Các ngân hàng không tiếc tiền xây dựng hàng rào bảo mật “bất khả xâm phạm” để chống lại hacker, nhưng họ lại quên mất một nguy cơ còn lớn hơn: bị chính nhân viên của mình cuỗm thông tin khách hàng.
Chỉ cần nhân viên hoặc các chuyên gia cố vấn được thuê về có quyền truy cập vào hệ thống ngân hàng, cuộc chơi coi như đã kết thúc, bà Carmen Oveissi Field, giám đốc một hãng tư vấn bảo mật cho biết.
Cật lực chống giặc ngoài
Chưa bao giờ cuộc chiến chống lại nạn ăn cắp danh tính lại diễn ra quyết liệt như hiện nay.
Các ngân hàng, nhất là tại châu Âu và Mỹ, đã đầu tư tiền tấn tiền tỉ để đảm bảo hệ thống của họ không một kẽ hở. Họ cũng không ngớt cảnh báo khách hàng về nguy cơ bị lừa tiết lộ thông tin tài khoản.
Một trong những kỹ thuật lừa đảo tinh vi và phổ biến nhất hiện nay là “phishing”, trong đó, bọn tội phạm phát tán những bức email được “chế tác” rất khéo, cố dụ người dùng truy cập vào một website ngân hàng giả mạo rồi bắt họ đăng nhập.
Một khi người dùng bị lừa, họ coi như đã mất username và mật khẩu truy cập vào tài khoản của mình. Bọn tội phạm sẽ sử dụng những thông tin này để tha hồ cướp phá tài khoản qua mạng.
Nhiều ngân hàng đã đưa cảnh báo về phishing lên trang chủ của mình và thúc giục người dùng forward những bức email khả nghi cho họ, từ đó họ có thể nhận dạng những website ma và đóng cửa chúng lại.
Đây là việc cần thiết, vì nếu cứ để phishing hoành hành bá đạo, niềm tin của dư luận dành cho ngân hàng trực tuyến và thương mại điện tử sẽ sút giảm nghiêm trọng. Khi ấy, dù là một giao dịch ngân hàng đơn giản, ít quan trọng nhất, khách hàng cũng thà lặn lội đến chi nhánh ngân hàng địa phương còn hơn.
…Nhưng lại quên mất “thù trong”
Mặc dù rất tự tin trong việc đối phó với nguy cơ phishing nhưng các ngân hàng gần đây bỗng chột dạ về nguy cơ dữ liệu đàng hoàng … đi ra bằng cửa trước.
“Đánh cắp dữ liệu có thể tiến hành theo hai cách: hoặc là hack vào hệ thống ngân hàng, hoặc là cài người của mình vào đó làm việc. Tình huống thứ hai mới thật sự đáng lo ngại”, một giám đốc bảo mật của một ngân hàng lớn tại châu Âu tiết lộ, với điều kiện giấu tên.
Việc một số ngân hàng thực hiện chính sách outsource công việc quản lý dữ liệu cho các công ty bên ngoài càng khiến cho vấn đề trầm trọng hơn. Nguy cơ “tay trong” rút ruột thông tin lại càng khó bị ngăn chặn.
“Có quá nhiều mắt xích yếu”, bà Oveissi Field cho biết. Các cuốn băng back-up dữ liệu được mang tới (hoặc gửi mail) tới cho trung tâm lưu trữ. Chỉ cần người làm công việc này hoặc bất cẩn, hoặc có ý đồ đen tối là mọi việc hỏng bét”.
Điển hình nhất cho nguy cơ này là vụ việc xảy ra tại chi nhánh ngân hàng Sumitomo Mitsui Nhật Bản tại London hồi năm ngoái. Kẻ trộm đã giả dạng thành nhân viên lau dọn vệ sinh và suýt chút nữa đã thành công trong việc đánh cắp số tiền hơn … 400 triệu USD.
Chúng đã cài đặt được phần mềm theo dõi bàn phím (keylogger) trên các máy tính quản lý giao dịch chuyển tiền quốc tế. Sau khi phân tích danh tính người dùng và mật khẩu mà keylogger ghi lại được, chúng sử dụng những thông tin đó để thực hiện một phi vụ chuyển tiền khổng lồ, với đích đến là một ngân hàng tại Israel. Rất may là âm mưu đã đổ vỡ vào phút cuối khi cảnh sát phát hiện ra.