Bí kíp bảo vệ tài khoản ngân hàng online

Trước tiên, phần hướng dẫn tổng quan này dành cho những người thật sự quan tâm đến việc hiểu rõ những nguy cơ khi sử dụng ngân hàng trực tuyến (online banking) hay ngân hàng di động (mobile banking), kèm theo các bước bảo vệ hợp lý, ngăn chặn hầu hết những cách thức tội phạm mạng có thể “chôm tiền” trong tài khoản ngân hàng hay tài khoản thẻ của bạn.

Phần lớn người dùng còn thờ ơ thông tin tài khoản ngân hàng, thẻ thanh toán giao dịch qua mạng. Đợi đến khi “mất bò mới lo làm chuồng” thì đã muộn! Sau đây, mình sẽ chia sẻ với các bạn cách để phòng tránh những rủi ro có thể gặp phải khi dùng online banking.

1. Đăng ký nhận thông báo qua email và SMS

Hầu hết các ngân hàng tại Việt Nam đều cung cấp cho khách hàng lựa chọn nhận thông báo giao dịch tài khoản hay giao dịch thẻ qua email và SMS đến số điện thoại đăng ký. Các lựa chọn này thường có khoản phí nhỏ trung bình 10.000 VNĐ/tháng, nhưng lại hay bị bỏ qua. Đây là quyết định sai lầm!

Người dùng nên chọn đăng ký nhận thông báo giao dịch qua cả email và tin nhắn SMS. Theo đó, có thể nắm bắt ngay những giao dịch bất thường từ tài khoản của mình để liên hệ ngân hàng xử lý kịp thời.

bell-1024-resize-1471019353

Tính năng thông báo giao dịch này đã từng “cứu nguy” cho thẻ tín dụng (credit card) của rất nhiều người khi bị dùng trộm. Ngay khi nhận được thông báo SMS cho những giao dịch bất thường này, các bạn có thể liên hệ bộ phận hỗ trợ ngân hàng khóa thẻ, và làm thư khiếu nại để ngân hàng xử lý, đóng băng số tiền giao dịch và hoàn trả.

Các ngân hàng không gửi email kèm đường dẫn / liên kết (link) yêu cầu nhập tài khoản và mật khẩu (password). Tuyệt đối không cung cấp các thông tin bao gồm số thẻ, ngày hết hạn (hiệu lực thẻ), mã số bảo vệ (cvv) in trên mặt sau thẻ, mật khẩu giao dịch ngân hàng trực tuyến, mã PIN cho người khác, kể cả nhân viên ngân hàng, hay các chương trình khuyến mãi qua điện thoại yêu cầu cung cấp thông tin thẻ

2. Đặt mật khẩu cho thẻ quốc tế (credit, debit).

Các loại thẻ thanh toán quốc tế VISA, MasterCard, American Express, JCB… không còn xa lạ với người tiêu dùng tại Việt Nam. Phổ biến là loại thẻ tín dụng (credit card) xài trước trả sau, và thẻ ghi nợ (debit card) có bao nhiêu trong tài khoản thì xài bấy nhiêu.

Người dùng nên hỏi ngân hàng cung cấp thẻ về dịch vụ đăng ký VBV (Verified by VISA) cho thẻ VISA, và MSC (MasterCard SecureCode) của MasterCard.

Về cơ bản, đây là chương trình an ninh do VISA và MasterCard cung cấp nhằm đảm bảo chính chủ thẻ hợp pháp đã thực hiện giao dịch thẻ tín dụng hay thẻ ghi nợ. VBV hoặc MSC (tùy người dùng sử dụng loại thẻ Visa hay MasterCard) sẽ yêu cầu nhập một Mật khẩu (Password) vào khâu cuối cùng của giao dịch để hoàn tất thanh toán, và nếu nhập sai, giao dịch sẽ không hoàn tất thành công.

3. Tạo mã xác thực OTP

Người dùng cá nhân có tài khoản ngân hàng lớn giao dịch qua mạng thường xuyên nên đăng ký nhận mã xác thực giao dịch OTP vào một số điện thoại thứ hai, dùng trên một điện thoại di động “cùi bắp” không phải smartphone. Nghe có vẻ kỳ lạ, nhưng thực chất đây là một lưu ý quan trọng và hữu ích.

Đăng ký số điện thoại di động thứ hai (chỉ dùng nhận OTP), không phải số thuê bao bạn đang dùng thường xuyên khiến tội phạm mạng không thể biết dù đã đưa bạn vào tầm ngắm. Chúng không thể “hack” được điện thoại di động “cùi bắp” từ xa dễ dàng như smartphone, không thể biết số di động nhận mã OTP giao dịch để lấy. Hai yếu tố phòng tránh có chút bất tiện nhưng rất hiệu quả.

Một lựa chọn khác, có thể đăng ký (tốn phí) thiết bị OTP Token được các ngân hàng cung cấp khi khách hàng có yêu cầu. Mỗi khi giao dịch, bạn cần nhập mã OTP Token từ thiết bị xuất ra thay vì do hệ thống của ngân hàng gửi đến email hoặc SMS. Các ngân hàng còn có một lựa chọn nữa là Thẻ xác thực (Token Card) nhưng thường bị bỏ qua vì không tiện dụng.

tokenssss-resize-1471020143

Giới chuyên gia bảo mật đều mong muốn các ngân hàng sớm đưa vào áp dụng chữ ký số thay thế cho các phương thức xác thực trên, an toàn ngay cả khi thuê bao di động chủ tài khoản đó bị cướp SIM.

4. Chỉ dùng trên thiết bị “sạch”

“Thiết bị sạch” là yếu tố rất quan trọng mà bất kỳ người dùng ngân hàng trực tuyến trên PC hay di động (mobile) đều cần lưu tâm. Đăng nhập vào tài khoản ngân hàng trên một thiết bị nhiễm mã độc, không khác gì tự tay dâng thông tin cho kẻ xấu.

