- Công an Hà Nội tiếp nhận nhiều đơn trình báo các vụ lừa đảo tinh vi
- Giả danh nhân viên Shopee lừa đảo chiếm đoạt hơn 100 triệu đồng
Lỗ hổng bảo mật của các công ty chứng khoán
Đầu tuần qua, một thông tin khiến nhiều nhà đầu tư “nháo nhác” là việc cơ quan công an phát hiện một số đối tượng đánh cắp thông tin tài khoản chứng khoán với mục đích chiếm đoạt tiền của nhà đầu tư. Cụ thể, Uỷ ban Chứng khoán Nhà nước (UBCKNN) thông tin, qua phối hợp công tác với Phòng An ninh mạng và phòng chống tội phạm sử dụng công nghệ cao (CATP Hà Nội) được biết, hiện có một số đối tượng tìm cách truy cập vào hệ thống công nghệ thông tin của công ty chứng khoán thông qua các lỗ hổng bảo mật. Các đối tượng hiện đã nắm được một số thông tin cụ thể của khách hàng như tên truy cập và mật khẩu đăng nhập, từ đó có thể chiếm quyền sử dụng tài khoản giao dịch chứng khoán của nhà đầu tư để thực hiện giao dịch, chuyển tiền, rút tiền, chiếm đoạt tài sản của khách hàng.
 |
Lĩnh vực tài chính đang trở thành “mồi ngon” của tội phạm công nghệ |
Trước hiện tượng này, UBCKNN đã có công văn gửi các công ty chứng khoán đề nghị rà soát lỗ hổng bảo mật của hệ thống công nghệ thông tin, đặc biệt là hệ thống giao dịch chứng khoán trực tuyến và các hệ thống có kết nối mạng internet để kịp thời khắc phục. Đồng thời, thực hiện cập nhật các bản vá bảo mật của hệ điều hành máy chủ, cơ sở dữ liệu và các thiết bị công nghệ thông tin khác. Kiểm tra lại các quy trình xác thực giao dịch trực tuyến; điều chỉnh hệ thống để các giao dịch chuyển tiền, ứng tiền, thay đổi tài khoản của khách hàng phải xác thực OTP tức thời; Có các hình thức cảnh báo tới nhà đầu tư …
Chia sẻ rõ hơn về thủ đoạn của loại tội phạm mới này, ông Trịnh Hồng Hà - Phó Cục trưởng Cục Công nghệ thông tin (UBCKNN) cho biết, trong vụ việc vừa qua, kẻ xấu đã vượt qua được cả 3 bước bảo mật. Đầu tiên, đó chính là tài khoản và mật khẩu đăng nhập của nhà đầu tư. Thứ hai là mã xác thực OTP. Và cuối cùng hoàn tất chuyển tiền từ tài khoản chứng khoán tới một tài khoản ngân hàng giả mạo. Tin tặc hiện nay có những công cụ rất mạnh để rà quét mật khẩu, mã xác thực và có thủ đoạn để chuyển tiền. “Chúng làm giả tài khoản ngân hàng với tên giống tài khoản chứng khoán và đã thực hiện thành công” - ông Trịnh Hồng Hà nói.
Tiềm ẩn nhiều hậu quả
Phân tích rõ hơn về khả năng chiếm đoạt tiền trong tài khoản nhà đầu tư, một chuyên gia công nghệ của công ty chứng khoán khẳng định, điều này là hoàn toàn có thể. Theo quy định của các công ty chứng khoán thì khi rút tiền từ tài khoản chứng khoán sang tài khoản ngân hàng thì tài khoản ngân hàng nhận tiền phải là tài khoản đã được nhà đầu tư đăng ký. Nếu muốn chuyển sang tài khoản khác thì nhà đầu tư phải đăng ký lại với công ty chứng khoán. Đây là quy định của các công ty chứng khoán nhằm tránh trường hợp nhà đầu tư bị đánh cắp tiền trong tài khoản.
Dù vậy, nếu nhà đầu tư lơ là, không để ý đến tài khoản của mình thì vẫn có khả năng mất tiền. Theo đó, hiện nay, một số công ty chứng khoán cho phép nhà đầu tư thay đổi tài khoản nhận tiền bằng hình thức online. Như vậy, nếu tội phạm biết được số tài khoản/mật khẩu và mã OTP thì hoàn toàn có thể thay đổi được tài khoản nhận tiền, từ đó đánh cắp tiền trong tài khoản khách hàng.
Một số công ty chứng khoán cũng cho phép nhà đầu tư chuyển tiền tới tài khoản của chính nhà đầu tư mở tại tất cả các ngân hàng mà không cần đăng ký trước. Trong trường hợp này, chỉ cần tên người thụ hưởng trùng với tên chủ tài khoản giao dịch chứng khoán là có thể rút tiền. Do đó, đối tượng phạm tội có thể dùng giấy tờ cá nhân giả mở tài khoản giao dịch ngân hàng trùng với tên của chủ tài khoản chứng khoán để chiếm đoạt tiền.
Không chỉ gây tổn hại về tài chính, theo đại diện Cục An toàn thông tin (Bộ TT&TT), việc các tin tặc nắm được một số thông tin của khách hàng còn có thể gây ra nhiều nguy cơ tiềm ẩn lâu dài như: Bị mua bán, trao đổi, nhân bản trên Internet; sử dụng giấy tờ tuỳ thân để vay tiền, giả mạo danh tính để thực hiện hành vi phạm pháp…; bị lợi dụng những thông tin cá nhân để lừa đảo dưới các hình thức như: giả danh cơ quan công an, nhân viên ngân hàng, gọi điện/nhắn tin với thông tin đầy đủ như trên Chứng minh nhân dân nhằm lừa đảo chuyển tiền hoặc yêu cầu cung cấp thông tin cá nhân khác để tấn công sau này. Ngoài ra, đối tượng xấu cũng có thể sử dụng các thông tin cá nhân bị lộ, dùng kỹ thuật dò tìm, thu thập thông tin cá nhân khác để tấn công vào tài khoản ngân hàng, email, mạng xã hội...
