Đến thời điểm này vấn đề an toàn thanh toán trực tuyến vẫn chứa đựng nhiều rủi ro quá, mã bảo mật OTP hiện nay đối với người dân khá quen thuộc trong các giao dịch ngân hàng trực tuyến. Mã bảo mật này thường được gửi về điện thoại cho chính chủ tài khoản. Và đây cũng chính là chìa khóa khiến rất nhiều người dân tin tưởng - nhưng xem phóng sự này hơi choáng - kẻ trộm tiền mà không cần mã OTP
OTP có 2 hình thức SMS hoặc Email do cài đặt, và bọn trộm tiền luôn có những kịch bản hoàn hảo lừa lấy mã OTP để rút tiền trong tài khoản, nôm na thì luôn dụ dỗ truy cập các website giả để nhập username, mật khẩu tài khoản internet banking hay mã xác thực (OTP). Các chiêu thức cơ bản vẫn là giả mạo nhân viên ngân hàng với các kịch bản: Kịch bản 1 - Anh/chị đang có món tiền treo trên hệ thống chờ nhận, hãy cung cấp OTP để nhận tiền; Kịch bản 2 - Anh/chị đã trúng thưởng của ngân hàng, hãy cung cấp OTP để nhận thưởng; ngoài ra còn có chiêu thức giả mạo cơ quan chức năng & giả mạo người thân bạn bè
Hiện nay một số ngân hàng đã cung cấp thêm mã OTP theo phương thức thẻ cứng (thẻ bảo mật RSA hay Token Key) và các App OTP (Smart OTP) .... Lưu ý là cung cấp OTP qua App thay vì qua SMS nhằm giảm chi phí nhiều hơn là vì bảo mật nhé mọi người. Tuy nhiên vấn nạn hiện nay là một số ví điện tử khi liên kết bank thì thanh toán qua ví không đòi OTP nữa, ví dụ như MoMo, Airpay, ViettelPay, SamsungPay, cho thấy an toàn thanh toán trực tuyến cho các nền tảng TMĐT quá nguy hiểm.
Tiếp nữa là truy cập vào các website TMĐT có lưu số thẻ Credit Card/ Debit Card/Prepaid Card nhưng không mã hóa (encrypt), do vậy cũng phải cẩn trọng khi truy cập để thanh toan do nhiều website TMĐT ở Mỹ như Amazone ... không yêu cầu CCV, chỉ yêu cầm cung cấp thông tin mặt trước của thẻ thanh toán là đủ cho họ charge tiền. Do vậy luôn là ưu tiên đầu tiên mấy chỗ thanh toán trung gian qua Paypal, nếu bắt dùng thẻ thanh toán thì dùng thẻ Prepaid Card. Thẻ Credit Card chỉ nên sử dụng khi quá cấp bách (hết tiền) hoặc thuê xe, thuê khách sạn ở nước ngoài.
Lý do các website TMĐT ở Mỹ cực kì dễ dàng về thanh toán thẻ là do muốn tiết kiệm kinh phí và chấp nhận bù đắp rủi ro khi có gian lận xảy ra, nhưng mấu chốt là quy định về thanh toán của VISA và Master card thì hóa ra thứ duy nhất mà hệ thống chấp nhận thẻ kiểm tra là số thẻ còn những thông tin khác như tên chủ thẻ, ngày hết hạn hay CVV là tùy chọn. Có thêm thì tốt, không có cũng chẳng sao.
Mặc dầu trên lý thuyết khi có sự cố xảy ra, quy định thì khi có yêu cầu chargeback thì merchant thường bất lợi hơn so với khách hàng, nhưng thường thì các merchants (cở sở chấp nhận thẻ) lại “ép” khách hàng rằng là họ đã làm đúng hết rồi blah blah... Rất ít khách hàng có hiểu biết khá rõ về vụ thanh toán trực tuyến và thêm vào đó là tính kiên trì chứ không thì vừa mất tiền và vừa bực mình. Đại đa số các trường hợp bị “ăn cắp thông tin thẻ” thì người khách hàng đều ở thế bất lợi vì không rảnh và thiếu kiến thức để “cãi nhau” với mấy merchants, đa phần tặc lưỡi cho qua, vì đa phần trộm thẻ chỉ lấy 30-50$.
Các Issuing Bank (ngân hàng phát hành) ở nước ngoài đều “giúp” khách hàng của mình khá nhiều khi có sự cố và phải thực hiện process chargeback (thủ tục hoàn tiền), do đó khách hàng nước ngoài mới tin tưởng và giao dịch nhiều hơn trên mạng. Dẫn đến các merchant nào cũng muốn “dễ cho khách hàng”, chấp nhận chịu rủi ro refund cao khi có tranh chấp khiếu nại và kết quả là bỏ hết tất các options bảo vệ an ninh bảo mật, ví dụ OTP, CVV hay kiểm tra tên, address/location... thì sẽ còn bị fraud (gian lận) dài dài.
Còn các ngân hàng Việt Nam thường ít đứng về phía khách hàng và cũng thiếu kiến thức/kinh nghiệm để tranh luận thay cho khách hàng khi gặp các case như thế này. Thanh toán điện tử ở Việt Nam chắc còn khó vì ở Việt Nam vẫn còn quá nhiều các trường hợp gian lận mà khách hàng chân chính vẫn là người chịu thiệt thòi nhất, đặc biệt không thể chứng minh được tình ngay lý gian khi kẻ trộm thẻ đang thanh toán từ Việt Nam và chủ thẻ cũng đang ở Việt Nam.
