- Ngân hàng “bắt tay nhau” chặn tội phạm lừa đảo: Phải đặt mình vào vị trí người bị hại
- Choáng váng: Nhận thẻ ngân hàng chưa đầy 5 phút đã bị lừa hơn 100 triệu đồng trong tài khoản
Ngân hàng Nhà nước Việt Nam (NHNN) đang lấy ý kiến đóng góp đối với Dự thảo Thông tư sửa đổi, bổ sung một số điều của Thông tư số 50/2024/TT-NHNN ngày 31 tháng 10 năm 2024 của Thống đốc NHNN quy định về an toàn, bảo mật cho việc cung cấp dịch vụ trực tuyến trong ngành Ngân hàng.
Theo đó, ngoài bổ sung hoạt động cung ứng dịch vụ tiền di động vào đối tượng áp dụng của Thông tư, NHNN còn dự định bổ sung thêm nhiều quy định để tăng cường an toàn, bảo mật cho các giao dịch ngân hàng điện tử.
Phải có giải pháp chống các hành vi can thiệp trái phép vào ứng dụng
Trong đó, với phần mềm ứng dụng Online Baking, NHNN yêu cầu các tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh quán, tổ chức cung ứng dịch vụ Tiền di động phải đánh giá, dò quét phát hiện lỗ hổng, điểm yếu về mặt kỹ thuật. Đánh giá khả năng phòng, chống các lỗ hổng, điểm yếu, kiểu tấn công bao gồm nhưng không giới hạn:
Đối với phần mềm ứng dụng Online Banking cung cấp qua nền tảng web, phải phòng, chống 10 lỗ hổng phổ biến nhất được công bố bởi tổ chức OWASP (OWASP Top Ten).
Đối với phần mềm ứng dụng Mobile Banking, phải đáp ứng tối thiểu các yêu cầu về an toàn bảo mật ứng dụng di động do tổ chức OWASP công bố (OWASP Mobile Application Security).
NHNN cũng yêu cầu kiểm soát phiên bản cài đặt được phát hành của ứng dụng Mobile Banking định kỳ tối thiểu 02 tháng một lần đánh giá các phiên bản phần mềm ứng dụng đang cho phép khách hàng cài đặt, sử dụng nhằm xác định các lỗ hổng bảo mật và đánh giá khả năng bị can thiệp bởi tội phạm mạng.
Kiểm soát và không cho phép khách hàng sử dụng các phiên bản cũ hơn tối đa không quá 02 phiên bản so với phiên bản mới nhất kết nối tới hệ thống Online Banking để thực hiện giao dịch.
Trong trường hợp khách hàng kích hoạt trên thiết bị mới hoặc kích hoạt lại ứng dụng Mobile Banking, bắt buộc phải cài đặt, sử dụng phiên bản mới nhất.
Đồng thời, các tổ chức phải có giải pháp kiểm soát không cho phép hạ phiên bản (downgrading) xuống sử dụng các phiên bản thấp hơn trong trường hợp này.
Khi phát hiện có lỗ hổng bảo mật phải có biện pháp kiểm tra, không cho thực hiện giao dịch và thực hiện xử lý, khắc phục, cập nhật ngay phiên bản mới.
 |
Các quy định mới được đề xuất nhằm ngăn tội phạm lợi dụng tài khoản ngân hàng để lừa đảo |
Đặc biệt, NHNN cũng yêu cầu các tổ chức trên triển khai các giải pháp nhằm phòng, chống, phát hiện các hành vi can thiệp trái phép vào ứng dụng Mobile Banking đã cài đặt trong thiết bị di động của khách hàng.
Cơ quan quản lý yêu cầu cụ thể như sau: Ứng dụng Mobile Banking phải tự động thoát hoặc dừng hoạt động nếu phát hiện: Có trình gỡ lỗi (debugger) được gắn vào hoặc môi trường có trình gỡ lỗi đang hoạt động; hoặc khi ứng dụng bị chạy trong môi trường giả lập (emulator)/máy ảo/thiết bị giả lập;
Hoặc phát hiện phần mềm ứng dụng bị chèn mã bên ngoài ứng dụng khi đang chạy, thực hiện các hành vi như theo dõi các hàm được chạy, ghi lại log dữ liệu truyền qua các hàm, API.... (hook);
Ứng dụng Mobile Banking cũng phải tự động thoát hoặc dừng hoạt động nếu phát hiện thiết bị đã bị phá khóa (root / jailbreak).
