Do vậy từ 1-7 tới, ngân hàng sẽ dừng mọi giao dịch tài khoản doanh nghiệp nếu chưa sinh trắc học.
Nuôi nhốt người cho thuê cả khuôn mặt để chuyển tiền
Đó là thông tin được ông Phạm Anh Tuấn, vụ trưởng Vụ Thanh toán (Ngân hàng Nhà nước – NHNN), trao đổi với báo chí tại buổi họp báo về Ngày chuyển đổi ngành ngân hàng, do NHNN tổ chức hôm 26-5.
Ông Tuấn cho biết tội phạm mạng ngày càng gia tăng với diễn biến khó lường khi sử dụng cả trí tuệ nhân tạo (AI), các công nghệ để ứng dụng vào các chiêu trò lừa đảo.
Thời gian qua, với việc quy định siết thông tin sinh trắc học của tài khoản cá nhân thì các tổ chức tội phạm công nghệ cao đã chuyển qua tài khoản tổ chức để lừa đảo.
“Thậm chí có tình trạng các tổ chức tội phạm nuôi nhốt người cho thuê cả khuôn mặt để chuyển tiền. Mỗi lần chuyển tiền thì đưa khuôn mặt vào, còn không thì thực hiện nuôi và chăm sóc chu đáo”, ông Tuấn cho biết.
Để ngăn chặn chiêu trò, thủ đoạn của tội phạm công nghệ cao, ông Tuấn cho biết từ ngày 1-7 tới, tổ chức sẽ không thể giao dịch online nếu chưa xác thực thông tin sinh trắc học của người đại diện hợp pháp. Đây là quy định của thông tư 17 năm 2024 của NHNN quy định việc mở và sử dụng tài khoản thanh toán.
Sau thời gian này, trường hợp khách hàng chưa hoàn thành nội dung trên, ngân hàng sẽ tạm dừng cung cấp dịch vụ thanh toán/rút tiền tài khoản thanh toán bằng phương tiện điện tử để đảm bảo tuân thủ quy định của NHNN.
“Với tài khoản của tổ chức, doanh nghiệp (DN), chúng tôi sẽ yêu cầu người đại diện hợp pháp của tổ chức trực tiếp đến ngân hàng để mở tài khoản. Không chấp nhận bất kỳ hình thức nào như ủy quyền cho người mang hồ sơ đến để mở tài khoản.
NHNN đang sửa thông tư 17 này, trong đó sẽ siết đối với tài khoản của tổ chức. Yêu cầu đặt ra là phải thu thập thông tin sinh trắc học từ cá nhân đến tổ chức khi mở tài khoản, để đảm bảo tài khoản giao dịch là chính chủ.
Hay nói cách khác, khách hàng muốn giao dịch online thì phải cung cấp thông tin sinh trắc học để xác thực, đối chiếu với cơ sở dữ liệu quốc gia về dân cư”, ông Tuấn nhấn mạnh.
Về việc siết mở và sử dụng tài khoản DN, ông Tuấn cho biết thông tư 17 đang quy định tất cả DN phải đối chiếu thông tin sinh trắc học của người đại diện hợp pháp thì DN mới giao dịch online được.
Hiện đã có trên 55% tài khoản của tổ chức đã được đối chiếu thông tin sinh trắc học của người đại diện hợp pháp. Những DN nào chưa xác thực, đối chiếu được thì sẽ giao dịch trực tiếp tại quầy. Như vậy chính sách không làm ảnh hưởng đến hoạt động thanh toán, hoạt động sản xuất – kinh doanh của DN.
Một điểm rất mới trong dự thảo thông tư là NHNN sẽ cấm sử dụng biệt danh trong mở tài khoản mà phải là số tài khoản cụ thể của ngân hàng nhận tiền chuyển đi. Bởi việc cho mở tài khoản ngân hàng với biệt danh dễ gây hiểu lầm cho người chuyển tiền.
Thời gian qua NHNN nhận được nhiều khiếu nại của người dùng, sau khi chuyển nhầm qua biệt danh nên không đòi được tiền. Dự kiến thông tư mới sẽ được lấy ý kiến góp ý trong tháng 6 tới và ban hành trong năm nay.
Thời gian qua sau khi ngân hàng siết tài khoản cá nhân, tội phạm mạng chuyển sang tài khoảndoanh nghiệp để lừa đảo – Ảnh: QUANG ĐỊNH
Ngân hàng sẽ cảnh báo tài khoản gian lận
Ngoài giải pháp về mặt chính sách, ngành ngân hàng có cơ chế gì về mặt kỹ thuật để đảm bảo an toàn dữ liệu và bảo vệ khách hàng trước các rủi ro an ninh mạng?
