- Rủi ro do giả mạo
Giả mạo có thể xảy ra trong toàn bộ quá trình kinh doanh thẻ, từ khâu phát hành
ñến khâu thanh toán. Giả mạo thẻ có thể bao gồm các hình thức như: ñơn xin phát hành thẻ với thông tin giả mạo, thẻ giả, ñơn vị chấp nhận thẻ giả mạo, sao chép và tạo băng từ giả (skimming), các giao dịch thanh toán không có sự xuất trình thẻ (giao dịch qua Internet, fax...).
Nguyên nhân gây ra rủi ro loại này là do sự vô ý của chủ thẻñể lộ các thông tin cá nhân liên quan ñến thẻ, bị kẻ gian thực hiện sao chép thông tin thẻ, nhất là các giao dịch qua mạng Internet, ….
- Rủi ro tín dụng
Thường xảy ra ở các loại thẻ tín dụng, khi chủ thẻ không có khả năng thanh toán hoặc thanh toán không ñầy ñủ các khoản chi tiêu bằng thẻ tín dụng.
Nguyên nhân gây ra rủi ro là do khâu thẩm ñịnh không cẩn thận, không xác thực các thông tin về chủ thẻ, không sử dụng các biện pháp ñảm bảo cần thiết hoặc chủ thẻ cố tình gian lận....
- Rủi ro về kỹ thuật
Đây là loại rủi ro liên quan ñến hệ thống quản lý thẻ, như các sự cố về nghẽn mạng, các trục trặc về xử lý thông tin, bảo mật.... Đây là loại rủi ro rất cần ñược
quan tâm vì khi sự cố xảy ra tác hại rất lớn, không chỉảnh hưởng ñến một khách hàng, một ngân hàng mà còn tác hại ñến cả hoạt ñộng của hệ thống thẻ.
Nguyên nhân gây ra rủi ro này có thể do sự cố bất khả kháng, nhưng cũng có thể
do nguyên nhân chủ quan là hệ thống không ñược ñầu tưñúng mức, công tác cập nhật, bảo quản không ñược quan tâm một cách nghiêm túc ñể kẻ gian xâm nhập vào hệ thống ñánh cắp dữ liệu, thông tin....
- Rủi ro vềñạo ñức của cán bộ ngân hàng
Đây là loại rủi ro liên quan ñến cán bộ ngân hàng trong lĩnh vực kinh doanh thẻ. Là hành vi cán bộ lợi dụng vị trí công tác, sự hiểu biết về nghiệp vụ thẻ, quy trình tác nghiệp không chặt chẽ,... ñể thực hiện các hành vi gian lận, giả mạo gây tổn thất cho ngân hàng.
Nguyên nhân gây ra loại rủi ro này là do cán bộ thoái hoá, biến chất, công tác soạn thảo quy trình nghiệp vụ, kiểm tra kiểm soát nội bộ không thực hiện ñúng chuẩn mực.
- Rủi ro do trình ñộ dân trí
Chủ thẻ là người trực tiếp sử dụng thẻ, khi nhận thức chưa hết trách nhiệm, quyền hạn, quy ñịnh cũng như các ràng buộc có thể dẫn ñến những sai sót, vi phạm vô tình hoặc cố ý ñều có thể gây nên rủi ro cho chính bản thân chủ thẻ
hoặc cho các chủ thể khác. Bên cạnh ñó, ñông ñảo tầng lớp dân cư cho dù không phải là chủ thẻ, cũng có thể gây tổn thất, rủi ro cho ngân hàng như làm hư hỏng các trang thiết bị giao dịch tựñộng ñược ñặt tại nơi công cộng.
Nguyên nhân gây nên rủi ro này là do người dân chưa quen với việc sử dụng thẻ, chưa có ý thức cảnh giác với bọn gian lận, chưa tự bảo vệ thông tin thẻ. Ngoài ra còn có thể do thói quen tin người nên bị kẻ gian lợi dụng. Khi chủ thẻ gặp rủi ro sẽ liên quan trực tiếp ñến ngân hàng.
- Rủi ro do gian lận
Gian lận có thể xem như là các hành vi lừa ñảo nhằm thực hiện các giao dịch thanh toán thẻ bất hợp pháp gây tổn thất cho các chủ thể tham gia vào quá trình hoạt ñộng kinh doanh thẻ. Gian lận phát sinh bất kỳ lúc nào không phân biệt thời gian, ñịa ñiểm, cả trong hoạt ñộng phát hành lẫn thanh toán thẻ.
