5. Kết cấu Khóa luận
1.2. Khái quát về rủi ro trong giao dịch qua trong Internet Banking
1.2.1. Khái niệm
Đây là rủi ro phát sinh trong quá trình sử dụng và cung cấp các dịch vụ ngân hàng, tức là có thể xuất phát từ cả phía khách hàng và ngân hàng. Đồng thời, cả hai đối tượng này cũng chính là người chịu ảnh hưởng khi loại rủi ro nay xảy ra. Rủi ro trong giao dịch phát sinh do sai sót, cố tình gian lận hoặc do mất khả năng cung cấp sản phẩm hay dịch vụ, khơng thể duy trì lợi thế cạnh tranh và quản lý thơng tin. Rủi ro trong giao dịch tồn tại trong từng sản phẩm và dịch vụ mà ngân hàng cung cấp. Thậm chí loại rủi ro này tiềm ẩn ngay trong quá trình nghiên cứu phát triển sản phẩm, từ những khâu ban đầu như ước tính và triển khai hệ thống, xử lý giao dịch, và mơi trường kiểm sốt nội bộ (ThS. Hồ Tuấn Vũ, 2015)
- Đối với khách hàng:
Rủi ro trong giao dịch qua Internet banking là việc khách hàng phải đối mặt với tình huống bị tấn cơng dưới nhiều hình thức, bị đánh lừa để ăn cắp thông tin đăng nhập, thông tin thẻ tín dụng cũng như các thơng tin cá nhân khác. Khách hàng sử dụng Internet banking có nguy cơ bị mất tài sản tại ngân hàng khi vơ tình tạo điều kiện cho kẻ xấu tấn công (truy cập vào những trang web khơng chính thống hay đơn giản là khơng thốt tài khoản Internet banking khi dùng máy tính cơng cộng) hoặc mặc dù đã cảnh giác hết mức với các mối nguy hại, khách hàng vẫn có thể trở thành nạn nhân của rủi ro trong giao dịch.
Ngoài ra, rủi ro trong giao dịch qua Internet banking là việc khách hàng không thể thực hiện giao dịch điện tử qua Internet banking một cách bình thường do trục
trặc hệ thống. Rủi ro này xuất hiện trong quá trình khách hàng thực hiện các giao dịch với hệ thống Internet banking hoặc sử dụng các dịch vụ trực tuyến dùng Internet banking như một kênh thanh toán điện tử. Các sự cố kỹ thuật xảy ra khiến giao dịch của khách hàng bị chậm trễ hoặc trở nên mất an toàn.
Đây là loại rủi do gây nên thiệt hại cho khách hàng nhưng khi rủi ro này xuất hiện thường kéo theo rủi ro danh tiếng cho ngân hàng.
- Đối với ngân hàng:
Ngồi việc phát sinh do sai sót, cố tình gian lận hoặc do mất khả năng cung cấp sản phẩm hay dịch vụ, duy trì lợi thế cạnh tranh và quản lý thơng tin thì rủi ro trong giao dịch còn xuất hiện khi tội phạm (tin tặc) tạo ra các cuộc tấn công để thâm nhập vào hệ thống máy tính và hệ thống mạng của ngân hàng. Và Internet banking trở thành phương tiện hữu ích cho kẻ xấu trong việc tiếp cận hệ thống thông tin điện tử của ngân hàng. Tính chất đặc biệt nghiêm trọng của loại rủi ro này khiến nó trở thành mối quan tâm hàng đầu trong lĩnh vực quản lý hoạt động NHĐT của mỗi ngân hàng. Rủi ro thuộc thể loại này thường phụ thuộc nhiều vào yếu tố bên ngoài (bên thứ ba) nên rất khó phịng tránh và khắc phục.
Hậu quả của các cuộc tấn công và thâm nhập thường rất nặng nề và khó có thể đốn trước được. Có thể đơn giản là mất thông tin cá nhân người dùng (Tên tuổi, địa chỉ và thơng tin liên lạc phục vụ mục đích tiếp thị) hoặc cũng có thể là việc đánh cắp thơng tin mật liên quan đến tài khoản và mật khẩu, khiến khách hàng mất những khoản tài sản vơ cùng lớn hoặc tồn bộ tài sản hiện có tại ngân hàng. Theo thạc sĩ Hồ Tuấn Vũ (2015) hệ thống mạng của ngân hàng dễ bị tấn công từ nội bộ hơn là từ bên ngồi vì người sử dụng nội bộ hiểu rõ hệ thống và cách tiếp cận hệ thống hơn. Bởi vậy mà các ngân hàng hiện nay không những đầu tư nâng cao tính bảo mật của hệ thống đối với các đối tượng bên ngoài, mà bộ phận thanh tra - kiểm tra nội bộ trong lĩnh vực công nghệ thông tin cũng được đặc biệt trú trọng.