Trả lời Tuổi Trẻ, ông Tuấn cho biết NHNN đang xây dựng kho dữ liệu về tài khoản nghi ngờ gian lận từ các ngân hàng báo cáo. Với kho dữ liệu này, ngân hàng sẽ cảnh báo cho khách hàng về tài khoản có dấu hiệu gian lận khi khách hàng chuyển tiền.
Ngân hàng đầu tiên thực hiện thí điểm dịch vụ này là BIDV. Từ 1-4 đến nay, BIDV đã ngăn chặn được các giao dịch có nghi ngờ gian lận với tổng số tiền trên 100 tỉ đồng.
Tiếp theo BIDV, theo kế hoạch, cuối tháng 6 là Vietcombank và trong tháng 7 có VietinBank, MBBank, Agribank triển khai dịch vụ này tới khách hàng. Trong năm nay, NHNN phấn đấu toàn hệ thống tổ chức tín dụng sẽ cảnh báo khách hàng khi tài khoản nhận có nghi ngờ gian lận.
Khi đó người chuyển tiền sẽ cân nhắc quyết định có chuyển hay không. Thời gian tới NHNN sẽ tăng cường các biện pháp nhằm hỗ trợ người dân tránh rủi ro khi giao dịch.
Ông Vũ Thành Chung, phó chủ tịch hội đồng quản trị MBBank, cho biết chiêu lừa rất phổ biến là tội phạm thường dẫn dụ người dùng cài đặt các phần mềm giả mạo vào điện thoại để chiếm đoạt tiền. Do đó app MBBank có chức năng quét để phát hiện phần mềm giả mạo.
Khi khách bật app MBBank lên, ứng dụng sẽ tự ngắt khi phát hiện phần mềm giả mạo và ngay sau đó sẽ báo cho khách hàng ngay là điện thoại của khách đang có phần mềm giả mạo. Với cách này, MBBank đã chặn được 99% phần mềm giả mạo trên điện thoại.
Mặt khác ngân hàng phải tăng cường giám sát an ninh mạng với cách duy nhất là sử dụng công nghệ. Vì với dữ liệu quá lớn, như MBBank có 33 triệu khách hàng, 99% giao dịch của khách hàng cá nhân trên kênh số. Một ngày MBBank có đến 20 triệu người vào truy cập ứng dụng ngân hàng số. Nên con người không thể giám sát được hết mà phải dùng AI.
Ngoài các biện pháp trên, ông Đoàn Thanh Hải, phó cục trưởng Cục Công nghệ thông tin NHNN, cho biết ngành ngân hàng đang nghiên cứu áp dụng cơ chế phát hiện, cảnh báo và ngăn chặn sử dụng ứng dụng Mobile banking đối với các thiết bị bị phá khóa (jailbreak) hoặc thiết bị đã kích hoạt quyền trợ năng.
Đồng thời tăng cường sử dụng dịch vụ, công nghệ mới để sớm phát hiện các vụ việc lộ, lọt thông tin tài khoản, xác thực của khách hàng trên mạng Internet cũng như có cơ chế nhanh chóng gỡ bỏ các website giả mạo.
Dù đã xác thực sinh trắc học nhưng tội phạm mạng vẫn tìm cách lừa đảo – Ảnh: QUANG ĐỊNH
Chuyên gia đề xuất giải pháp
Trao đổi với Tuổi Trẻ chiều 26-5, ông Nguyễn Duy Thiện, quyền CEO Công ty công nghệ Kalapa, cho rằng kể từ khi các ngân hàng đồng loạt áp dụng xác thực sinh trắc học (khuôn mặt, vân tay) cho các giao dịch giá trị cao, tỉ lệ lừa đảo “mạo danh người thật” đã giảm rõ rệt – nhiều tổ chức tín dụng ghi nhận số vụ gian lận danh tính sụt hơn 40% chỉ sau sáu tháng triển khai.
Điều này buộc tội phạm tài chính phải chuyển hướng: thay vì giả mạo khách hàng cá nhân, họ dựng pháp nhân “rỗng” và lợi dụng tài khoản doanh nghiệp để rửa tiền, tài trợ hoạt động bất hợp pháp hoặc thao túng dòng tiền xuyên biên giới.