Nguyên nhân gây nên rủi ro này là do nhiều nhân tố khác nhau như sự vô ý của chủ thẻ, sự ñầu tư công nghệ chưa ñáp ứng nhu cầu hiện ñại hóa của các ngân hàng, lợi dụng các kẻ hở trong qui ñịnh qui trình, cũng có thể do ảnh hưởng của tình hình tội phạm thẻ trên thế giới,….Trong thời gian qua trên thế giới và tại Việt Nam ñã xảy ra các hình thức gian lận như sau:
Lấy cắp thẻ
Bước ñầu tiên, bọn tội phạm lắp vào khe ñọc thẻ của máy ATM một miếng nhựa có khả năng giữ thẻ và ngăn máy nhả thẻ ra. Khi chủ thẻ còn lúng túng chưa biết xử lý ra sao, kẻ gian ñến gần, giả vờ là người tốt bụng sẵn sàng giúp ñỡ và “tư vấn” chủ thẻ nên nhập lại số pin ñể lấy lại thẻ và theo dõi. Đây là cơ hội ñể kẻ gian biết ñược mật mã truy cập tài khoản thẻ của nạn nhân. Khi chủ thẻ thất vọng bỏñi, kẻ gian ở lại lấy thẻ ra, sau ñó dùng pin vừa nhìn trộm ñược ñể truy cập vào tài khoản và rút tiền.
Trộm dữ liệu bằng camera
Tội phạm lắp ñặt một thiết bịñọc thẻ vào máy ATM, nhưng chúng có thể lấy dữ liệu về tài khoản và số pin từ xa nhờ một chiếc camera cũng ñược lắp kín
ñáo tại máy ATM. Camera thường ñược ñặt trong một khay ñể tờ rơi giả nằm cạnh bàn phím, một vị trí có thể ghi hình toàn bộ các thao tác của chủ thẻ
cũng như lưu giữ số liệu. Với công nghệ không dây, toàn bộ dữ liệu ñược truyền ñến cho kẻ tội phạm ñang ñứng gần ñó. Dữ liệu lấy ñược sẽ làm nên các thẻ giả, và sử dụng số pin thu ñược từ camera ñể rút tiền của nạn nhân.
Nhìn trộm qua vai
Kẻ gian có thể ñứng gần máy ATM, máy cà thẻ, hay tại các quầy thanh toán của ngân hàng và theo dõi quá trình chủ thẻ thao tác, ñặc biệt là chú ý khi chủ thẻ nhập số pin. Sau ñó, chúng tìm cách làm chủ thẻ mất tập trung, chẳng hạn hét lên, ñánh ñổ nước uống hoặc nước sốt vào chủ thẻ hoặc ñánh rơi tiền và hỏi ñó là tiền của ai. Trong lúc chủ thẻ sao nhãng, kẻ gian liền lấy trộm toàn bộ thẻ, tiền của chủ thẻ. Khi lấy ñược thẻ, kẻ gian thực hiện rút tiền trong thẻ với số pin ñã nhìn trộm ñược.
Có thể ngay tại quầy thanh toán của các ĐVCNT hay tại các ngân hàng cũng lắp ñặt thiết bị ăn cắp dữ liệu. Thủ ñoạn này thường do chính những nhân viên thiếu trung thực lắp ñặt chiếc máy ñó và họ sẽ lấy chiếc thẻ cà vào máy
ñể lấy cắp thông tin khi chủ thẻ thực hiện thanh toán. Sau khi lấy ñược dữ
liệu, những nhân viên này thực hiện các giao dịch bất hợp pháp ñể rút tiền hoặc bán dữ liệu vừa trộm ñược cho bọn tội phạm thẻ chuyên nghiệp. Thậm chí, có những trường hợp chính các nhân viên ñó là người của nhóm tội phạm cài cắm vào.
Trộm dữ liệu khi thanh toán qua mạng Internet
Bên cạnh các thủ ñoạn lừa ñảo ngày càng nhiều và tinh vi, hiện tượng thông tin thẻ tín dụng thanh toán qua mạng Internet bị hacker ñánh cắp dữ liệu cũng
ñang có xu hướng gia tăng. Các hiện tượng ñánh cắp cũng khá ña dạng mà chủ thẻ cần ñề phòng như thủ ñoạn lừa ñảo trực tuyến, với việc tạo website giả ñể lấy thông tin, tấn công ñánh cắp dữ liệu, chặn luồng giao dịch của thẻ
từñể lấy cắp mật khẩu,…. Nghiêm trọng hơn, các ñối tượng hacker còn tung các thông tin thẻ lên các diễn ñàn trực tuyến ñể chia sẻ cho những kẻ xấu khác có thể lợi dụng.