Với những mục đích khác nhau (đánh cắp thông tin, chiếm đoạt tiền trong tài khoản, sử dụng thẻ tín dụng của người bị hại,...) mà đối tượng bị tấn công cũng trở
nên đa dạng. Tin tặc có thể khai thác các điểm yếu trong hệ điều hành, hoặc cố gắng để thâm nhập bất hợp pháp vào trang Web/máy chủ, thậm chí có thể ngăn cản việc ngân hàng cung cấp dịch vụ cho khách hàng. Với việc triển khai Internet banking, đối tượng này có thêm kênh để tiếp cận với hệ thống thơng tin điện tử của ngân hàng.
1.2.2. Phân loại
Có nhiều cách phân loại, dưới đây rủi ro trong giao dịch qua Internet banking sẽ được phân theo các cách mà khách hàng và ngân hàng bị tấn công bởi tin tặc.
Một số cách tấn công và xâm nhập vào hệ thống NHĐT phổ biến hiện nay: - Social Engineering - là một trong những phương pháp tấn công phổ biến nhất hiện nay, đột nhập vào hệ thống Internet banking của ngân hàng nói riêng và hệ thống thơng tin của một tổ chức nói chung. Kỹ thuật Social Engineering là quá trình đánh lừa người dùng vào việc tiết lộ thông tin nhạy cảm, nhằm phá vỡ hệ thống an ninh hoặc lấy cắp dữ liệu và tiền trong tài khoản. Những kẻ dùng phương pháp này lợi dụng sự thiếu hiểu biết của người dùng và sự giám sát hệ thống máy tính để thu thập thơng tin và truy cập vào tài khoản cá nhân của khách hàng, sau đó thực hiện hành vi trộm cắp của mình.
Một số hình thức của Social engineering:
o Nghe trộm fqua điện thoại hoặc email)
o Email phishing ( kẻ tấn công thường gửi email rác, email mạo danh người thân,
quảng cáo trúng thưởng. Sau đó sẽ yêu cầu nạn nhân nhấp vào liên kết hoặc tệp đính kèm để điền thơng tin về cá nhân, số tài khoản ngân hàng, địa chỉ...)
o Mạo danh website (những đường link gần giống với các website chính thống,
tuy nhiên trong đó là những phần mềm độc hại mà người dùng có thể mắc phải khi nhấp vào)
Ví dụ, trong tháng 5/2018 vừa qua, ngân hàng thương mại cổ phần Ngoại thương Việt Nam đã công bố một loạt các website mạo danh website chính thức của ngân hàng. Các website này có giao diện tương đối giống với trang web của ngân hàng, nhưng mục đích của chúng là yêu cầu người dùng cung thông tin tài khoản để
lừa đỏa và chiếm đoạt tài sản: giainhat.vn/vietcombank, www.www-
vietcombank.com.vn, www-vietcombank.com.vn, mail.www-vietcombank.com.vn, ...
o Popup - Windows (Những cửa sổ lạ hiện lên bất thường'), thường có chứa
đường dẫn tới 1 website khác của hacker, sau đó hacker u cầu người dùng đăng nhập đầy đủ thơng tin hoặc tải phần phần mềm chứa mã độc về máy.) - Port Scanners - Theo Aleksandar Lukie (2015) Kẻ tấn cơng có thể sử dụng
Port Scanners (máy quét cổng) để xác định điểm vào hệ thống và sử dụng các kỹ
thuật khác nhau để lấy cắp thơng tin. Loại phần mềm này gửi tín hiệu đến máy
hoặc bộ định tuyến và ghi lại thông điệp mà máy trả lời để xác định thơng tin và
điểm vào (Cobb, 2007).
Mục đích chính của Port Scanners là thu thập thông tin liên quan đến phần cứng và phần mềm của một hệ thống đang chạy. Từ những thơng tin này, tin tặc có thể lên kế hoạch tấn cơng và hệ thống.
