho hacker. Máy tính của người dùng bị nhiễm phần mềm gián điệp như KeyLogger có thể bị đánh cắp UserID, Password khi nhập thơng tin.
Thứ ba, Hacker có thể làm giả email của ngân hàng với dạng "Email thông báo
cập nhật hệ thống ngân hàng điện tử" kèm theo các đường link yêu cầu người sử dụng đăng nhập để thay đổi thông tin. Khi nhận được mail trên, khách hàng sẽ vào đường link dẫn đến một trang web do hacker xây dựng giống hệt với giao diện trang web của ngân hàng. Việc đăng nhập thông tin vào các web này sẽ khiến người dùng vơ tình tiết lộ cho hacker biết tồn bộ thơng tin cá nhân, thẻ tín dụng, mật khẩu… Hoặc những đường link này sẽ chứa các loại mã độc, khi người dùng click vào, chúng sẽ nằm ẩn trong máy tính để tự động thu thập các dữ liệu thông tin cá nhân, mật khẩu… gửi cho các hacker (hình thức này gọi là Man-In-The-Middle). Khi khách hàng thực hiện giao dịch chuyển khoản, trang giả mạo sẽ đánh cắp tất cả những thông tin khách hàng nhập vào, sau đó tự động
chỉnh sửa các thơng tin như số tiền, số tài khoản người nhận trước khi thực hiện giao dịch với trang giao dịch thật của nhà cung cấp dịch vụ mà khách hàng không hề biết.
Với các phương thức tấn công ngày càng tinh vi của bọn tội phạm mạng, hiện nay, các ngân hàng rất quan tâm đến việc bảo vệ hệ thống, chống hacker có thể xâm nhập và rút được tiền. Bên cạnh đó, ngân hàng cũng đã cảnh báo, cung cấp cho người sử dụng phương thức bảo vệ mật khẩu và mã hóa đường truyền để hạn chế nguy cơ hacker tấn công.
1.5.2. Các phương thức xác thực
1. Phương thức mật khẩu một lần (One Time Password- OTP)
- OTP là phương thức xác thực mật khẩu một lần. Mật khẩu được gửi tới khách hàng qua SMS hoặc qua thiết bị bảo mật Token Key.
- Token Key là thiết bị sinh mã xác thực ngẫu nhiên dùng để thay thế chữ ký của khách hàng trong mỗi lần thực hiện chuyển khoản trên Internet Banking, mà mã xác thực này chỉ có giá trị sử dụng một lần. Mỗi khi khách hàng nhấn nút trên Token Key, thiết bị sẽ hiển thị một mã xác thực có thời gian tồn tại 3 phút để khách hàng nhập vào hệ thống. Token sẽ tự động thay đổi mật khẩu sau đó.
- Các dạng xác thực theo phương thức mật khẩu một lần:
Ký xác nhận với PTXT OTP SMS (Tên truy cập + Mật khẩu tĩnh + OTP SMS): Trong quá trình giao dịch thanh tốn và chuyển tiền, Ngân hàng sẽ gửi một tin nhắn có mã xác thực đến số di động mà khách hàng đã cung cấp để khách hàng nhập vào phần xác thực thanh tốn để hồn tất giao dịch.
Ký xác nhận với PTXT OTP Token (Tên truy cập + Mật khẩu tĩnh + OTP Token) : Trong q trình giao dịch thanh tốn và chuyển tiền, đến bước xác thực,
khách hàng sẽ nhấn nút trên Token Key. Token Key sẽ cho ra một mã số, khách hàng nhập vào phần xác thực thanh tốn để hồn tất giao dịch.
Ký xác nhận với PTXT OTP Ma trận (Tên truy cập + Mật khẩu tĩnh + OTP Ma trận): Ngân hàng sẽ cung cấp cho khách hàng một thẻ ma trận. mật mã là các
giá trị ở các hàng tương ứng trên ma trận. Vd: OTP Ma trận trên là các giá trị ở các hàng cột G1, H8, A3. Tương ứng với các giá trị phải nhập là BEE935.
2. Phương thức xác thực bằng chứng thư số (chỉ áp dụng cho Internet Banking) Ký xác nhận với PTXT Chứng thư số (Tên truy cập + Mật khẩu tĩnh + CA):
Trong q trình giao dịch thanh tốn và chuyển tiền, đến bước xác thực, ngân hàng sẽ yêu cầu khách hàng nhập chứng thư điện tử đẻ tạo chữ ký cho giao dịch.
