Muốn sử dụng dịch vụ thanh toán trực tuyến trên các cổng để đặt vé máy bay, vé xem phim, mua hàng hóa, thanh toán cước viễn thông... bất kỳ thời điểm nào mà không phải sử dụng tiền mặt, khách hàng phải mở tài khoản và đăng ký số điện thoại di động của mình với ngân hàng.
Quy trình mua hàng qua mạng, được giới thiệu trên một cổng thanh toán trực tuyến tại Việt Nam.
Trên cổng bán hàng, khi thực hiện các dịch vụ thanh toán trực tuyến, người dùng sẽ tự nhập thông tin cá nhân cần thiết, thông tin mã số thẻ. Hệ thống ngân hàng sẽ tự động kiểm tra thông tin từ cổng gửi đến, nếu khớp sẽ gửi mã xác thực giao dịch (One Time Password – OTP) đến số điện thoại di động mà khách hàng đã đăng ký với ngân hàng. Nhập mật khẩu này xong, giao dịch được hoàn tất. Khách hàng không cần nhập thêm ID và mật khẩu người dùng như khi sử dụng Internet Banking.
Từ vụ việc một thuê bao Viettel ở TP HCM, vừa khiếu nại bị kẻ gian "cướp" sim rồi truy cập vào tài khoản ngân hàng trộm tiền, một chuyên gia về thanh toán online cho rằng có hai nguyên nhân chính. Thứ nhất, kẻ gian đã lợi dụng người dùng thiếu cảnh giác, không bảo mật các thông tin cá nhân quan trọng như số thẻ tín dụng, số thẻ ATM, số chứng minh thư nhân dân… Trong trường hợp này, kẻ gian đã cung cấp được một bản sao công chứng chứng minh thư của người dùng, chỉ sai khác duy nhất thông tin về ngày cấp.
Thứ hai, họ đã lợi dụng quy trình cấp lại sim tại công ty viễn thông. Với Viettel và VMS, việc xác thực người dùng thuê bao trả trước dựa trên xuất trình CMND bản gốc hoặc bản sao công chứng CMND và 5 -10 số điện thoại liên hệ nhiều nhất. Do vậy, kẻ gian với ý đồ lợi dụng có thể dùng các sim khuyến mãi để gọi đến số điện thoại của khách hàng trong một thời gian. Sau đó, trên cơ sở các thông tin đã thu thập được của người dùng, kẻ gian làm giả thông tin và yêu cầu nhà mạng cấp lại sim điện thoại cho mình để trục lợi.
Ý kiến phía ngân hàng
Đại diện Maritime Bank - nơi anh Đặng Thanh Hải mở tài khoản cũng cho rằng, nguyên nhân là khách hàng đã bị kẻ gian lợi dụng các thông tin cá nhân và sơ hở trong việc cấp lại sim điện thoại của công ty viễn thông để lấy mã xác thực giao dịch thanh toán trực tuyến qua điện thoại. Maritime Bank cho biết sẵn sàng phối hợp với cơ quan chức năng để làm rõ vụ việc, đặc biệt là nơi đã cấp lại sim điện thoại cho người không chính chủ dẫn đến rủi ro, thiệt hại cho khách hang.
Đại diện Maritime Bank cũng lưu ý khách hàng cần chú trọng bảo vệ, bảo mật các thông tin thẻ, thông tin cá nhân bao gồm cả mật khẩu truy cập không chỉ riêng đối với mật khẩu truy cập hệ thống Internet banking mà ngay cả với mật khẩu truy cập email của mình; không cung cấp cho bất kỳ ai OTP; không cho ai mượn thẻ.
Ý kiến các hãng viễn thông
Đại diện Vinaphone cho rằng quy trình cấp sim số của mình hiện nay đã chặt chẽ, đáp ứng được yêu cầu về mặt an ninh. Các bước cần thiết đều được thực hiện sát sao theo quy định bởi lượng người thay sim, mất sim là rất lớn, tùy theo thuê bao là trả trước hay trả sau mà có yêu cầu khai báo thông tin khác nhau, kèm với đó là một số câu hỏi liên quan đến tài khoản của thuê bao mà chỉ chính chủ sim mới biết.
Đại diện Mobifone cũng khẳng định phải là chính chủ thuê bao mới được duyệt cấp lại sim đã mất, nếu bị hỏng phải mang được xác sim tới cửa hàng, xuất trình đầy đủ giấy tờ và thông tin trùng với đăng ký và trên hệ thống. Nhà mạng cho biết thêm, việc gọi điện cho thuê bao để xác minh trước khi cấp sim không kiểm soát được người nghe nên không thực hiện và việc cấp lại theo nguyên tắc chính chủ và tại chỗ sẽ tránh được kẻ gian lợi dụng.
Các nhà mạng đều khuyến cáo thuê bao của mình đăng ký đầy đủ và chính xác thông tin chủ thuê bao, đặc biệt là thuê bao trả trước. Trong trường hợp mất sim hay xảy ra tình huống cần liên hệ ngay với tổng đài chăm sóc để được hỗ trợ và thông tin cá nhân, thiết bị di động cần phải được người sử dụng bảo vệ và quản lý cho an toàn hơn.