Rảnh mình sẽ bổ sung thêm thông tin các sự cố đã xảy ra và các giải pháp khắc phục khi xảy ra sự cố , giờ out cái đã.
OTP có 2 hình thức SMS hoặc Email do cài đặt, và bọn trộm tiền luôn có những kịch bản hoàn hảo lừa lấy mã OTP để rút tiền trong tài khoản, nôm na thì luôn dụ dỗ truy cập các website giả để nhập username, mật khẩu tài khoản internet banking hay mã xác thực (OTP). Các chiêu thức cơ bản vẫn là giả mạo nhân viên ngân hàng với các kịch bản: Kịch bản 1 - Anh/chị đang có món tiền treo trên hệ thống chờ nhận, hãy cung cấp OTP để nhận tiền; Kịch bản 2 - Anh/chị đã trúng thưởng của ngân hàng, hãy cung cấp OTP để nhận thưởng; ngoài ra còn có chiêu thức giả mạo cơ quan chức năng & giả mạo người thân bạn bè
Hiện nay một số ngân hàng đã cung cấp thêm mã OTP theo phương thức thẻ cứng (thẻ bảo mật RSA hay Token Key) và các App OTP (Smart OTP) .... Lưu ý là cung cấp OTP qua App thay vì qua SMS nhằm giảm chi phí nhiều hơn là vì bảo mật nhé mọi người. Tuy nhiên vấn nạn hiện nay là một số ví điện tử khi liên kết bank thì thanh toán qua ví không đòi OTP nữa, ví dụ như MoMo, Airpay, ViettelPay, SamsungPay, cho thấy an toàn thanh toán trực tuyến cho các nền tảng TMĐT quá nguy hiểm.
Tiếp nữa là truy cập vào các website TMĐT có lưu số thẻ Credit Card/ Debit Card/Prepaid Card nhưng không mã hóa (encrypt), do vậy cũng phải cẩn trọng khi truy cập để thanh toan do nhiều website TMĐT ở Mỹ như Amazone ... không yêu cầu CCV, chỉ yêu cầm cung cấp thông tin mặt trước của thẻ thanh toán là đủ cho họ charge tiền. Do vậy luôn là ưu tiên đầu tiên mấy chỗ thanh toán trung gian qua Paypal, nếu bắt dùng thẻ thanh toán thì dùng thẻ Prepaid Card. Thẻ Credit Card chỉ nên sử dụng khi quá cấp bách (hết tiền) hoặc thuê xe, thuê khách sạn ở nước ngoài.
Lý do các website TMĐT ở Mỹ cực kì dễ dàng về thanh toán thẻ là do muốn tiết kiệm kinh phí và chấp nhận bù đắp rủi ro khi có gian lận xảy ra, nhưng mấu chốt là quy định về thanh toán của VISA và Master card thì hóa ra thứ duy nhất mà hệ thống chấp nhận thẻ kiểm tra là số thẻ còn những thông tin khác như tên chủ thẻ, ngày hết hạn hay CVV là tùy chọn. Có thêm thì tốt, không có cũng chẳng sao.
Mặc dầu trên lý thuyết khi có sự cố xảy ra, quy định thì khi có yêu cầu chargeback thì merchant thường bất lợi hơn so với khách hàng, nhưng thường thì các merchants (cở sở chấp nhận thẻ) lại “ép” khách hàng rằng là họ đã làm đúng hết rồi blah blah... Rất ít khách hàng có hiểu biết khá rõ về vụ thanh toán trực tuyến và thêm vào đó là tính kiên trì chứ không thì vừa mất tiền và vừa bực mình. Đại đa số các trường hợp bị “ăn cắp thông tin thẻ” thì người khách hàng đều ở thế bất lợi vì không rảnh và thiếu kiến thức để “cãi nhau” với mấy merchants, đa phần tặc lưỡi cho qua, vì đa phần trộm thẻ chỉ lấy 30-50$.
Các Issuing Bank (ngân hàng phát hành) ở nước ngoài đều “giúp” khách hàng của mình khá nhiều khi có sự cố và phải thực hiện process chargeback (thủ tục hoàn tiền), do đó khách hàng nước ngoài mới tin tưởng và giao dịch nhiều hơn trên mạng. Dẫn đến các merchant nào cũng muốn “dễ cho khách hàng”, chấp nhận chịu rủi ro refund cao khi có tranh chấp khiếu nại và kết quả là bỏ hết tất các options bảo vệ an ninh bảo mật, ví dụ OTP, CVV hay kiểm tra tên, address/location... thì sẽ còn bị fraud (gian lận) dài dài.
Còn các ngân hàng Việt Nam thường ít đứng về phía khách hàng và cũng thiếu kiến thức/kinh nghiệm để tranh luận thay cho khách hàng khi gặp các case như thế này. Thanh toán điện tử ở Việt Nam chắc còn khó vì ở Việt Nam vẫn còn quá nhiều các trường hợp gian lận mà khách hàng chân chính vẫn là người chịu thiệt thòi nhất, đặc biệt không thể chứng minh được tình ngay lý gian khi kẻ trộm thẻ đang thanh toán từ Việt Nam và chủ thẻ cũng đang ở Việt Nam.
Rảnh mình sẽ bổ sung thêm thông tin các sự cố đã xảy ra và các giải pháp khắc phục khi xảy ra sự cố , giờ out cái đã.