Chặn lừa đảo với tài khoản ngân hàng chính chủ

Tài khoản "rác" tiếp tay lừa đảo trực tuyến​

Cụ thể, theo Thông tư 18 của Ngân hàng Nhà nước (NHNN), từ ngày 1.1.2025, nếu khách hàng không cung cấp dữ liệu sinh trắc học, hoặc dữ liệu qua đối chiếu không khớp thì tài khoản hiện có của khách hàng đó sẽ bị dừng toàn bộ giao dịch trên phương tiện điện tử. Theo NHNN, điều kiện để được cung ứng dịch vụ trên môi trường internet là thông tin phải được xác thực sinh trắc học khớp với Cơ sở dữ liệu quốc gia về dân cư do Bộ Công an đang là đầu mối quản lý, vận hành. Đây là giải pháp để NHNN thực hiện Kế hoạch 2025 quản lý thống nhất trên toàn quốc hệ thống tài khoản, thẻ, ví, đơn vị chấp nhận thanh toán… Trên cơ sở đó hỗ trợ các tổ chức tín dụng làm sạch dữ liệu, ngăn chặn giao dịch có dấu hiệu giả mạo, lừa đảo. Quy định này được xem là động thái quyết liệt nhằm xử lý tài khoản "rác", tài khoản "ma", xác định tài khoản chính chủ.
Bước đi của NHNN là rất cần thiết bởi thực tế thời gian qua xảy ra nhiều vụ lừa đảo chuyển tiền qua tài khoản NH nhưng không đòi lại được bởi đó là tài khoản "rác", ảo. Bộ Công an đã cảnh báo trên địa bàn một số tỉnh, thành phố xuất hiện tình trạng các đối tượng tội phạm dụ dỗ học sinh, sinh viên đã được cấp CCCD mở tài khoản thanh toán rồi chuyển lại cho các đối tượng này sử dụng để lấy tiền công. Đối tượng cung cấp cho học sinh, sinh viên điện thoại gắn sẵn sim để đăng ký mở tài khoản thanh toán và dịch vụ Internet Banking, SMS Banking; sau đó yêu cầu trả lại điện thoại, đồng thời cung cấp thông tin, mật khẩu đăng nhập, mật khẩu xác thực (OTP)… Các nhóm tội phạm cũng thu thập dữ liệu sinh trắc học (khuôn mặt) của người mở tài khoản để xác minh danh tính của khách hàng khi có yêu cầu. Các tài khoản này sau đó thường bị lợi dụng vào các mục đích vi phạm pháp luật như rửa tiền, trốn thuế, lừa đảo chiếm đoạt tài sản, tài trợ khủng bố…

