Kiểm soát rủi ro ngay từ “cửa ngõ”

Trong những năm gần đây, các dịch vụ ngân hàng điện tử và Mobile Banking phát triển nhanh, trở thành kênh giao dịch phổ biến đối với khách hàng cá nhân và doanh nghiệp. Nếu trước đây hệ thống công nghệ của ngân hàng là “đích ngắm” chính của các cuộc tấn công, thì hiện nay thiết bị truy cập của người dùng như điện thoại thông minh hay máy tính cá nhân lại trở thành mắt xích dễ bị khai thác. 

Theo các chuyên gia an ninh mạng, tin tặc có thể cài đặt mã độc thông qua ứng dụng giả mạo, đường link lừa đảo hoặc phần mềm can thiệp hệ điều hành. Khi thiết bị bị xâm nhập, đối tượng tấn công có thể theo dõi hoạt động của ứng dụng ngân hàng hoặc chiếm quyền kiểm soát tài khoản. Thông tư 77/2025/TT-NHNN của Ngân hàng Nhà nước về tăng cường an toàn bảo mật trong giao dịch ngân hàng số được ban hành trong bối cảnh đó, yêu cầu các tổ chức tín dụng tăng cường giải pháp kỹ thuật để phát hiện và ngăn chặn nguy cơ gian lận ngay từ thiết bị truy cập.

Theo quy định, ứng dụng ngân hàng phải có khả năng tự động phát hiện thiết bị không đảm bảo an toàn và chủ động dừng hoạt động khi phát hiện rủi ro. Cụ thể, hệ thống sẽ tự động thoát hoặc từ chối truy cập nếu thiết bị có một trong ba dấu hiệu mất an toàn. Thứ nhất là thiết bị đang bật trình gỡ lỗi, chạy trong môi trường giả lập hoặc kích hoạt chế độ Android Debug Bridge cho phép máy tính điều khiển trực tiếp điện thoại. Thứ hai là ứng dụng ngân hàng bị can thiệp trái phép như chèn mã lạ, theo dõi dữ liệu hoặc chỉnh sửa ứng dụng. Thứ ba là thiết bị đã bị phá khóa bảo mật như root đối với Android hoặc jailbreak đối với iOS.

Để tuân thủ quy định mới, nhiều ngân hàng lớn đã đồng loạt thông báo tới khách hàng về việc dừng cung cấp dịch vụ ngân hàng số trên các thiết bị không đáp ứng tiêu chuẩn an toàn. Ngân hàng TMCP Đầu tư và Phát triển Việt Nam (BIDV) cho biết, dịch vụ SmartBanking sẽ dừng hoạt động trên các thiết bị đã bị root, jailbreak hoặc mở khóa bootloader - những trường hợp có nguy cơ cao bị can thiệp hệ thống. Ngân hàng Nông nghiệp và Phát triển Nông thôn Việt Nam (Agribank) cũng thông tin ứng dụng Mobile Banking của ngân hàng sẽ từ chối truy cập đối với các thiết bị không đạt chuẩn bảo mật. Tương tự, Ngân hàng TMCP Xuất Nhập khẩu Việt Nam (Eximbank) cho biết ứng dụng Eximbank EDigi sẽ tự động thoát nếu phát hiện thiết bị bật debugger, chạy giả lập hoặc bị chèn mã trái phép. Việc siết chặt tiêu chuẩn kỹ thuật này được xem như một “hàng rào bảo vệ” nhằm ngăn chặn tin tặc chiếm quyền kiểm soát ứng dụng ngân hàng ngay từ đầu.

Xây dựng hệ sinh thái ngân hàng số an toàn

Bên cạnh việc siết chặt tiêu chuẩn kỹ thuật đối với thiết bị truy cập, nhiều ngân hàng cũng đang triển khai đồng bộ các giải pháp nâng cao an ninh số nhằm tạo ra hệ sinh thái ngân hàng số an toàn hơn cho khách hàng.

Một trong những điểm đáng chú ý của Thông tư 77 là yêu cầu các tổ chức tín dụng triển khai giải pháp phát hiện giả mạo sinh trắc học đạt tiêu chuẩn quốc tế ISO 30107 cấp độ 2. Quy định này được xem là bước nâng chuẩn quan trọng trong hoạt động xác thực người dùng, giúp hạn chế nguy cơ giả mạo dữ liệu sinh trắc học khi thực hiện giao dịch trực tuyến.

Trong thực tế, cùng với sự phát triển của công nghệ trí tuệ nhân tạo (AI), các hình thức giả mạo khuôn mặt, video hoặc dữ liệu sinh trắc học ngày càng tinh vi. Vì vậy, việc áp dụng các tiêu chuẩn nhận diện sinh trắc học ở mức cao hơn được kỳ vọng sẽ giúp các ngân hàng tăng khả năng phát hiện và ngăn chặn các hành vi gian lận.

Song song với đó, nhiều ngân hàng đang tiếp tục đầu tư nâng cấp các nền tảng ngân hàng số theo hướng tích hợp nhiều lớp bảo mật. Các công nghệ như mã hóa dữ liệu, xác thực đa yếu tố, giám sát giao dịch theo thời gian thực và hệ thống cảnh báo bất thường đang được áp dụng rộng rãi nhằm phát hiện sớm các dấu hiệu gian lận.

Tại Ngân hàng TMCP Việt Nam Thịnh Vượng (VPBank), bảo mật được xác định là một trong những cấu phần cốt lõi trong quá trình phát triển ngân hàng số. Theo đại diện ngân hàng, việc triển khai các yêu cầu của Thông tư 77 không chỉ nhằm đáp ứng quy định pháp lý mà còn nằm trong chiến lược dài hạn xây dựng hệ sinh thái tài chính số an toàn, minh bạch cho cả khách hàng cá nhân và doanh nghiệp.

Các nền tảng ngân hàng số của VPBank hiện được thiết kế theo hướng tăng cường nhiều lớp bảo vệ, từ xác thực sinh trắc học, mã hóa dữ liệu cho đến hệ thống giám sát giao dịch theo thời gian thực và cảnh báo bất thường. Cách tiếp cận này giúp ngân hàng kiểm soát rủi ro trong toàn bộ vòng đời giao dịch, từ khâu truy cập, xác thực đến quá trình thực hiện và hoàn tất giao dịch. Trong khi đó, Ngân hàng TMCP Sài Gòn - Hà Nội (SHB) cũng tiếp tục nâng cấp giải pháp bảo vệ ứng dụng ngân hàng điện tử SShield trên nền tảng SHB SAHA.

Theo đại diện ngân hàng, SShield được thiết kế nhằm phát hiện các hành vi can thiệp trái phép vào ứng dụng ngân hàng, qua đó nâng cao mức độ an toàn cho các giao dịch trực tuyến. Song song với đó, khách hàng cũng được khuyến nghị thường xuyên cập nhật ứng dụng ngân hàng từ các cửa hàng ứng dụng chính thức, kiểm tra trạng thái bảo mật của thiết bị và tránh cài đặt phần mềm từ các nguồn không xác thực.

Ngoài ra, người dùng cần cảnh giác với các hình thức lừa đảo phổ biến như giả mạo tin nhắn ngân hàng, đường link lừa đảo hoặc yêu cầu cung cấp thông tin đăng nhập và mã OTP.