Với Máy tính cá nhân: hạn chế tối đa đăng nhập tài khoản ngân hàng online từ các máy tính công cộng như thư viện, sân bay hay ở dịch vụ Internet. Thông tin tài khoản dễ dàng rơi vào tay kẻ xấu.

email-hack-img-1471019352

Máy tính cá nhân phải có cài đặt các chương trình bảo vệ gồm tường lửa (firewall), anti-virus, cùng những quy tắc Bảo mật cho PC khác như cập nhật bản vá lỗi cho hệ điều hành, không lướt web thường xuyên (dễ nhiễm mã độc)…

Với Thiết bị di động (smartphone và tablet): người dùng thường có tâm lý bất cẩn khi sử dụng trên smartphone hay tablet vốn không được bảo vệ kỹ càng. Một số quy tắc cơ bản sau có thể phần nào hạn chế nguy cơ:

  • Không đăng nhập tài khoản ngân hàng trên smartphone “bẻ khóa” (jailbreak).
  • Chỉ tải ứng dụng mobile banking do chính ngân hàng đó cung cấp qua các chợ ứng dụng chính thức như Google Play, Apple App Store, thường xuyên cập nhật phiên bản mới nhất từ ngân hàng cung cấp.
  • Không kết nối tài khoản ngân hàng với các ứng dụng bên thứ ba. Chỉ dùng khi thật sự hiểu rõ cơ chế bảo vệ thông tin và dữ liệu của ứng dụng đó.
  • Không tải nhiều ứng dụng, trò chơi trên smartphone thường xuyên giao dịch ngân hàng online. Các lỗ hổng từ ứng dụng khác, hay chính các ứng dụng gây hại có thể là bước đệm cho tội phạm mạng cướp tài khoản mobile banking của bạn.

mobile-banking-1471019353

Ở cả hai trường hợp, nếu đăng nhập tài khoản bằng trình duyệt web, cần gõ đúng địa chỉ website ngân hàng trực tuyến với ký tự nhận dạng HTTPS phía trước địa chỉ. Ví dụ: HTTPS://NGANHANG… phòng tránh các website giả mạo.

5. Trứng để vào… nhiều rổ

Các chuyên gia đều khuyên người dùng thường xuyên giao dịch trên mạng nên tạo một tài khoản phụ và chỉ dùng tài khoản này hay thẻ thanh toán đăng ký từ tài khoản này để giao dịch, mua sắm.

Người dùng cần đăng ký các hạn mức giao dịch cho tài khoản phụ, luôn cho chúng ở mức thấp. Ví dụ không giao dịch quá 10 triệu đồng/ngày, hay trong tài khoản có bao nhiêu tiền thì được dùng bấy nhiêu (khi cần giao dịch thì chuyển tiền vừa đủ vào trước).

Thẻ Platinum hay Infinity luôn “ngầu hết cỡ” nhưng hãy nghĩ đến thông tin thẻ rơi vào tay kẻ xấu và chúng có thể “quẹt thẻ” thoải mái với hạn mức vô hạn

6. Mua sắm qua di động, mua trên mạng

Về cơ bản, người tiêu dùng nên lựa chọn các website bán hàng hay cung cấp dịch vụ trực tuyến có hỗ trợ các dịch vụ thanh toán trung gian như Paypal hay các kênh uy tín như CleverBridge.

Paypal được tin dùng toàn cầu và được phần lớn website thương mại điện tử đưa vào như là một lựa chọn khâu thanh toán. Người dùng thông qua Paypal trả tiền cho nơi bán. Nếu giao dịch bất ổn về hàng hóa, lừa đảo… thì Paypal theo chính sách dịch vụ có thể hoàn trả số tiền giao dịch.

mobil-bankacilik1410291872-resize-1471019353

Nạp số thẻ credit hay thẻ debit trực tiếp trên các website luôn mang nhiều nguy cơ mất thông tin thẻ. Có thể bị hack từ chính thiết bị bạn đang dùng, hoặc hacker tấn công thẳng vào website lưu trữ thông tin giao dịch thẻ.

7. Quẹt thẻ cẩn trọng

Không chỉ “lên mạng” mà khi quẹt thẻ ở cửa hàng, trung tâm mua sắm, nhà hàng hay quán cà phê, thông tin thẻ cũng có thể bị mất từ hai nguy cơ: mã độc lây nhiễm trong máy POS, và kẻ xấu tiếp cận trực tiếp thông tin thẻ.

card-hacking-pos-resize-1471019781

Nguy cơ thứ hai đến từ việc đưa thẻ cho nhân viên đi quẹt thẻ thanh toán. Giới chuyên gia khuyến cáo bạn nên trực tiếp đến nơi quẹt thẻ, và thậm chí cần che dãy số thẻ và số cvv bằng keo mỏng, chỉ để lộ lớp từ để quẹt vào máy.

Tuy nhiên trong thực tế, hầu hết chúng ta đều buộc lòng giao phó cho… đạo đức của người phục vụ. Họ có thể chỉ cần 2-3 giây chụp hình toàn bộ thông tin thẻ mặt trước và mặt sau bằng smartphone, hoặc một kẻ xấu khác ở quanh khu vực quẹt thẻ có thể chộp lấy thông tin này.

Từ những cảnh báo trên, ta có thể thấy rõ có nhiều nguy cơ tồn tại khi giao dịch tài khoản trên mạng. Cần có kiến thức và chịu khó tập làm quen với các bước bảo vệ để hạn chế tối đa những nguy cơ kẻ xấu và tin tặc có thể “bốc hơi” tiền trong tài khoản.

Ban biên tập