Ngành ngân hàng triển khai các biện pháp truy quét tài khoản “rác”, tài khoản “ma” để chống lừa đảo
ĐÀO NGỌC THẠCH
Kết quả Đánh giá an ninh mạng dành cho người sử dụng cá nhân do Tập đoàn công nghệ Bkav công bố đầu năm nhận định: "Lừa đảo tài chính trực tuyến không có dấu hiệu hạ nhiệt bởi nguồn cơn là tài khoản NH rác". Minh chứng là tỷ lệ người dùng nhận tin nhắn, cuộc gọi lừa đảo liên tục gia tăng. Nếu năm 2022, con số này là 69,6% thì trong năm 2023 là 73%. Lừa đảo tài chính qua mạng bùng nổ, nhằm vào nạn nhân thuộc mọi tầng lớp và sinh sống ở bất cứ đâu. Đáng nói, trong các vụ lừa đảo tài chính, kẻ xấu yêu cầu người dùng chuyển tiền vào tài khoản NH không chính chủ, khiến cơ quan chức năng gặp khó khăn để tìm ra thủ phạm và lấy lại tiền cho nạn nhân. Các chuyên gia của Bkav khẳng định tài khoản NH "rác" là nguồn cơn của nạn lừa đảo tài chính qua mạng tại VN thời gian qua.
Trung tâm Giám sát an toàn không gian mạng quốc gia thống kê có 3 cách để kẻ xấu thu mua tài khoản NH không chính chủ. Đó là mua, thuê tài khoản NH của sinh viên, người thu nhập thấp thiếu hiểu biết; mua chuộc nhân viên NH đánh cắp thông tin tài khoản của khách; thu mua lại của những kẻ xấu khác thông qua các nhóm kín trên mạng xã hội như Telegram; Facebook, Zalo… hoặc các diễn đàn hacker. Thường mỗi tài khoản NH sẽ được giao dịch với mức giá khoảng từ 500.000 đồng đến 3 triệu đồng, hoặc nhiều hơn tùy theo thương hiệu của NH và hạn mức giao dịch.
Trong trường hợp mới nhất mà chúng tôi tiếp cận, tối 6.7, ông T.H (Q.4, TP.HCM) tá hỏa thông báo cho NH vừa bị lừa chuyển khoản 10 triệu đồng từ tài khoản Vietcombank sang Oceanbank. Tuy nhiên, ông thừa nhận rằng "thông báo vậy thôi" chứ thời gian qua trong nhiều vụ mất tiền chuyển khoản thì hầu hết đều bó tay vì các tài khoản NH nhận do bọn lừa đảo mua lại nên sẽ chuyển lòng vòng qua các NH khác để "cắt đuôi". Điều đó cũng cho thấy tội phạm lợi dụng việc mở tài khoản, các tiện ích chuyển khoản nhanh chóng dễ dàng, cũng như quy định NH không được can thiệp vào tài khoản khách hàng… để thực hiện hành vi lừa đảo. "Khách hàng thông báo để phía NH biết những tài khoản "đen" này chuyên dùng để nhận tiền lừa đảo thế nhưng cũng không biết NH có khóa tài khoản này không hay tài khoản vẫn tiếp tục hoạt động để tiếp tục thực hiện lừa đảo và chiếm đoạt tiền của người khác", ông T.H nói.

Quét tài khoản "rác", truy vết tiền lừa đảo​

Như vậy với quy định tại Thông tư 18, thông tin sinh trắc học không chỉ dùng trong trường hợp chuyển khoản mà còn được đưa vào sử dụng để xác định tài khoản chính chủ. Có thể thấy, ngành NH đã siết thêm một vòng bảo mật nữa để bảo vệ tài khoản của khách hàng. Trước đó, từ ngày 1.7, các chủ tài khoản phải cài đặt sinh trắc học khuôn mặt mới có thể thực hiện chuyển khoản từ 10 triệu đồng/lần trở lên hoặc 20 triệu đồng/ngày. Tính đến chiều 5.7, các NH đã đối chiếu, làm sạch 19 triệu tài khoản với CCCD có gắn chip. Con số này chỉ mới hơn 10% số lượng tài khoản NH hiện nay, khoảng 180 triệu tài khoản. Và những người không có nhu cầu chuyển tiền trên 10 triệu cũng không nhất thiết phải cài sinh trắc khuôn mặt. Vì thế, quy định tài khoản NH chính chủ sẽ có độ phủ rộng hơn, bao quát hơn và hiệu quả hơn trong việc phòng chống lừa đảo.