Ngăn doanh nghiệp “ma” thành lập để mua, bán tài khoản
Cùng với đó, NHNN cũng muốn sửa đổi các quy định về việc xác nhận giao dịch điện tử thông qua hệ thống online Banking với mục đích ngăn tội phạm lợi dụng tài khoản doanh nghiệp “ma” để thực hiện hành vi lừa đảo.
Theo đó, đối với giao dịch thanh toán sử dụng tài khoản thanh toán hoặc ví điện tử hoặc giao dịch chuyển tiền từ thẻ ghi nợ, thẻ trả trước định danh, NHNN yêu cầu phải áp dụng Soft OTP/Token OTP loại cơ bản hoặc hai kênh đối với các trường hợp:
Trường hợp 1: Giao dịch của khách hàng tổ chức mới thành lập mà giá trị giao dịch không quá 50 triệu đồng; tổng giá trị giao dịch nạp, rút tiền trong ngày không quá 100 triệu đồng.
Trường hợp 2: Giao dịch của các đối tượng khác mà giá trị giao dịch không quá 1 tỷ đồng, tổng giá trị giao dịch trong ngày không quá 10 tỷ đồng.
Các trường hợp phải đối chiếu khớp đúng thông tin sinh trắc học của người đại diện hợp pháp hoặc cá nhân được người đại diện hợp pháp ủy quyền, kết hợp với Soft OTP/Token OTP loại cơ bản hoặc hai kênh với các giao dịch của khách hàng tổ chức mới thành lập thỏa mãn một trong các trường hợp:
Trường hợp 1: Giá trị giao dịch từ trên 50 triệu đồng cho đến 1 tỷ đồng và tổng giá trị giao dịch trong ngày không quá 10 tỷ đồng.
Trường hợp 2: Giá trị giao dịch không quá 50 triệu đồng nhưng tổng giá trị giao dịch nạp rút tiền trong ngày trên 100 triệu đồng, đồng thời tổng giá trị giao dịch trong ngày không quá 10 tỷ đồng.
Đối với một số trường hợp khác, NHNN yêu cầu hình thức xác thực ở mức độ cao hơn, phải có chữ ký điện tử.
Trong đó, các trường hợp phải áp dụng xác thực Soft OTP/Token OTP loại nâng cao hoặc FIDO, hoặc chữ ký điện tử an toàn gồm các giao dịch giá trị không quá 1 tỷ đồng và tổng giá trị giao dịch trong ngày trên 10 tỷ đồng hoặc trường hợp giá trị giao dịch trên 1 tỷ đồng.
Với trường hợp doanh nghiệp mới thành lập, NHNN yêu cầu khớp đúng thông tin sinh trắc học của người đại diện hợp pháp hoặc cá nhân được người đại diện hợp pháp ủy quyền, kết hợp với Soft OTP/Token OTP loại nâng cao hoặc FIDO hoặc chữ ký điện tử an toàn đối với các trường hợp sau:
Trường hợp 1, giá trị giao dịch không quá 50 triệu đồng nhưng tổng giá trị giao dịch nạp, rút tiền trên 100 triệu đồng và tổng giá trị giao dịch trong ngày trên 10 tỷ đồng.
Trường hợp 2, giao dịch thỏa mãn các điều kiện: Giá trị giao dịch trên 50 triệu đồng cho đến không quá 1 tỷ đồng nhưng tổng giá trị giao dịch trong ngày trên 10 tỷ đồng.
Trường hợp 3, giao dịch trên 1 tỷ đồng.
Theo NHNN, quy định này được đề xuất là căn cứ Công điện số 139/CĐ-TTg (bổ sung quy định áp dụng hình thức đối khớp sinh trắc học để xác nhận giao dịch của khách hàng tổ chức) nhằm ngăn chặn tội phạm thành lập doanh nghiệp “ma” với mục đích bán, cho thuê tài khoản thanh toán.