3. Xác thực hai phương thức (Two Factor Authentication)
Để xác thực, hệ thống ATTT sử dụng nhiều nhân tố khác nhau như hat you have (cái bạn có, chẳng hạn mật khẩu, token), hat you know (cái bạn biết – bao gồm các câu hỏi) hay hat you are (cái bạn làm)... Hệ thống 2 A sử dụng 2 nhân tố xác thực thuộc hai nhóm khác nhau kể trên để xác thực giúp tăng tính an tồn. Đại diện của phương thức này là Token Pin. Token PIN yêu cầu khách hàng phải nhập mã PIN thì mới sinh được OTP.
Ngoài ra, để an tồn và phịng chống hình thức tấn công Man-In-The-Middle, nhà cung cấp dịch vụ có thể cung cấp cho khách hàng các loại thiết bị Token PIN - có tính năng sinh OTP dạng thách thức/đáp ứng (Challenge/Response). Giải pháp này yêu cầu khi thực hiện giao dịch khách hàng phải nhập một vài thông tin như số tiền, số tài khoản và số PINvào thiết bị để sinh OTP, sau đó khách hàng gửi mã OTP để hệ thống xác thực. Nếu có bất kỳ thay đổi thơng tin nào trên đường truyền thì hệ thống sẽ xác thực sai, vì khi hệ thống xác thực tính tốn với những thơng tin đã được sửa đổi thì sẽ ra một số OTP khác với số OTP mà khách hàng gửi đi.
Thiết nghĩ, Việc sử dụng OTP thông qua SMS chỉ nên áp dụng cho việc truy cập vào hệ thống để truy vấn thông tin tài khoản, hoặc các giao dịch có giá trị thấp. Cịn với các giao dịch có giá trị cao nên áp dụng Token và cao cấp hơn hướng tới việc sử dụng Token PIN - có tính năng sinh OTP dạng thách thức/đáp ứng (Challenge/Response) . Hệ
thống bảo mật này giúp khách hàng không bị đánh cắp thông tin cá nhân và dữ liệu bởi những phần mềm nội gián, hay bị nhìn trộm mật khẩu vì chỉ duy nhất người có mật khẩu và người sở hữu thiết bị bảo mật Token mới có thể truy cập vào kênh ngân hàng trực tuyến. Và dù bị tấn công bởi hình thức mới nhất Man-In-The-Middle thì khi những thơng tin đã được sửa đổi hệ thống xác thực sẽ ra một số OTP khác với số OTP mà khách hàng gửi đi. Như vậy sẽ hạn chế được việc khách hàng bị tấn cơng bởi hình thức trên.
K
Ế T LU Ậ N CHƯƠNG 1
Chương 1 đã nêu khái quát những khái niệm cơ bản cũng như các giai đoạn phát triển của Ngân hàng điện tử. Với những tiện ích, ưu điểm của các sản phẩm Ngân hàng điện tử cho thấy việc phát triển dịch vụ này tại các NHTM Việt Nam trong xu thế hội nhập hiện nay là tất yếu. Tuy nhiên, để phát triển dịch vụ Ngân hàng hiện đại, các NHTM cần đánh giá được các điều kiện để phát triển dịch vụ này trong môi trường hiện nay, cũng như nghiên cứu để có thể cung cấp dịch vụ NHĐT, đáp ứng được các chỉ tiêu phát triển, mang sản phẩm tốt nhất đến khách hàng. Các ngân hàng cũng nên quan tâm đến các phương thức tấn công của tõi phạm mạng để áp dụng phương thức xác thực hợp lý. Ngoài ra, vấn đề về pháp lý và cơng nghệ cũng góp phần khơng kém trong việc triển khai thành cơng dịch vụ Ngân hàng điện tử.
Chương 1 đã đưa ra mơ hình để đánh giá sự phát triển của dịch vụ ngân hàng điện tử. Chương 2 sẽ đánh giá thực trạng cung ứng dịch vụ ngân hàng điện tử của Ngân hàng Nông nghiệp và Phát triển Nông thôn khu vực TP.HCM dựa trên mơ hình này.
Chương 2: THỰC TRẠNG PHÁT TRIỂN DỊCH VỤ NGÂN HÀNG ĐIỆN TỬ TẠI CÁC CHI NHÁNH NGÂN HÀNG NÔNG NGHIỆP VÀ PHÁT
TRIỂN NÔNG THÔN TRÊN ĐỊA BÀN TP.HCM
2.1. THỰC TRẠNG PHÁT TRIỂN DỊCH VỤ NGÂN HÀNG ĐIỆN TỬ TẠI CÁC CHI NHÁNH AGRIBANK TRÊN ĐỊA BÀN TP.HCM
Hiện tại, trong lĩnh vực ngân hàng điện tử, Ngân hàng Nông Nghiệp và Phát Triển Nông Thôn đang cung cấp hai dòng sản phẩm là: Internet Banking và Mobile Banking.
