Bàng hoàng vì tiền trong thẻ tín dụng tự nhiên “bốc hơi”

Các chiêu trò “hack” thẻ

Thanh toán không cần tiếp xúc thông qua thẻ tín dụng, thẻ ghi nợ rất hiệu quả trong thời dịch bệnh. Để tăng cường bảo mật, người dùng phải nhập mã PIN, mã OTP được gửi về số điện thoại đăng ký trên thẻ để giao dịch một số tiền nhất định. Song dù được các tổ chức phát hành thẻ, trung gian khẳng định bảo mật thẻ 2 lớp, công nghệ hiện đại bậc nhất nhưng vẫn xuất hiện nhiều trường hợp thẻ bị "hack", tự động trừ tiền trên thẻ với các giao dịch online. Nếu hạn mức tín dụng cao có thể gây thiệt hại lớn với chủ thẻ.

Nhiều nạn nhân “ngậm đắng nuốt cay” vì mất tiền dù thẻ tín dụng vẫn ở trong ví hay không truy cập vào bất kỳ đường link nào. (Ảnh minh họa: Internet)

Một khách hàng ở Hà Nội chia sẻ chị nhận được hàng loạt tin nhắn trừ tiền trong tài khoản thẻ Vietcombank MasterCard, trong khoảng thời gian từ 1h20 đến 1h35 sáng. Mặc dù thẻ không bị mất và chị cũng không thực hiện giao dịch nào nhưng hơn 20 triệu đồng trong tài khoản đã biến mất. Tất cả giao dịch đều thanh toán cho dịch vụ quảng cáo trên Facebook mà không yêu cầu nhập mã OTP. Chị rất băn khoăn không hiểu vì sao thẻ tín dụng được cất giữ cẩn thận nhưng vẫn bị lộ thông tin.

Một trường hợp khác bị trừ tiền tại thẻ MSB Creditcard do năm ngoái mua một dịch vụ trên Internet và thanh toán bằng thẻ, sau một năm dịch vụ này tự động gia hạn mà không có thông báo với khách hàng, đồng thời trừ tiền trên thẻ cũng không yêu cầu mã OTP. Nguyên nhân được phía ngân hàng giải thích là do người dùng không tắt chức năng gia hạn nên đến hẹn tài khoản sẽ tự động khấu trừ.

Ăn cắp thông tin tại Việt Nam rồi bán ra nước ngoài là phương thức phổ biến đối với thẻ tín dụng. Có chủ thẻ sống tại TP HCM, chưa một lần bước chân đến nước Anh nhưng lại nhận tin nhắn thông báo trừ tiền của ngân hàng với giao dịch mua thực phẩm với giá trị 174 bảng (khoảng 5.7 triệu VND). Tương tự, một khách hàng khác bị thiệt hại 48 triệu VND cho 5 giao dịch được thanh toán online bằng bảng Anh từ tài khoản Visa Debit trong khi thẻ vẫn cất tủ.

Quy trình thanh toán trực tuyến đối với thẻ tín dụng khá sơ sài. Khác với thẻ nội địa, khi sử dụng thẻ tín dụng để thanh toán trực tuyến, hệ thống chỉ yêu cầu nhập họ tên chủ thẻ, số thẻ thời hạn hiệu lực và mã xác thực thẻ (CVV). Tất cả các thông tin này đều được in ở mặt trước và mặt sau của thẻ.

Giám đốc một trung tâm thẻ của ngân hàng cho rằng lộ thông tin có thể xảy ra do vô tình ở nhà hàng, siêu thị. Nếu nhân viên gian lận, khách không để ý, họ có thể copy, chụp lại thông tin in trên thẻ sau đó bán ra nước ngoài. Tại hầu hết các đơn vị chấp nhận thanh toán thẻ ở Việt Nam, nhân viên thu ngân đều tự tay quẹt thẻ thay vì đưa cho chủ thẻ thực hiện. Chưa kể, nhiều chủ thẻ lơ là chủ quan khi đưa thẻ cho nhân viên thu ngân ở ngoài tầm nhìn của mình.

Bị lộ thông tin thẻ tín dụng không phải là chuyện xưa nay hiếm tại Việt Nam cũng như thế giới. Thậm chí, có những website rao bán cả triệu thông tin thẻ của Visa hay Master Card để lấy tiền.

Theo một chuyên gia, có 3 thủ đoạn để hack thẻ hiện nay: Một là, hacker có thể lấy thông tin người dùng bằng cách hack trang web mua sắm, dịch vụ,… nơi khách hàng hay sử dụng thẻ tín dụng thanh toán, khi kẻ gian đã hack trang web thì tất cả thông tin trong web đó sẽ bị lấy đi. Hai là, sử dụng máy quét dữ liệu thẻ (Skimming), hình thức này ở nước ngoài rất phổ biến, nhất là khi tới nhà hàng, khách sạn, trong lúc đưa thẻ thanh toán đã bị đặt thiết bị quét dữ liệu mà người dùng không hay biết. Ba là, kẻ gian đặt máy MP3 tại cây ATM, khi khách hàng thực hiện giao dịch trên ATM, mọi tiếng động gõ phím sẽ được ghi lại và chuyển hóa thành các bộ số chính và mã pin thẻ của khách hàng.

