Lợi dụng lỗ hổng, nhóm người xấu đã gửi tin nhắn vào chung luồng nội dung với ngân hàng thật nhằm lừa đảo khách hàng. Ảnh: Thúy Hạnh. |
Ngân hàng Nhà nước (NHNN) đã ban hành Thông tư 50 quy định về các yêu cầu bảo đảm an toàn, bảo mật đối với các dịch vụ ngân hàng trực tuyến. Thông tư có hiệu lực từ đầu năm 2025.
Thông tư 50 quy định những tiêu chuẩn mới phù hợp với thực tiễn hoạt động của dịch vụ ngân hàng số và yêu cầu quản lý Nhà nước. Đây cũng là một bước đi quan trọng nhằm nâng cao chất lượng dịch vụ và bảo vệ quyền lợi của khách hàng trong bối cảnh các mối đe dọa an ninh mạng ngày càng gia tăng.
Không được gửi SMS có đường link
Một trong những quy định mới được đề cập tại Thông tư 50 của NHNN là nhà băng không được gửi tin nhắn SMS, thư điện tử cho khách hàng có nội dung chứa đường dẫn liên kết (hyperlink) truy cập các trang tin điện tử, trừ trường hợp theo yêu cầu của khách hàng.
Quy định mới này nhằm phòng chống tội phạm lừa đảo (phishing) khách hàng qua tin nhắn SMS, thư điện tử. Thực tế cho thấy thời gian gần đây, nhiều trường hợp khách hàng gặp tin nhắn lừa đảo xuất hiện chung luồng với tin nhắn brandname ngân hàng, yêu cầu khách hàng truy cập đường link từ đó đánh cắp thông tin tài khoản, dẫn đến rủi ro mất tiền.
Những tin nhắn SMS mang tên ngân hàng này thường được phát sóng qua các trạm BTS giả đến điện thoại người dùng. Do kẻ gian đặt tên trùng thương hiệu, điện thoại sẽ xếp chung vào luồng tin nhắn của ngân hàng, dụ khách truy cập vào các đường link lừa đảo.
Việc yêu cầu nhà băng không gửi tin nhắn, email chứa đường link có thể giúp khách hàng nhận biết được những tin nhắn SMS lừa đảo.
Nhiều khách hàng gặp rủi ro mất tiền, hack thông tin cá nhân vì chiêu thức lừa đảo tin nhắn brandname ngân hàng. Ảnh: NVCC. |
App ngân hàng không được ghi nhớ mật khẩu đăng nhập
Ngoài quy định trên, Thông tư 50 còn có quy định về phần mềm ứng dụng ngân hàng số trong đó yêu cầu các ứng dụng (app) không được có chức năng ghi nhớ mã khóa bí mật (password) truy cập của khách hàng.
Theo ghi nhận, hiện nay đa số app ngân hàng đều đã tắt chức năng ghi nhớ password của khách hàng.
Ngoài ra, đối với khách hàng cá nhân, app ngân hàng số cần có chức năng kiểm tra khách hàng truy cập lần đầu hoặc truy cập trên thiết bị khác. Việc kiểm tra bao gồm khớp đúng SMS OTP hoặc Voice OTP thông qua số điện thoại đã đăng ký hoặc khớp đúng thông tin sinh trắc học.
Thông tư 50 cũng yêu cầu ngân hàng phải đăng ký và quản lý ứng dụng ngân hàng số trên kho ứng dụng chính thức, hướng dẫn khách hàng cài đặt ứng dụng từ nguồn tin cậy.
Đồng thời, app ngân hàng số phải áp dụng các biện pháp bảo mật để ngăn chặn việc chỉnh sửa hoặc can thiệp trái phép vào luồng dữ liệu và có cơ chế phòng chống các hành vi tấn công hoặc can thiệp ứng dụng cài đặt trên thiết bị của khách hàng.
Trước đó, để tăng cường an ninh, an toàn cho khách hàng khi giao dịch ngân hàng trực tuyến, đồng thời phòng chống tội phạm sử dụng công nghệ cao, NHNN cũng đã ban hành Quyết định Quyết định 2345, có hiệu lực từ ngày 1/7.
Trong đó có quy định về xác thực sinh trắc học khi thực hiện giao dịch chuyển tiền trên 10 triệu đồng (hoặc tổng giá trị giao dịch trên 20 triệu đồng/ngày). Bên cạnh đó, khi khách hàng có thay đổi, cài đặt ứng dụng mobile banking trên thiết bị di động mới cũng phải xác thực sinh trắc học.
Theo NHNN, tính đến ngày 1/11, các giao dịch thanh toán theo Quyết định 2345 vẫn diễn ra bình thường, đã có hơn 50 triệu hồ sơ khách hàng được thu thập, đối chiếu thông tin sinh trắc học.
Qua theo dõi số liệu báo cáo của các ngân hàng thương mại, số lượng vụ việc lừa đảo mất tiền của khách hàng cá nhân và số lượng tài khoản khách hàng cá nhân có phát sinh nhận tiền lừa đảo ở các đơn vị đã giảm đáng kể.
Trong đó, số lượng vụ việc khách hàng bị lừa đảo mất tiền từ ngày 1/7 đến ngày 1/11 đã giảm khoảng 67% so với trung bình 6 tháng đầu năm nay.
Số lượng tài khoản nhận tiền lừa đảo trong giai đoạn này cũng giảm khoảng 65%. Đặc biệt tại một số ngân hàng thương mại đã không có phát sinh vụ việc mất tiền, lừa đảo trong thời gian vừa qua.