2.1.1. Mô tả dịch vụ
2.1.1.1.Internet Banking
Đây là dịch vụ Ngân hàng quảng bá hoạt động và cung cấp thông tin đến khách hàng thông qua website được AGRIBANK xây dựng và cập nhật thường xuyên. Truy cập vào website http://www.agribank.com.vn, khách hàng có thể nhận được những thông tin liên quan đến hoạt động của Ngân hàng, các thông tin về sản phẩm, dịch vụ mới. Khách hàng cũng có thể tham khảo biểu phí dịch vụ, lãi suất, tỷ giá, tham khảo các chỉ dẫn khi muốn đăng ký, sử dụng dịch vụ.
Chương trình Internet Banking của Agribank được triển khai từ năm 2009. Tại thời điểm này, các ngân hàng khác cũng bắt đầu triển khai Internet Banking nhưng chỉ dừng lại ở mức độ vấn tin số dư và xem giao dịch tài khoản. Riêng Agribank đã phát triển thêm tính năng chuyển khoản trong hệ thống. Có thể nói Agribank là một trong số ít những ngân hàng sớm nhận thức được sự tiện lợi và đầu tư phát triển dịch vụ này ở Việt Nam.
Ti
ệ n ích c ủ a s ả n ph ẩ m :
- Thơng qua trang web www.agribank.com.vn, khách hàng có thể biết được: + Thông tin sản phẩm, dịch vụ mới của Ngân hàng một các nhanh chóng
(sản phẩm tiền gửi thanh tốn, sản phẩm tiền gửi tiết kiệm, sản phẩm tín dụng, sản phẩm Ngân hàng điện tử, thanh toán quốc tế, các dịch vụ thẻ…). + Thơng tin về biểu phí, lãi suất tiết kiệm, tỷ giá hối đối.
+ Thông tin hoạt động ngân hàng và các thông tin liên quan khác.
- Truy vấn thông tin tài khoản: Tra cứu số dư, Liệt kê các giao dịch trên tài khoản, in sao kê tài khoản: tài khoản tiền gửi (số dư thực tế, số dư khả dụng), tài khoản tiền vay (khế ước, lịch trả nợ, giao dịch khoản vay).
- Lệnh giao dịch thanh tốn: Thanh tốn hóa đơn (tiền điện, tiền nước, cước viễn thơng, thu học phí), Chuyển khoản, chuyển tiền trong hệ thống Agribank.
Trước đây, khách hàng có thể sử dụng tất cả các tiện ích này khi sử dụng mã số truy cập, mật khẩu được cấp đăng nhập trang https://ibank.agribank.com.vn. Nhưng từ ngày 20/07/2012, IB của Agribank mặc định khách hàng chỉ được sử dụng tính năng: truy vấn thông tin tài khoản/ Lịch sử giao dịch với các tài khoản tại chi nhánh mà khách hàng đăng ký sử dụng IB. Đây là điểm khác biệt so với các ngân hàng khác. Khi khách hàng có nhu cầu thực hiện các giao dịch thanh toán, chuyển khoản hay các mục đích khác (thay đổi mục đích sử dụng với các tài khoản...) thì khách hàng phải đăng ký sử dụng dịch vụ trên Internet Banking và được phê duyệt bởi Ngân hàng.
Có thể nhận thấy, các tiện ích của dịch vụ Internet Banking do Agribank cung cấp chỉ là những tiện ích cơ bản. Sau hơn bốn năm triển khai, Agribank vẫn chưa phát triển thêm tiện ích mới nào. Trong khi các ngân hàng khác trong hệ thống đã phát triển nhiều tiện ích mới thì IB của Agribank vẫn chưa thể chuyển khoản ngồi hệ thống. Vì vậy, từ vị trí tiên phong trong lĩnh vực ngân hàng điện tử, IB của Agribank hiện tại đã trở nên tụt hậu so với các ngân hàng khác.
2.1.1.2. Dịch vụ Mobile Banking
Khác với Internet Banking, dịch vụ Mobile Banking được Agribank rất chú trọng nghiên cứu và phát triển dịch vụ này. Dịch vụ Mobile Banking của Agribank bắt đầu
triển khai vào năm 2008, đến nay đã được bổ sung thêm rất nhiều tiện ích thân thiện với người sử dụng.
a. Các d ị ch v ụ Mobile Banking c ủ a Agribank cung c ấ p bao g ồ m:
1. Các dịch vụ sử dụng cú pháp SMS:
- Dịch vụ SMS Banking: bao gồm các dịch vụ cung cấp thông tin về tài khoản của khách hàng; thông tin về mạng lưới ATM; tỷ giá; lãi suất,… theo tin nhắn SMS của