Mối lo quẹt thẻ thanh toán bị “cuỗm” tiền
Các hệ thống POS tại những cửa hàng bán lẻ đang là mục tiêu của tội phạm mạng, hàng triệu thẻ thanh toán bị đánh cắp. Giải pháp?
Mối lo quẹt thẻ thanh toán bị “cuỗm” tiền
Các hệ thống POS tại những cửa hàng bán lẻ đang là mục tiêu của tội phạm mạng, hàng triệu thẻ thanh toán bị đánh cắp. Giải pháp?
Các chuỗi cửa hàng bán lẻ: “con mồi béo bở”
Xu hướng tấn công vào hệ thống giao dịch POS (point-of-sale system) của tội phạm mạng ngày càng rõ rệt sau hàng loạt vụ tấn công mạng được khám phá gây choáng váng về phạm vi lẫn mức độ ảnh hưởng.
Khách hàng trở thành nạn nhân “bị động” khi quẹt thẻ thanh toán tại các cửa hàng có hệ thống POS nhiễm mã độc – Ảnh minh họa: WordPress |
Tấn công mạng vào chuỗi siêu thị Target là một trong những vụ gây sốc, với lượng thông tin khách hàng bị mất lên đến con số 110 triệu, bao gồm thông tin thẻ tín dụng và thẻ ghi nợ, tên khách hàng và mã PIN.
Wall Street Journal dẫn nguồn từ Hiệp hội tín dụng quốc gia Hoa Kỳ (Credit Union National Association) cho hay các công ty tín dụng tại Mỹ đã mất khoảng 30 triệu USD chi phí thay thế thẻ cho chủ tài khoản bị ảnh hưởng từ vụ hack siêu thị Target.
Ngoài ra, nhiều ngân hàng lớn của Mỹ như JP Morgan Chase và Citigroup cũng đã chi hàng triệu USD cho việc thay thế thẻ cho khách hàng của mình.
Mã độc được tội phạm mạng nhúng vào máy quẹt thẻ thanh toán (POS) tại 1.797 siêu thị Target và thu thập tất cả những gì có trên một chiếc thẻ tín dụng, gửi ngược về cho chủ nhân.
Với hình thức tương tự, 56 triệu thẻ thanh toán của khách hàng tại chuỗi cửa hàng Home Depot cũng rơi vào tay tội phạm mạng.
Sau Target, Home Depot lần lượt đến các hệ thống bán lẻ lớn khác như Staples, Kmart, Dairy Queen, Michaels, Neiman Marcus, P.G.Chang’s…
Trong báo cáo Security Roundup quý 3-2014 do Hãng bảo mật Trend Micro công bố, Mỹ đứng đầu thế giới về tỉ lệ bị nhiễm mã độc trên các hệ thống POS, 30% trong tổng số vụ lây nhiễm hệ thống giao dịch bán lẻ trên toàn thế giới trong quý 3 xảy ra tại Mỹ, cao hơn 25% so với vị trí số hai là Philippines, Đài Loan, và Ý.
|
Giải pháp “chip -và- PIN”
Giới bảo mật lên tiếng cảnh báo về các cơ chế an ninh yếu kém khiến khách hàng gặp nhiều mối nguy hại khi thanh toán bằng thẻ. Theo đó, khi khách hàng quẹt thẻ để chi trả, những dải từ không được bảo vệ trong thẻ, chứa tất cả những thông tin tài chính của chủ thẻ, sẽ được chuyển vào một hệ thống giao dịch (POS) của nơi bán.
Nếu một hệ thống POS bị xâm phạm, như trong trường hợp Target và Home Depot, kẻ trộm có thể dùng thông tin đánh cắp được, tạo ra một thẻ mới xài “tiền chùa” của nạn nhân.
Theo giới chuyên gia, bao gồm các tổ chức thương mại như Hiệp hội các nhà lãnh đạo ngành công nghiệp bán lẻ (Retail Industry Leaders Association – RILA), giải pháp cho vấn đề này là công nghệ “chip-và-PIN” (chip-and-PIN).