- Trình nghe trộm gói tin (Packet Sniffers) - là một phần mềm máy tính có
khả năng ngăn chặn và ghi lại thông tin đang truyền giữa máy tính của khách hàng
và máy chủ của ngân hàng, để thu thập các dữ liệu liên quan đến người dùng bao
gồm thơng tin thẻ tín dụng và mật khẩu. Trình nghe trộm gói tin được sử
dụng để
thu thập dữ liệu được truyền qua mạng. Rất khó để phát hiện loại chương
trình này,
bởi vì chức năng của chúng là tiếp cận dịng dữ liệu chứ khơng thao tác hay làm
biến đổi các dịng dữ liệu đó.
mã các tệp mật khẩu, từ có thể tiết lộ tồn bộ hệ thống tên người dùng và danh sách mật khẩu tương ứng.
- Trojans hay Trojans horse - được định nghĩa là một chương trình máy tính
độc hại. Chúng ẩn trong những file rất bình thường và có vẻ hồn tồn an
tồn. Sau
khi được cài vào máy tính của nạn nhân, phần mềm này mới lộ diện, lây lan
ra máy
tính và bắt đầu thực hiện hành vi phá hoại của mình. Phần mềm Trojan được
coi là
một trong những kẻ nguy hiểm nhất trong lĩnh vực bảo mật thông tin của
NHĐT, do
khả năng bí mật kết nối và gửi thơng tin đến chủ nhân của chúng. Các chương trình
này là được phát triển cho mục đích đánh cắp thơng tin và vơ cùng khó phát hiện.
Trojans có thể được cài đặt để theo dõi email, tin nhắn tức thì, thơng tin liên lạc,
cơ sở dữ liệu và vô số dịch vụ khác. Một số dạng thường gặp của Trojans:
o Remote Access Trojans - Cho phép tin tặc kiểm sốt tồn bộ hệ thống từ xa.
o Data-Sending Trojans - Trojans sẽ gửi những thông tin nhạy cảm (thông tin
đăng nhập, tài khoản, mật khẩu, thông tin liên lạc...) của nạn nhân cho kẻ tấn công.
o Destructive Trojans - Phá hủy hệ thống
o Denied-of-Service - DoS Attack Trojan: Trojans chuận bị hỗ trợ cho các cuộc
tấn công DoS.
o Proxy Trojans - là loại trojan được thiết kế để kẻ tấn cơngcó thể sử dụng máy
tính của nạn nhân như một proxy server.
o HTTP, FTP Trojans - Trojan tự tạo thành các HTTP hay FTP server để tin tặc
hàng hoặc cả máy chủ của ngân hàng, bằng cách yêu cầu hệ thống thực hiện một số lượng lớn những yêu cầu không cần thiết, khiến chúng bị cạn kiệt tài ngun và khơng thể thực hiện các nhiệm vụ bình thường khác (như truy cập vào tài khoản hay cung cấp các dịch vụ cho khách hàng). Kẻ tấn công sẽ cài các phần mềm virus hoặc Trojan vào máy tính cá nhân của người dùng và điều khiển chúng thực hiện các cuộc tấn công đến một máy chủ cụ thể.
Tấn cơng từ chối dịch vụ có thể được sử dụng bởi các đối thủ cạnh tranh để làm gián đoạn dịch vụ của một hoạt động thương mại điện tử của đối thủ khác. Hoặc kẻ tấn cơng có thể phá hủy máy chủ của trang web nhằm mục đích vơ hiệu hóa một loại các tính năng bảo mật. Khi máy chủ ngừng hoạt động, tin tặc có thể lấy được quyền truy cập vào các chức năng khác của máy, chẳng hạn như cơ sở dữ liệu hoặc hệ thống của người dùng.
- Lỗi máy chủ (Server Bugs) - Lỗi máy chủ thường được tìm thấy và được
khắc phục một cách kịp thời, khơng cho phép kẻ tấn cơng có cơ hội sử dụng các
mối đe dọa để chống lại website ngân hàng điện tử. Tuy nhiên, quản trị viên hệ
thống là thường chậm trễ trong việc cập nhật các phiên bản mới nhất, do đó
tin tặc
có đủ thời gian để tạo ra mối đe dọa. Với hàng triệu máy chủ web đang được sử
dụng trên khắp thế giới, hàng nghìn máy chủ web thường khơng có thời gian các
bản vá lỗi, khiến chúng dễ bị tấn công bởi các lỗi máy chủ và các mối đe dọa. (Lukie, 2015).
1.3. Kinh nghiệm quốc tế trong việc giảm thiểu rủi ro trong giao dịch qua
Internet Banking