Ngân hàng triển khai ứng dụng sinh trắc học khi mở tài khoản
Đào Ngọc Thạch
Theo một chuyên gia công nghệ, VN là một trong những quốc gia có nạn mua bán tài khoản cao, tình trạng giả mạo giấy tờ để mở tài khoản eKYC, chiếm đoạt tài khoản dựa vào lừa đảo (phishing), gắn backdoor (ATO, account-take-over) rất nhiều. Do vậy việc sử dụng các biện pháp xác thực tăng cường lúc mở tài khoản và bảo vệ các giao dịch có giá trị lớn là hết sức cần thiết và hiệu quả. "Sinh trắc học là một trong những biện pháp chính góp phần bảo vệ tài khoản người dân khi thực hiện các giao dịch có giá trị cao nhằm phòng trừ nạn mua bán tài khoản ở vùng sâu vùng xa, các khu công nghiệp, nạn mạo danh và làm giả giấy tờ định danh cũng như nạn chiếm đoạt tài khoản.
Một số giải pháp xác thực mạnh bao gồm sinh trắc học và smart OTP được mã hóa trên thiết bị điện thoại thông minh có thể bảo vệ tuyệt đối vì đã bao gồm 3 yếu tố rất mạnh để xác thực danh tính con người (Bạn là ai? Bạn có gì? Bạn biết gì?) Ngay cả các rủi ro như công nghệ Deepfake thì kẻ xấu cũng phải chiếm quyền điều khiển được thiết bị, biết được mã pin tạo ra smart OTP và mạo danh sinh trắc học (gương mặt) sống để vượt qua các lớp hàng rào bảo mật khắt khe. Nên có thể, nói lớp xác thực tăng cường sinh trắc học là có giá trị bảo vệ rất cao", vị này giải thích.
Ông Nguyễn Quốc Hùng, Tổng thư ký Hiệp hội NH VN, đồng quan điểm khi nhấn mạnh quy định xác thực sinh trắc học khi chuyển khoản hay mở tài khoản NH trong thời gian tới sẽ làm sạch dữ liệu tài khoản NH. Thực tiễn hiện nay chuyển đổi số đã diễn ra mạnh mẽ và mang lại tiện ích, giao dịch thuận lợi hơn cho người dân, tạo bước chuyển biến, đột phá mới cho ngành NH. Song song đó là tình trạng kẻ gian lợi dụng để lừa đảo, chiếm đoạt thông tin tài khoản, luân chuyển dòng tiền tới mức báo động. Chuyển khoản cũng như mở tài khoản NH yêu cầu xác thực sinh trắc học sẽ hạn chế tài khoản "rác", tài khoản "ma"… cũng như nâng cao hiệu quả truy vết lừa đảo trong thời gian tới.
"Quy định mới không những yêu cầu tài khoản chính chủ mà có nhiều quy định chi tiết từ thực tiễn phát sinh liên quan đến thỏa thuận như giao dịch, phong tỏa tài khoản chính chủ có nghi ngờ gian lận, lừa đảo. Thế nên các NH sẽ phối hợp để xây dựng quy trình xử lý tài khoản, thẻ nhằm phòng chống gian lận, lừa đảo. Mỗi NH sẽ xây dựng quy trình xử lý cụ thể khi xảy ra sự việc lừa đảo cần xử lý như thế nào, hình thức phong tỏa tài sản ra sao. Quy trình này dự kiến sẽ sớm ban hành", ông Hùng thông tin.

Hiệu quả tới đâu?​

Dù vậy ông Nguyễn Quốc Hùng thừa nhận: "Tội phạm luôn manh động, tinh vi, biến hóa mọi thủ đoạn để lừa đảo, thậm chí sử dụng công nghệ bẻ khóa được những giải pháp bảo mật mới nhằm thực hiện hành vi lừa đảo. Vì thế, đây là cuộc chiến lâu dài chứ không chỉ dừng lại ở các giải pháp nói trên".