“Trong kỷ nguyên giao dịch số, bỏ qua bước xác thực chẳng khác nào để két sắt mở toang: gian lận có thể khoác vỏ bọc pháp nhân giả, chuyển tiền lòng vòng và “rửa sạch” chỉ trong vài phút”, ông Thiện nói.
Ước tính của Hiệp hội An ninh mạng Việt Nam cho thấy thiệt hại lừa đảo trực tuyến năm 2024 đã vượt 18.900 tỉ đồng.
Để quá trình thực hiện đối chiếu thông tin sinh trắc học của người đại diện hợp pháp của tổ chức, doanh nghiệp diễn ra trơn tru, quyền CEO Công ty Kalapa đề xuất ba hành động cụ thể.
Thứ nhất là xây dựng “DN số ID” thống nhất, liên thông đăng ký kinh doanh, cơ quan thuế và hệ thống căn cước số.
Thứ hai là mở API (giao diện lập trình ứng dụng) công khai cho các nhà cung cấp công nghệ đáp ứng tiêu chuẩn – bao gồm Kalapa – để cung cấp dịch vụ eKYB như tiện ích dùng chung.
Và thứ ba là áp dụng khung đánh giá rủi ro linh hoạt, cho phép ngân hàng và fintech tự điều chỉnh ngưỡng kiểm soát mà không phát sinh thủ tục phức tạp.
“Khi làm được điều đó, chúng ta không chỉ thu hẹp khoảng trống gian lận và rửa tiền mà còn kiến tạo hành lang tin cậy để kinh tế tư nhân bứt tốc an toàn, minh bạch”, ông Thiện cho biết.
Có ngân hàng đã bị hacker đánh cắp 100 tỉ đồng
Tại tọa đàm “Mức độ trưởng thành của doanh nghiệp, tổ chức Việt Nam trong việc sẵn sàng ứng phó các sự cố” do Hiệp hội An ninh mạng quốc gia (NCA) tổ chức ngày 21-5 vừa qua, thiếu tá Trần Trung Hiếu, phó giám đốc Trung tâm An ninh mạng quốc gia A05 (Bộ Công an), cho biết một loạt các tổ chức của Việt Nam đã bị tấn công trong thời gian vừa qua, trong đó có ngân hàng của Việt Nam đã bị hacker đánh cắp 100 tỉ đồng.
Một trong những nguyên nhân, theo ông Hiếu, là do tình trạng thiếu nhân lực, nên dù đã đầu tư hệ thống giám sát điều hành an ninh mạng, nhưng thực tế lại chỉ giám sát 8 tiếng, còn ban đêm hacker làm gì thì không theo dõi.
Trong khi đó, theo báo cáo bảo mật công bố tháng 4-2025 của Hãng bảo mật Kaspersky, trong năm 2024, các mối đe dọa mạng trong ngành tài chính, số lượng người dùng đối diện với Trojan (một loại mã độc phần mềm có khả năng ẩn mình trong các tập tin hoặc chương trình vô hại để xâm nhập vào máy tính) trên thiết bị di động đã tăng 3,6 lần so với năm 2023.
Bà Olga Svistunova, chuyên gia phân tích nội dung web cấp cao tại Kaspersky, nhận xét tình trạng lừa đảo tài chính đã leo thang cả về số lượng lẫn mức độ tinh vi, tạo ra những cuộc tấn công quy mô lớn nhắm vào người dùng.
Theo dự đoán của chuyên gia này, lừa đảo tài chính sẽ ngày càng mang tính cá nhân hóa và nhắm mục tiêu cụ thể hơn, tập trung khai thác các sơ hở trong thói quen sử dụng công nghệ hằng ngày.
“Điều này đòi hỏi người dùng phải nâng cao cảnh giác và có các biện pháp phòng ngừa toàn diện”, bà Svistunova cảnh báo.
Ngân hàng DBS của Singapore chủ động thêm các tính năng phòng lừa đảo trên ứng dụng di động – Ảnh: Strait Times
Singapore phòng ngừa lừa đảo ngay từ ứng dụng ngân hàng
Kể từ giữa tháng 5-2025, chủ tài khoản tại các ngân hàng DBS và POSB (Singapore) sẽ có thể kiểm soát việc thẻ của mình có được thêm vào các ví điện tử trên điện thoại nhờ tính năng mới trên ứng dụng ngân hàng trên smartphone.
Theo DBS, động thái này nhằm ngăn chặn các kẻ lừa đảo thêm thông tin thẻ đánh cắp được vào các ví điện tử như Apple Pay hoặc Google Pay để thực hiện chi tiêu gian lận – một hình thức đang có xu hướng gia tăng.