Tấn công cơ học
Mục ñích của những cuộc tấn công này là mở két sắt của máy ATM bằng phương tiện máy móc ñể lấy cắp tiền. Hình thức tội phạm này thường mang tính chất manh ñộng và liều lĩnh. Ở Mỹ vẫn thường xảy ra tình trạng bọn tội phạm dùng xe kéo ñổ máy ATM, sau ñó mang tới một ñịa ñiểm an toàn rồi cậy phá. Đặc biệt ở Châu Phi, bọn tội phạm còn sử dụng chất nổ ñể lật tung máy ATM rồi lấy két sắt mang ñi.
Bẫy thẻ
Bẫy thẻñược thực hiện bằng cách bọn tội phạm sẽ quệt một chút dầu lên bàn phím nhập pin ñể “bắt chết” phím số mà nạn nhân ñã bấm. Từñây kẻ gian có thể lấy cắp ñược mã pin mà không cần tiếp cận nạn nhân.
Đầu ñọc thẻ giả (skimmer)
Đầu ñọc thẻ giả là thiết bịăn cắp dữ liệu trên dãy từ, có hình dạng giống như
hoặc ở phía trên ñầu ñọc thẻ thật. Một ñầu ñọc thẻ giả có thểñánh cắp và lưu thông tin về số tài khoản, số dư tài khoản, và mã xác nhận liên quan ñến mỗi chủ thẻ của hơn 200 thẻ ATM. Thông thường, khách hàng sẽ lầm tưởng skimmer là một bộ phận của máy rút tiền. Kẻ gian sẽ hướng dẫn nạn nhân quẹt thẻ vào skimmer trước, sau ñó mới tiếp tục các giao dịch khác, hoặc chúng sẽ nói rằng skimmer là dụng cụ làm sạch thẻ giúp tăng khả năng hoạt
ñộng cho những chiếc thẻ từ. Khi nạn nhân quẹt thẻ vào skimmer là lúc dữ
liệu thẻ bị lấy cắp. Sau ñó kẻ gian lợi dụng thông tin ñể thực hiện các giao dịch thanh toán không cần xuất trình thẻ.
Bàn phím nhập pin giả hoặc thiết bị giả khác
Đây là hình thức dán bàn phím nhập pin giả (pin pad) lên trên bàn phím nhập pin thật. Pin pad giả thường có kích thước và hình dạng bên ngoài giống như
thật, cực mỏng, trong suốt và thật ñến mức gần như những người sử dụng máy ATM không thể nhận ra ñược nên vẫn tiến hành giao dịch một cách bình thường. Thiết bị này sẽ lấy cắp và lưu trữ dữ liệu pin của mỗi giao dịch. Pin pad giả sẽ bị hủy ngay sau ñó. Số pin bị ghi lại sẽñược tải xuống, kết hợp với những chiếc thẻ ATM giả tạo ra từ việc lấy trộm thông tin, kẻ gian sẽ rút tiền của chủ thẻ.
Bẫy tiền
Cách ñơn giản nhất là dán một miếng băng dính thật chắc vào mặt sau cửa thoát tiền ñể chặn những tờ tiền máy thu lại do chủ thẻ chưa nhận. Một cách tinh vi hơn nữa là gắn một thiết bị cơ học có thể chuyển số tiền máy ñưa ra vào một chiếc hộp ñược ngụy trang rất khéo léo. Mặc dù bị mất tiền nhưng chủ thẻ nghĩ rằng máy ATM có thểñang trục trặc và chán nản bỏñi. Sau khi chủ thẻñi, kẻ gian ñến tháo bỏ bẫy hoặc cửa nhả tiền rồi ung dung nhận tiền. Một cách thức khác là tên tội phạm sử dụng một chiếc thẻ thật ñể rút tiền hợp pháp. Khi máy ñưa tiền ra, tên tội phạm sẽ không rút cả xấp tiền, thay vào ñó chúng chừa một khoảng thời gian nhất ñịnh ñể máy ATM thu lại số tiền bị
“bỏ quên” và ghi vào hệ thống là chủ thẻ không nhận tiền. Ngay lập tức chúng lật cửa nhả tiền ra và giật nhanh số tiền ñang bị máy thu lại vào ñúng
thời ñiểm. Tên tội phạm không bị trừ tiền trên tài khoản nhưng vẫn lấy ñược tiền bởi giao dịch ñã bịñảo ngược.