Cần nâng cao bảo mật
Theo các chuyên gia, để tránh trở thành “mồi ngon” của tội phạm, cả phía nhà đầu tư, công ty chứng khoán lẫn cơ quan quản lý cần nâng cao bảo mật và cảnh giác. Ông Phạm Lưu Hưng - Phó giám đốc Trung tâm Phân tích và tư vấn đầu tư chứng khoán SSI (SSI Research) cho rằng, ngành tài chính đang phát triển rất mạnh và chúng ta phải chấp nhận thực tế là ngành này đang trở thành “miếng mồi ngon” cho tin tặc tấn công. “Do vậy, các công ty chứng khoán đều phải tự phát triển và kiểm tra hệ thống của mình thay vì chờ tin tặc đến “hack” rồi mới đưa ra các biện pháp. Ở SSI chúng tôi từng đặt ra những trường hợp để “hack” nhau, qua đó tự đào tạo lẫn nhau về rủi ro hacker. Chẳng hạn bản thân tôi từng bị chính IT của SSI “lừa” gửi cho một email về tiêm vaccine mũi thứ 3 và yêu cầu nhấn vào đường link. Qua đó, chúng tôi học được bài học về việc không click vào các đường link lạ” - ông Phạm Lưu Hưng cho biết.
Còn ông Đỗ Thái Hưng - Ciám đốc đầu tư Công ty Finpros cho biết, bản thân Finpros hiện cũng có những hệ thống để kiểm soát các giao dịch chứng khoán, giao dịch tiền và khi có giao dịch bất thường sẽ liên hệ ngay với các công ty chứng khoán. “Chúng tôi luôn có những kết nối với các công ty chứng khoán để đảm bảo không có những giao dịch ngoài ý muốn” - ông nói.
Các chuyên gia bảo mật cho rằng các công ty chứng khoán cần sử dụng các biện pháp xác thực mạnh hơn để bảo vệ thông tin nhà đầu tư. Ông Ngô Tuấn Anh - Phó Chủ tịch phụ trách An ninh mạng của Bkav cho biết: “Xác thực người dùng là một khâu quan trọng trong các hệ thống giao dịch nói chung và giao dịch chứng khoán nói riêng. Hiện nay, có các hình thức xác thực như mật khẩu tĩnh, mật khẩu dùng 1 lần (OTP) và chữ ký số.
Đa phần các công ty chứng khoán tại Việt Nam vẫn sử dụng mật khẩu dùng 1 lần và mật khẩu tĩnh nhiều lớp. Các giải pháp này tồn tại điểm yếu về công nghệ, đó là bị tấn công lừa đảo (Phishing) để đánh cắp thông tin xác thực, từ đó tạo ra các giao dịch giả mạo mà chủ nhân không hề hay biết. Do đó, chuyên gia Bkav khuyến nghị các công ty chứng khoán nên nhanh chóng triển khai, nâng cấp hệ thống giao dịch chứng khoán sử dụng các biện pháp xác thực mạnh hơn, đặc biệt lưu ý sử dụng giải pháp chữ ký số. Đây là giải pháp duy nhất hiện nay đảm bảo đầy đủ yếu tố an toàn, bảo mật và tính pháp lý.
Còn theo Cục An toàn thông tin (Bộ TT&TT), các công ty chứng khoán cần chú trọng hơn vào công tác đánh giá an toàn thông tin. Các đơn vị phải xem việc tự đánh giá và thuê các đơn vị chuyên nghiệp đánh giá là một phần quan trọng trong hoạt động thường xuyên. “Các sàn chứng khoán và công ty chứng khoán phải tuân thủ quy định về bảo đảm an toàn hệ thống thông tin theo cấp độ. Các hệ thống của công ty chứng khoán là cung cấp dịch vụ có điều kiện nên cấp độ tối thiểu là cấp độ 3” - đại diện Cục An toàn thông tin lưu ý.
 |
Trong tuần qua, các công ty chứng khoán cũng đưa ra những cảnh báo bảo mật đối với nhà đầu tư. Theo đó, nhà đầu tư cần lưu ý: Không chia sẻ thông tin tài khoản/mật khẩu/mã OTP cho bất kỳ ai, dưới bất kỳ hoàn cảnh nào, kể cả người xưng là công an, nhân viên công ty chứng khoán; Không cho mượn tài khoản để giao dịch; Không nhờ giao dịch hộ; Không ghi mật khẩu ra giấy hoặc lưu trữ dưới các hình thức không an toàn; Không nên đặt mật khẩu dễ nhớ; Không sử dụng mật khẩu chung với các dịch vụ mạng xã hội khác.
Thường xuyên thay đổi mật khẩu đăng nhập và mật khẩu giao dịch (mã PIN). Không cài đặt các phần mềm không có bản quyền can thiệp vào thiết bị và hệ điều hành; Không nhập mật khẩu đăng nhập/mã OTP trên các trang mạng không rõ nguồn gốc hoặc đường link lạ; Không thực hiện giao dịch trên các thiết bị công cộng tiềm ẩn rủi ro cao, hay lưu thông tin tự động trong đăng nhập online… Không lưu mật khẩu trên máy vi tính, thiết bị di động... Thông báo ngay cho công ty chứng khoán nếu có thông báo thay đổi thông tin tài khoản mà chủ tài khoản không yêu cầu.