Lỗ hổng về bảo mật mà khách hàng hay gặp phải nhất đó là bị lộ số CVV/CVC2 là mã số bảo mật của thẻ tín dụng dùng trong thanh toán quốc tế, để xác minh quyền sở hữu thẻ của người dùng. Mã CVV/CVC gồm 3 chữ số được in ở phần dưới dải băng đen do ngân hàng phát hành thẻ cấp và quản lý giao dịch mỗi khi người dùng thanh toán hoặc chi tiêu trên thẻ.

Nhiều nạn nhân “ngậm đắng nuốt cay” vì mất tiền dù thẻ tín dụng vẫn ở trong ví hay không truy cập vào bất kỳ đường link nào… Mặc dù họ đã báo khóa thẻ, thông báo cho ngân hàng và trình báo công an nhưng số tiền bị đánh cắp khó có thể thu hồi được.

Cách nào đảm bảo an toàn cho thẻ tín dụng?

Nhằm tăng cường bảo vệ cho các chủ thẻ khi giao dịch trực tuyến, nhiều ngân hàng đã áp dụng phương thức 3D-Secure (3DS). Theo đó, khi thực hiện giao dịch trên các website thương mại điện tử, bên cạnh một số bước xác thực thông thường, ngân hàng sẽ gửi thêm mật khẩu giao dịch một lần (OTP) qua tin nhắn hoặc email để khách hàng nhập và hoàn tất giao dịch.

3DS đảm bảo rằng chỉ có khách hàng, với tư cách là chủ thẻ, sẽ có mật khẩu để hoàn tất giao dịch. 3DS được các tổ chức thẻ quốc tế áp dụng và có tên gọi khác nhau như Safe Key (Amex), Verified by Visa (Visa), Mastercard SecureCode hoặc Master ID check (Mastercard), J-Secure (JCB).

Tuy nhiên, một lãnh đạo ngân hàng cho biết, việc không áp dụng 3DS là do thỏa thuận giữa Visa, MasterCard với các doanh nghiệp cung cấp dịch vụ. Cụ thể, với các doanh nghiệp lớn đã được xác thực danh tính (verified merchant) như Facebook, Google, Apple… các giao dịch đều không đòi hỏi mã OTP. Đây cũng là kẽ hở để nhiều đối tượng lợi dụng lừa đảo.

“Chờ được vạ thì má đã sưng”, để tự bảo vệ tài sản của mình, mỗi người dùng cần lưu ý một số điều sau:

- Dán nhãn che 3 số bí mật sau thẻ (mã số CVV/CVC) hoặc ghi nhớ rồi xóa đi.

- Sử dụng loại thẻ ghi nợ (debit card) thì không nên để quá nhiều tiền trong tài khoản, chỉ khi nào cần thanh toán một món đồ mới gửi tiền vào tài khoản.

- Khi quẹt thẻ, hãy chắc chắn rằng thẻ được bảo mật trước sự quan sát của người khác cũng như không cho người khác mượn thẻ tín dụng cá nhân để thanh toán hoặc đưa thẻ cho nhân viên phục vụ làm giúp.

- Không truy cập vào những đường link lạ, không sử dụng các phần mềm lậu do dễ bị cài phần mềm đánh cắp thông tin tài khoản (malwave).

- Cài đặt các chương trình Antivirus để đảm bảo máy tính sạch, không nhiễm trojan, keylogger, đồng thời cần bật chức năng chống giả mạo (Anti Phising) nhằm đảm bảo an toàn khi truy cập các trang ngân hàng điện tử.

- Sau khi đăng nhập vào các tài khoản ngân hàng, cần đăng xuất ngay và tránh đánh dấu vào tiện ích lưu mật khẩu trên trang.

- Không sử dụng chung một mật khẩu để đăng nhập ngân hàng trực tuyến, mật khẩu thư điện tử và đăng nhập các mạng xã hội.

- Không can thiệp vào hệ điều hành của điện thoại như root máy với Android hay jailbreak với iPhone, những hành vi này làm vô hiệu hóa khả năng bảo mật của máy.

- Hạn chế sử dụng mạng Wi-Fi công cộng để thực hiện giao dịch trên hệ thống ngân hàng điện tử.

- Ngoài ra, khi thực hiện giao dịch thẻ tại ATM, POS phải quan sát khe thẻ trên máy ATM, bảo đảm không có thiết bị lạ và che bàn phím khi nhập số PIN.

Nếu phát hiện tài khoản/thẻ phát sinh những giao dịch gian lận hoặc có vướng mắc, nhanh chóng liên lạc ngay số hotline ngân hàng. Đăng ký dịch vụ thông báo biến động số dư tài khoản nhằm kịp thời phát hiện và giảm thiểu rủi ro liên quan đến các giao dịch bất thường.