Thẻ EMV chip-và-PIN gia tăng độ bảo mật |
Thay cho các dải từ, những thẻ chip-và-PIN chứa một chip xử lý được mã hoá để lưu trữ các thông tin tài chính. Các thẻ này có thêm một lớp bảo mật bằng cách yêu cầu người dùng nhập vào một số nhận dạng cá nhân (personal identification number) trước khi thực hiện một thanh toán.
“Công nghệ xác thực hai nhân tố này đã được sử dụng trong nhiều thập kỷ tại gần như mọi quốc gia G20 khác và đã được chứng minh là làm giảm đáng kể sự xâm hại”, Allie Brandenburger, giám đốc truyền thông cấp cao của RILA, cho biết trên trang FOX Business.
Trên thực tế, một nghiên cứu năm 2013 do Ngân hàng dự trữ liên bang Kansas City thực hiện cho thấy nếu Mỹ áp dụng được công nghệ chip-và-PIN, những vụ xâm phạm thông tin tài khoản trong nước có thể giảm tới 40%.
70% thẻ thanh toán tại Mỹ sẽ là thẻ chip vào cuối năm 2015, và chuyển đổi hoàn toàn sang công nghệ chip sẽ được hoàn tất vào năm 2017 |
Dự báo của Doug Johnson, phó chủ tịch cấp cao về thanh toán và an ninh mạng tại Hiệp hội Ngân hàng Mỹ (American Bankers Association-ABA) |
Chip-và-PIN thậm chí còn là chủ đề của sắc lệnh “Sáng kiến BuySecure” mà Tổng thống Obama đưa ra từ hồi tháng 10, chỉ đạo các cơ quan chính phủ áp dụng công nghệ chip-và-PIN cho tất cả các thẻ thanh toán của liên bang.
Chưa phải tối ưu?
Trong khi sự chuyển đổi này là một bước đi đúng hướng, nhiều người băn khoăn vì sao ngành tài chính Mỹ không áp dụng công nghệ này sớm hơn.
“Chúng tôi không bao giờ xem một công nghệ nào đó như là một giải pháp cuối cùng”, Johnson phát biểu trên FOX Business. “Các mối đe doạ luôn luôn biến đổi”. Trong thực tế, hiệp hội ABA nhận định loại công nghệ này rốt cuộc đang được thổi phồng.
“Chúng tôi nhìn thấy một sự chuyển đổi đã vượt qua công nghệ chip”, Johnson nói. “Apple Pay rõ ràng là một ví dụ về một thứ gì đó đem lại nhiều hứa hẹn – Nó được hỗ trợ bởi các đại biểu của ngành công nghiệp và những mạng lưới thẻ. Nó khiến việc xâm phạm số thẻ trở thành vô dụng bởi nó sử dụng các con số ngẫu nhiên”.
Giải pháp thanh toán di động Apple Pay tích hợp trên iPhone 6 (iOS 8) – Ảnh: DigitalTrends |
Apple Pay, một nền tảng thanh toán mới được thiết kế bởi Apple, sử dụng một phương pháp tạm gọi “token hoá” (tokenization), thay thế các số thẻ tín dụng tĩnh với các số được tạo ra ngẫu nhiên (còn gọi là “token”).
Token này có thể được lập trình để hết hạn sau khi thực hiện một giao dịch mua hàng cụ thể, khiến nó không còn gây nguy hại gì dù rơi vào tay tội phạm mạng.
Bất kỳ công nghệ nào cũng có lỗ hổng. Mọi người nên sẵn sàng cho sự thay đổi liên tục trong công nghệ, bởi các tin tặc sẽ không ngừng phá vỡ những mô hình bảo mật của các hệ thống được sử dụng |
Chuyên gia an ninh mạng Brian Finch |
Các chuyên gia bảo mật Trend Micro cho rằng còn tùy thuộc vào chính các nhà có bán lẻ có đảm bảo tối ưu hoá tính bảo mật cho cơ sở hạ tầng thanh toán của họ hay không.