Hình thức thanh toán không tiếp xúc (tap-to-pay) đang ngày càng phổ biến, nhưng đi kèm với đó là sự xuất hiện của các phương thức gian lận công nghệ cao tinh vi. Thời gian gần đây, nhiều ngân hàng tại Việt Nam đã đưa ra cảnh báo về thủ đoạn lừa đảo được gọi là "chuyển tiếp token" (token relay) hay "ghost tapping". Hình thức này có thể khiến người dùng bị mất tiền hoặc phát sinh các giao dịch trái phép ngay cả khi thẻ vật lý vẫn nằm trong ví.
Thủ đoạn mới tinh vi
Kịch bản lừa đảo thường bắt đầu bằng việc kẻ gian giả danh nhân viên ngân hàng hoặc cơ quan chức năng, gửi đường link, mã QR độc hại nhằm dụ nạn nhân cung cấp thông tin thẻ như số thẻ, ngày hết hạn, mã bảo mật CVV/CVC cùng mã xác thực OTP. Sau khi có được các dữ liệu này, đối tượng có thể liên kết thẻ của nạn nhân với các dịch vụ thanh toán số như Apple Pay, Google Pay hoặc Samsung Wallet trên thiết bị do chúng kiểm soát. Quá trình này tạo ra một mã định danh thanh toán số hóa (payment token) được sử dụng thay cho thông tin thẻ thật trong các giao dịch không tiếp xúc. Từ thời điểm đó, thiết bị của kẻ gian có thể thực hiện các giao dịch thanh toán tại máy POS tương tự như chủ thẻ.
Trong một số trường hợp, đối tượng có thể liên kết cùng một thẻ với nhiều thiết bị khác nhau nếu vượt qua được các bước xác thực cần thiết, từ đó gia tăng số lượng giao dịch gian lận trong thời gian ngắn nhằm nhanh chóng tẩu tán tài sản. Vì thẻ vật lý vẫn nằm trong ví, nhiều người không nhận ra thông tin thẻ đã bị lộ hoặc đã bị liên kết trái phép với một thiết bị khác cho đến khi nhận được thông báo giao dịch hoặc phát hiện tài khoản bị trừ tiền.
Cần thiết lập xác thực sinh trắc học khi thêm thẻ
Chuyên gia an ninh mạng Ngô Minh Hiếu (Dự án Chống lừa đảo) cho biết: "Bản chất của vụ việc không phải là Apple Pay, Google Pay hay Samsung Wallet bị 'hack', mà là kẻ gian chiếm được thông tin thẻ và mã OTP để đăng ký thẻ của nạn nhân lên thiết bị của chúng. Khi thẻ đã được liên kết thành công, ngân hàng sẽ cấp một token thanh toán cho thiết bị đó. Từ thời điểm này, kẻ gian có thể dùng điện thoại của chúng để thanh toán không tiếp xúc, dù thẻ vật lý vẫn nằm trong ví của nạn nhân. Điểm nguy hiểm là OTP mà nạn nhân cung cấp thực chất không phải để 'xác minh tài khoản' như lời kẻ gian nói, mà là mã xác nhận cho hành động thêm thẻ vào ví số. Vì vậy, hệ thống có thể hiểu đây là yêu cầu hợp lệ từ chủ thẻ".
Theo ông Hiếu, mã OTP qua SMS là chưa đủ cho những thao tác nhạy cảm như thêm thẻ vào ví số. Ngân hàng nên chuyển sang xác thực trong ứng dụng ngân hàng chính chủ, kèm sinh trắc học, thông tin rõ ràng về thiết bị đang được thêm thẻ, loại ví, thời gian, vị trí tương đối và cảnh báo nổi bật: "Bạn đang thêm thẻ vào Apple Pay/Google Pay trên một thiết bị mới". Với trường hợp rủi ro cao, cần có bước xác thực tăng cường như xác nhận bằng app ngân hàng, liveness/sinh trắc học, gọi lại qua tổng đài chính thức hoặc áp dụng thời gian chờ. Ngoài ra, ví mới liên kết nên bị giới hạn hạn mức trong 24-48 giờ đầu để giảm thiệt hại nếu bị lừa.
"Ngân hàng cần nhìn rủi ro theo chuỗi, không chỉ theo từng giao dịch riêng lẻ. Ví dụ: một thẻ vừa được thêm vào thiết bị mới, sau đó phát sinh nhiều giao dịch liên tiếp ở mức có giá trị cao như điện thoại, vàng, hàng xa xỉ, hoặc giao dịch tại vị trí địa lý bất thường thì phải được chấm điểm rủi ro cao. Các dấu hiệu như một thẻ liên kết nhiều thiết bị trong thời gian ngắn, giao dịch dồn dập, chia nhỏ số tiền, thay đổi quốc gia/thành phố bất thường, hoặc giao dịch đầu tiên ngay sau khi thêm ví đều nên kích hoạt cơ chế tự động: Tạm khóa token ví số, yêu cầu xác minh lại trong app ngân hàng, hoặc chặn giao dịch trước khi tiền bị rút đi", ông Hiếu bày tỏ.
Khuyến cáo bảo vệ tài sản
Để bảo vệ tài sản trước hình thức lừa đảo này, chuyên gia khuyên người sử dụng thẻ cần tuân thủ nghiêm các nguyên tắc bảo mật:
- Không cung cấp số thẻ, ngày hết hạn, CVV/CVC và đặc biệt là OTP cho bất kỳ ai, kể cả người tự xưng là nhân viên ngân hàng, công an hay cơ quan chức năng. Khi nhận OTP, phải đọc kỹ nội dung tin nhắn xem mã đó dùng để làm gì. Nếu nội dung có chữ "liên kết ví", "Apple Pay", "Google Pay", "Samsung Wallet" mà người dùng không tự thực hiện thì tuyệt đối không nhập hoặc đọc mã cho người khác.
- Người dùng chỉ nên thêm thẻ vào ví số từ ứng dụng ngân hàng hoặc ứng dụng ví chính thức trên thiết bị của mình. Nên bật thông báo biến động số dư, đặt hạn mức thẻ, kiểm tra danh sách thiết bị/ví đang liên kết và khóa thẻ ngay khi thấy giao dịch lạ. Nếu đã lỡ cung cấp OTP hoặc thông tin thẻ, cần gọi ngay hotline ngân hàng để khóa thẻ, khóa token ví số và lưu lại bằng chứng để trình báo cơ quan chức năng.
- Người dùng nên thêm thẻ vào Apple Pay/Google Pay để có thể sử dụng thẻ được an toàn hơn, hạn chế đưa thẻ tín dụng vật lý cho bất kỳ ai đáng nghi và nếu phải đưa thẻ thì nên phải luôn trong tầm quan sát an toàn.