Ông Ngô Minh Hiếu, chuyên gia bảo mật từ dự án chongluadao.vn, cũng cho rằng những quy định mới ban hành sẽ hạn chế nhiều tình trạng mua bán tài khoản NH, tài khoản "rác", "ma" khá phổ biến thời gian qua. Thế nhưng nó không hoàn toàn làm sạch hết dữ liệu tài khoản NH bởi tội phạm sẽ tìm cách mới để lách quy định. Qua theo dõi trên không gian mạng gần đây, ông Hiếu cho hay đang thấy xuất hiện 2 hình thức. Đó là thuê người Việt ở nước ngoài (các nước lân cận VN) để mở tài khoản NH bằng cách khai báo thông tin trực tuyến qua KYC cho mục đích lừa đảo, rửa tiền.
Thủ đoạn thứ hai là liên kết với nhân viên NH để lấy thông tin khách hàng, kể cả phần sinh trắc học rồi mua lại với giá từ 300.000 - 500.000 đồng mỗi tài khoản. Trong 2 thủ đoạn trên thì thủ đoạn 1 dễ làm hơn, trong trường hợp phát hiện thì chỉ bị khóa tài khoản. Đó là chưa kể sắp tới, tội phạm có thể sử dụng công nghệ AI, Deepfake để qua mặt ứng dụng sinh trắc học tài khoản NH. Chẳng hạn, kẻ gian lấy được dữ liệu thông tin khách hàng, sau đó sử dụng Deepfake để mở tài khoản NH và sử dụng trên ứng dụng NH. Thông tin dữ liệu khớp mà app NH không được đầu tư bảo mật tốt thì vẫn có thể vượt mặt.
Vậy làm thế nào để có thể bảo mật tối đa? Chia sẻ kinh nghiệm ở một số nước, ông Ngô Minh Hiếu thông tin các NH sử dụng hệ thống giám sát để phát hiện những giao dịch bất thường, đáng ngờ từ đó cảnh báo ngay đến khách hàng. Chẳng hạn, mỗi ngày chủ tài khoản đó chỉ giao dịch một hạn mức nhất định khoảng 1 triệu đồng nhưng nay phát sinh giao dịch lên hàng chục, hàng trăm triệu đồng thì nhân viên NH sẽ liên hệ để xác minh có đúng là giao dịch đó do chủ tài khoản thực hiện hay không. Hay trường hợp khác, tài khoản vừa giao dịch tại VN mà 1 - 2 giờ sau đã giao dịch ở nước ngoài; hay cùng một thời điểm, tài khoản thực hiện cả chục giao dịch liên tục… Tất cả những bất thường này sẽ được báo cho chủ tài khoản xác nhận trước khi chuyển đi. Trong trường hợp không phải chủ tài khoản thì NH thực hiện khóa tài khoản tạm thời nhằm đảm bảo cho khách hàng.
Theo ông Ngô Minh Hiếu, trong các yếu tố bảo mật có 3 quy trình cụ thể, đó là quy định hướng dẫn, công nghệ và con người. Ngoài việc đưa ra quy định áp dụng, NH cũng phải đầu tư công nghệ để có thể thực hiện giám sát, phát hiện giao dịch bất thường. Điều quan trọng là các NH cần chia sẻ dữ liệu những tài khoản lừa đảo để khách hàng cảnh giác, từ đó góp phần ngăn chặn lừa đảo, giúp tránh thiệt hại. Cụ thể, khi có danh sách tài khoản "đen", "rác", "ma" chuyên lừa đảo thì chia sẻ cho các NH khác để cảnh báo đến khách hàng khi họ thực hiện chuyển khoản. Đồng thời người dùng cũng cần nâng cao nhận thức về những thủ đoạn lừa đảo để phòng ngừa.

Thẻ NH rút ngoại tệ ở nước ngoài tối đa 30 triệu đồng/ngày​

Theo Thông tư 18/2024 quy định về hoạt động thẻ NH, các tổ chức phát hành thẻ NH thỏa thuận với chủ thẻ về hạn mức thanh toán, hạn mức chuyển khoản, hạn mức rút tiền mặt và các hạn mức khác trong việc sử dụng thẻ theo quy định. Đối với hạn mức rút ngoại tệ tiền mặt tại nước ngoài, một thẻ được rút tối đa tương đương 30 triệu đồng/ngày. Đối với thẻ tín dụng, tổng hạn mức rút tiền mặt tính theo BIN của thẻ tín dụng tối đa là 100 triệu đồng/tháng. Đối với thẻ trả trước, tổ chức phát hành thẻ quy định cụ thể hạn mức số dư, hạn mức nạp thêm tiền vào thẻ và hạn mức giao dịch; đảm bảo số dư tại mọi thời điểm trên một thẻ trả trước vô danh không được quá 5 triệu đồng; tổng hạn mức giao dịch (bao gồm giao dịch rút tiền mặt, giao dịch chuyển khoản, giao dịch thanh toán tiền hàng hóa, dịch vụ) trên một thẻ trả trước định danh không được quá 100 triệu đồng/tháng.

Nếu bị dẫn dụ tự chuyển tiền thì tài khoản chính chủ cũng bó tay​

Thời gian qua, người dân thường hay bị lừa nhất bằng thủ đoạn dẫn dụ nhấp vào đường link có gắn mã độc hoặc tự chuyển tiền cho tội phạm. Những cái này thì dù tài khoản NH có cài sinh trắc học hay chính chủ đi nữa cũng không thể nào ngăn chặn được lừa đảo. Trong trường hợp thiết bị nhiễm mã độc thì toàn bộ thông tin, dữ liệu, kể cả hình ảnh khuôn mặt cũng đều bị thu thập.
Chuyên gia bảo mật Ngô Minh Hiếu