Chia sẻ về vụ việc “Tiền bay do sim mất” – Phần 1

Hôm nay có khá nhiều người hỏi mình, hoặc trao đổi với mình về cái vụ một khách hàng của MSB mất tiền qua tài khoản sau khi mất SIM Viettel, mấy câu hay hỏi nhất là:

– Mất sim sao lại mất tiền?

– Giao dịch qua Internet Banking thì phải có username/mật khẩu chứ?

– Sao giao dịch thẻ lại liên quan đến điện thoại di động….

– Sao trên sao kê lại có chữ POS trong nội dung giao dịch nhỉ, thẻ của KH vẫn cầm trên tay mà…

Tranh thủ đang ngồi nghỉ giải lao xin được chia sẻ vài ý kiến về vụ việc này:

1. Vì sao mất sim mà lại mất tiền:

– Trước hết cần phân biệt hai dịch vụ:
+ Nếu bạn đăng ký dịch vụ thanh toán online trên Internet Banking thì sau khi nhập thông tin giao dịch, bạn sẽ phải login, sau đó nhập OTP (SMS, Token, Thẻ Ma trận… tùy bank) để hoàn tất giao dịch.
+ Còn nếu bạn đăng ký dịch vụ thoanh toán online cho thẻ ATM thì bạn dùng chính thông tin trên thẻ để giao dịch và nên OTP sẽ gửi ngay. Khi bạn dùng dịch vụ thứ hai này qua các cổng thanh toán thì quy trình thanh toán sẽ là:

  • Bước 1. Bạn nhập Số thẻ, Tên chủ thẻ, Ngày hết hạn hoặc Ngày phát hành tùy Ngân hàng (thông tin này tùy bank yêu cầu, bank không).
  • Bước 2. Nhấn OK, bạn sẽ nhận được một SMS chứ OTP.
  • Bước 3. Bạn nhập cái OTP đó vào trang web của cổng thanh toán để xác nhận thực hiện giao dịch và thế là xong.

– Như vậy, khách hàng nói trên đã để lộ Số thẻ, Tên trên thẻ và có thể đã lộ cả Ngày phát hành, Ngày hết hạn của thẻ. Sau đó ông đó bị mất cả SIM (theo một cách nào đó kẻ cắp lấy được SIM, cái này miễn bàn vì ngoài phạm vi chuyên môn :v ) và thế là kẻ gian đường đường chính chính nhập thông tin thẻ, nhận SMS OTP và cứ thế là xong, PEM!!! Tiền đi tài khoản ở lại 🙂

2.  Một số bạn hỏi là vì sao thẻ ông kia đang cầm mà lại có giao dịch tại POS, thì thật ra là cái chữ POS trong nội dung giao dịch đó là ePOS, chính là cái cổng thanh toán kia, chứ không phải là máy POS (hay đúng chính xác mà EDC) mà các bạn hay quẹt ở siêu thị.

3. Tuy nhiên, chúng ta cũng không nên phản ứng quá tiêu cực sau vụ việc này, cụ thể:

  • Chúng ta không thể phủ nhận rằng thanh toán online quá tiện lợi và nhanh chóng.
  • Cái rủi ro này đâu phải chỉ riêng Việt Nam, riêng thẻ Ghi nợ nội địa mà là cả Quốc tế, cả thẻ tín dụng đều cũng có thể gặp phải. Đơn cử như hiện nay khi giao dịch thẻ tín dụng qua mạng chúng ta nhập Số thẻ, Ngày hết hạn, CVV2  (CVV1 thì ghi trong Track từ rồi nhé và chỉ dùng cho giao dịch tại POS thường thôi) và nếu như Bank có triển khai 3D Secure thì ta sẽ nhận thêm một tin nhắn OTP, hoặc nhập một mật khẩu tĩnh , hay thông tin gì gì đó vào trang web 3D Secure của Bank để hoàn tất giao dịch. Có nghĩa là, nếu ta lộ thông tin thẻ và mất điện thoại thì vẫn dính như TH trên thôi.
  • Tiện lợi và an toàn là 2 yếu tố ko bao giờ song hành, KH nào chả muộn tiện lợi, không tiện lợi thì ta không dùng, vậy thì đôi khi phải chấp nhận rủi ro. Chúng ta phải biết sống với rủi ro để tăng độ tiện lợi, bơi với thị trường mới như Việt Nam, nếu ko tiện lợi thì rất khó thu hút người dùng và để sau đó là training người dùng, nếu ko tiện lợi thì bao giờ mục tiêu giảm tiêu dùng tiền mặt mới thành hiện thực đây. Một case study là ku VISA, ngày xưa với thẻ International Debit cũng bắt nhập PIN đới, sau người dùng kêu quá, nó remove luôn, khỏi PIN (trừ rút tiền nhá).

4. Vậy thì chúng ta nên như nào?

Ai phản đối, ai nói gì nhưng tôi sẽ vẫn cứ dùng ePayment, chúng ta sẽ không thể xa rời sử dụng ePayment vì đó là xu hướng tất yếu trong thời buổi công nghệ và tốc độ cuộc sống nhanh như hiện nay và nếu như biết bảo mật thông tin đúng cách thì chúng ta vừa an toàn vừa được tận hưởng sự tiện ích của ePayment.

  • Thứ nhất, nếu bạn có SIM, hãy đăng ký chính chủ trước khi đăng ký SIM đó vào một dịch vụ tài chính nào đó. Dù sao vẫn yên tâm phải ko :v
  • Thứ hai, nếu có thẻ VISA hay MASTER hãy đăng ký 3D Secure cho thẻ.
  • Thứ ba, nếu có thể, hãy đăng ký một kênh nào đó trong Ngân hàng điện tử của Bank mà có chức năng Khóa/Mở thẻ (Mobile Banking là an toàn và tiện nhất vì hầu như lúc nào chả cầm mobile trong người). Ví dụ như SHB, ngày trước mình có đề xuất trong Mobile Banking build 1 chức năng như thế. Bình thường, các bạn hãy khóa hết thẻ lại, sau đó, trước khi dùng thẻ tại POS hay tại ePOS như trên, hãy mở thẻ ra, dùng xong lại đóng lại. Chúng ta chỉ tốn thêm 3s để làm việc đóng/mở nhưng chúng ta sẽ vừa an toàn vừa tận hưởng được cuộc sống hiện đại là ntn. Bank nào chưa có thì làm ngay cho lành 😀
  • Thứ tư, điều này chả ai muốn, nhưng nếu bắt buộc thì phải nhập thêm 1 cái online PIN nữa khi giao dịch để đảm bảo cả yếu tố You have (Điện thoại, Thẻ) và You know (online PIN) cho việc xác thực đa nhân tố. Tuy nhiên, nó cũng có mặt trái là sẽ dựng thêm 1 bức tường nữa chắn người tiêu dùng với dịch vụ mà ta sẽ tốn không ít thời gian và công sức để đạp đổ nó đi. Thôi thì tùy người tiêu dùng lựa chọn, vì ta làm dịch vụ cho người tiêu dùng mà.

    Bao nhiêu bạn sẽ chọn nhập thêm online PIN? Bao nhiêu bạn sẽ chọn không cần?

Ps: Mọi thông tin đều mang tính chất chia sẻ cá nhân, không có ý ám chỉ bất cứ cá nhân, tổ chức nào và cũng xin nhận mọi chia sẻ từ các bạn.

Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s