Trích dẫn dữ liệu từ cảnh sát Singapore, DBS cho biết đã có hơn 650 báo cáo liên quan đến hình thức lừa đảo này trong quý 4-2024, với tổng thiệt hại ít nhất 1,2 triệu đô la Singapore (khoảng 935.000 USD).
Với tính năng mới, người dùng sẽ phải bật chế độ “ví điện tử” trong ứng dụng ngân hàng để thêm thông tin thẻ vào các ví này. Khách hàng sẽ có 10 phút để thao tác trước khi chế độ này chuyển về trạng thái tắt mặc định.
“Việc thêm bước kích hoạt có chủ ý giúp khách hàng cảnh giác hơn khi thực hiện các giao dịch” – ông Calvin Ong, giám đốc bộ phận ngân hàng bán lẻ của DBS Singapore, chia sẻ. Việc thêm thông tin thẻ vào ví điện tử là điều khá dễ dàng. Kẻ lừa đảo có thể thêm thông tin thẻ đánh cắp được vào điện thoại của mình nếu kiếm cách lừa thêm được mã OTP.
Tính năng bật/tắt chế độ “ví điện tử” là bổ sung mới nhất trong loạt biện pháp bảo mật mà DBS đưa vào ứng dụng ngân hàng điện tử. Vào cuối năm 2023, DBS cũng đã ra mắt công cụ “khóa tiền” – cho phép khách hàng giữ một khoản tiền cố định không thể bị chuyển đi qua giao dịch trực tuyến, ngay cả khi tài khoản bị xâm nhập.
Để làm sạch dữ liệu, ngành ngân hàng đã phối hợp với Trung tâm Nghiên cứu, ứng dụng dữ liệu dân cư và căn cước công dân (Bộ Công an) triển khai các dịch vụ:
– Xác thực căn cước công dân gắn chip: hiện đã xác thực 130,5 triệu lượt hồ sơ khách hàng.
– Xác thực điện tử qua VNeID: hiện có khoảng 18 triệu lượt xác thực qua dịch vụ này.
– Làm sạch dữ liệu tài khoản ngân hàng với Cơ sở dữ liệu quốc gia về dân cư: 63 triệu lượt khách hàng được xác thực.
– Rà soát đối tượng: nghi ngờ, sử dụng giấy tờ giả mạo.
– Thu thập dữ liệu sinh trắc học: 112 triệu hồ sơ khách hàng và tổ chức được đối chiếu với dữ liệu Cơ sở dữ liệu quốc gia về dân cư.
(Nguồn Bộ Công an)
Doanh nghiệp: xác thực sinh trắc học rất cần thiết
Ông Lê Công Hiệu, Công ty TNHH Thu Minh (Thanh Oai, Hà Nội), đánh giá việc yêu cầu chủ DN phải xác thực đối chiếu thông tin sinh trắc học thì DN mới giao dịch được online là rất cần thiết.
“Song tôi băn khoăn có cần phải xác thực thông tin lần nữa hay không khi đã xác thực thông tin sinh trắc học với Cơ sở dữ liệu quốc gia về dân cư cho tài khoản thanh toán của tôi từ đầu tháng 7-2024. Tôi cũng chính là người đại diện hợp pháp của DN.
Vậy ngân hàng xem xét có nên buộc chủ tài khoản thanh toán cá nhân cũng là chủ DN, đã xác thực thông tin sinh trắc học tài khoản thanh toán cá nhân giờ lại phải xác thực, đối chiếu thông tin sinh trắc học lần nữa?”, ông Hiệu gợi ý.
Sẽ đóng tài khoản “ngủ đông”, không hoạt động
Theo NHNH, hiện cả nước có trên 200 triệu tài khoản cá nhân nhưng chỉ có 113 triệu tài khoản được đối chiếu thông tin sinh trắc học với Cơ sở dữ liệu quốc gia về dân cư. Như vậy, có thể nói những tài khoản không đối chiếu thông tin sinh trắc học thì có thể là tài khoản “chết, ngủ đông”, gian lận đã được mở trong thời gian qua. Hiện nay không thể hợp thức hóa được.
“Thời gian tới chúng tôi sẽ có hướng dẫn, những tài khoản “ngủ đông”, không còn hoạt động trong suốt nhiều thời gian qua thì sẽ đóng lại. Qua đó hạn chế tình trạng tài khoản được cho ngủ để chờ thời, một ngày nào đó đột ngột sống sống dậy để tham gia vào gian lận lừa đảo”, ông Tuấn nói.