Đảo ngược giao dịch
Hình thức này sử dụng một loạt biến thểñể tạo ra một tình huống gây lỗi trên máy ATM làm cho máy vận hành chủ ñảo chiều giao dịch bởi tiền ñã bị máy ATM thu trở lại, có nhiều hình thức tương tự hình thức bẫy tiền vừa kể trên. Tuy nhiên trên thực tế, một phần số tiền rút ñã bị kẻ gian lấy. Ví dụ: “Kẻ gian nhập lệnh rút 100$, tuy nhiên ngay khi xấp tiền vừa ñược ñưa ra, hắn cẩn thận lấy ra chỉ 60$. Vài giây sau, giao dịch kết thúc và 40$ còn lại ñược máy ATM thu vào. Vì máy ATM không thể ñếm ñược có bao nhiêu tiền thu lại nên trong két tiền bị thiếu 60$ do giao dịch bịñảo ngược toàn bộ”.
Đặt máy ATM giả
Với ngân hàng, việc lắp thêm máy rút tiền tựñộng ñể phục vụ khách hàng rất phức tạp, song với tên trộm lại ñơn giản, chỉ cần ñặt một máy ATM có vẻ bề
ngoài giống hệt máy của ngân hàng, bên trong không có khoang ñựng tiền mà chỉ có thiết bị ñọc dữ liệu trên băng từ của thẻ. Chiếc máy ATM này không nhằm mục ñích lấy cắp tiền ngay mà làm chủ thẻ lầm tưởng rằng máy
ñang gặp sự cố nên gắng sức thực hiện lại các thao tác ñể chiếc máy hoạt
ñộng bình thường trở lại. Đó cũng là lúc tất cả dữ liệu trong thẻ bịñánh cắp. Cùng với thiết bị ñọc này, một chiếc camera bé xíu cũng ñược lắp ñặt ở một vị trí kín ñáo nhằm quay cận cảnh bàn phím khi khách hàng bấm mã số bí mật truy cập tài khoản. Thông tin từ ñầu ñọc giúp bọn tội phạm làm thẻ giả, còn mã số bí mật giúp chúng truy cập vào tài khoản của chủ thẻ ñể lấy cắp tiền.
Ăn cắp thông tin thẻ bằng cách gửi dữ liệu bằng SMS
Kẻ gian sẽ gắn ñầu ñọc thẻ thu dữ liệu, bàn phím giả ghi lại thao tác nhập pin tại máy ATM. Điện thoại di ñộng ñược kết nối với máy tính chạy ứng dụng
ñiều khiển hoạt ñộng của thiết bị ăn cắp, những thông tin thu ñược sẽ gửi về
qua ñường SMS. Nếu cần thiết, kẻ gian có thể thiết lập một cuộc gọi tới thiết bị giả và tải thông tin về, tuy nhiên, nhận tin SMS vẫn là cách tiện lợi hơn. Nói một cách khác, kẻ gian chỉ cần ung dung ngồi ở nhà và ñiều khiển thiết
bịñể lấy cắp thông tin thẻ. Tiếp theo là khâu giải mã thông tin tải về rồi ngay lập tức trải qua một quá trình mã hóa khác ñể ngăn chặn sự kiểm tra của các cơ quan có thẩm quyền. Sau khi mã hóa, những thông tin lấy cắp ñược sẽ ñược ghi vào thẻ trắng và sử dụng số pin có ñược ñể rút tiền.
Dùng máy MP3
Vào ñầu năm 2009, các phương tiện thông tin có ñưa tin, Maxwell Parsons, 41 tuổi, ñã dùng thiết bị MP3 ñể ghi lại dữ liệu ñược truyền từ các máy rút tiền ñặt ở những ñiểm không ñược bảo vệ nghiêm ngặt như quán bar, phòng chơi bowling,... Máy nghe nhạc này thu "giai ñiệu" bấm phím giống như âm thanh phát ra từ máy fax. Dữ liệu sau ñó ñược chuyển thành những con số có thể ñọc ñược thông qua chương trình máy tính ñộc lập hoặc một thiết bị nối rẽ. Sau ñó thẻ giảñược sản xuất và rút tiền của nạn nhân.