Viettel khẳng định, dù hết giờ làm việc nhưng tại các chi nhánh, đại lý, tổng đài chăm sóc vẫn hoạt động, khách hàng hoàn toàn có thể yêu cầu cắt số bằng việc cung cấp các thông tin cá nhân cần thiết theo yêu cầu của tổng đài viên.
Các ý kiến bình luận về sự kiện này phần lớn đặt vấn đề về quy trình cấp lại sim của Viettel, khi mà thuê bao đang hoạt động bình thường bỗng nhiên bị mất số. Nhưng không ít cho rằng quy trình thanh toán online vẫn cần làm chặt hơn, nhất là với các dịch vụ nằm ngoài kiểm soát của ngân hàng.
Lãnh đạo một ngân hàng đi đầu về thẻ thanh toán thừa nhận thanh toán hàng hóa, dịch vụ qua mạng hiện nay vẫn còn nhiều rủi ro, kể cả khi dùng thẻ quốc tế hay nội địa. Với thẻ tín dụng quốc tế, nhiều ngân hàng Việt Nam hầu như không khuyến khích chủ thẻ thanh toán mua hàng online. Vì thế, cách đây 5-6 năm, các ngân hàng thường mặc định khóa dịch vụ, khi khách có nhu cầu sử dụng phải đến tận quầy giao dịch yêu cầu mở chức năng này. Và thông thường, ngân hàng khuyến cáo khách chỉ mở trong thời gian ngắn một hoặc hai ngày, sau đó khóa lại. Nếu hết thời gian yêu cầu sử dụng mà khách chưa khóa thì ngân hàng cũng chủ động khóa chức năng này để hạn chế rủi ro.Khi quản lý chặt chẽ như vậy, lượng giao dịch giảm phần nào nhưng tình trạng bị lợi dụng để ăn cắp tài khoản từ thẻ tín dụng giảm đáng kể.
Dịch vụ thánh toán online thông qua thẻ ghi nợ nội địa (thẻ ATM) mới được các ngân hàng triển khai gần đây và cũng lựa chọn rất kỹ đối tác chấp nhận thanh toán. Một số cổng đang được triển khai dịch vụ này là Ngân Lượng, OnePay, SmartLink, VnPay…
Với dịch vụ Internet Banking của chính ngân hàng, khách muốn giao dịch phải qua nhiều lớp bảo mật, mà trước hết phải truy cập bằng tài khoản và mật khẩu cấp riêng tại quầy cho chủ thẻ mới có thể tiến hành các giao dịch tiếp theo. Với việc thanh toán trên các website bán hàng trực tuyến, khách hàng chỉ cần nhập tên của mình, mã số thẻ và chờ nhận OTP để hoàn tất giao dịch.
Trong giao dịch này, phía ngân hàng không còn chủ động được như khi khách giao dịch thông qua Internet Banking của ngân hàng. Bởi toàn bộ giao dịch sẽ do website của đơn vị bán hàng kiểm soát. Ngân hàng chỉ nhận lệnh từ cổng bán hàng, xác thực thông tin chủ thẻ và đưa ra phản hồi có chấp nhận giao dịch thanh toán tiền hay không. Bản thân các ngân hàng cũng thấy quy trình này còn hơi thoáng nhưng chưa thể tìm ra giải pháp nào hiệu quả hơn để khuyến cáo các trang website bán hàng tăng tính bảo mật, ngoại trừ việc chủ thẻ phải tự bảo mật thông tin cá nhân của mình
Về sự cố của khách hàng tại TP. Hồ Chí Minh, một chuyên gia cho rằng mấu chốt vấn đề nằm ở việc để lộ các thông tin cá nhân ra ngoài. Có thể kẻ gian đã có kế hoạch từ trước và phải nắm được những thông tin quan trọng như chứng minh thư, tài khoản ngân hàng, phương thức giao dịch... trước khi tính đến chuyện lấy sim và sim là chìa khóa cuối cùng để thực hiện thành công mục đích.
Sự việc này, công ty cung cấp dịch vụ viễn thông cho biết trong ngày 17/7 đã làm việc cùng với cơ quan chức năng và nạn nhân để làm rõ vấn đề.
Thanh tra Sở Thông tin Truyền thông TP HCM cho biết cơ quan đang có kế hoạch kiểm tra các nhà mạng trên địa bàn và ngay trong tháng này việc cấp sim, quy trình cấp sim của các nhà mạng sẽ bị rà soát gắt gao và cho rằng: Trong vụ việc liên quan đến mất số, mất luôn tiền thì có thể thấy người tiêu dùng là người bị động và trên nguyên tắc họ phải được bảo vệ nếu chứng minh được mình là 'chính chủ' của số đó thì nhà mạng phải có trách nhiệm về việc cấp và thu hồi số. Tuy nhiên, cần phải xác minh, tìm hiểu kỹ.
Liên quan đến an ninh thông tin trong thanh toán trực tuyến, báo cáo mới nhất của Kaspersky Lab cuối tháng 6 cho thấy Việt Nam là quốc gia có tỷ lệ người dùng bị lừa đảo trực tuyến tăng cao nhất thế giới. Cụ thể, các cuộc tấn công lừa đảo trực tuyến tại Việt Nam tăng đến 160% so với năm trước.