Cuộc “đuổi bắt” giữa những người phòng chống lừa đảo công nghệ và kẻ gian lận: Khi tội phạm mạng ngày càng đông đảo, có cả tổng đài hỗ trợ các hacker “tập sự”, ngăn chặn thế nào?

Chia sẻ bên lề sự kiện Hội thảo Phòng, chống lừa đảo trên không gian mạng diễn ra ngày 13/5, ông Louis Smith, Giám đốc Cấp cao, Quản lý Rủi ro, Visa Đông Nam Á nhấn mạnh rằng, sẽ là quá muộn nếu can thiệp khi vụ lừa đảo đã xảy ra rồi, vì vậy những nỗ lực cần tập trung vào việc ngăn chặn các vụ gian lận trước khi nó xảy ra, trước khi nạn nhân tin cơ hội đầu tư, giới thiệu việc làm, hay mối quan hệ tình cảm là có thật.

Những yếu tố khiến ngân hàng, nhà cung cấp dịch vụ thanh toán quan tâm nhất về các vụ gian lận, lừa đảo qua mạng là gì?

Tôi nghĩ lừa đảo qua mạng đúng là một chủ đề nổi bật thời gian gần đây.

Ở vị trí của mình, tôi rất may mắn khi đã có cơ hội để công tác ở nhiều nước trong khu vực Đông Nam Á, và gặp gỡ các bên liên quan bao gồm cơ quan quản lý, cơ quan thực thi pháp luật và ngân hàng phát hành thẻ, ngân hàng thanh toán, các đơn vị chấp nhận thẻ,… để tìm hiểu về tình hình tấn công, nguy cơ và mối đe dọa chính hiện nay họ đang gặp phải.

Và với những kinh nghiệm đó, tôi có thể tổng hợp được 3 khía cạnh chính để trao đổi với bạn.

Thứ nhất, trong hơn 10 năm qua, chúng ta thấy rằng hàng loạt các công nghệ thanh toán mang tính đột phá sáng tạo đã ra đời. Các công ty cung cấp dịch vụ thanh toán không muốn bị bỏ lại phía sau trong việc cung cấp trải nghiệm tốt nhất cho khách hàng, đồng thời, cũng không muốn gặp phải các vấn đề về mất an ninh hay an toàn.

Với kinh nghiệm của mình, chúng tôi thấy rằng, các lĩnh vực đổi mới sáng tạo và doanh nghiệp mới thành lập sẽ dễ dàng là đối tượng mục tiêu của tội phạm an ninh. Trong khi, những doanh nghiệp lâu đời, như Visa chúng tôi chẳng hạn, với 70 năm kinh nghiệm, chúng tôi hầu như đã nhận biết được hết những vụ tấn công, các hình thái, phương thức tấn công…

Điều quan trọng thứ hai mà tôi muốn nhấn mạnh là trách nhiệm giải trình. Khi vấn đề hoặc sự cố xảy ra, trách nhiệm sẽ là của ai? Các khách hàng thường luôn nói rằng "tôi không biết tại sao mọi thứ lại như thế" và rồi yêu cầu là phải được hoàn lại đầy đủ tài sản.

Yếu tố thứ ba đó là danh tiếng, uy tín của doanh nghiệp và cơ quan quản lý, thực thi pháp luật. Việc mất đi sự tín nhiệm vì đã không nỗ lực bảo vệ khách hàng sẽ khiến doanh nghiệp gặp phải vấn đề lớn. Ví dụ như các đơn vị cung cấp dịch vụ thanh toán, kể cả là có tốt hàng đầu thế giới, nhưng nếu để xảy ra vấn đề mất an toàn thì khách hàng luôn có ấn tượng xấu về điều đó.

Vì vậy, có 3 yếu tố quan trọng mà các doanh nghiệp phải tập trung vào trong bối cảnh này, thứ nhất là phải đảm bảo theo kịp với các công nghệ đổi mới sáng tạo, thứ hai là đảm bảo về trách nhiệm và thứ ba là bảo vệ danh tiếng và uy tín.

Trong số các thủ đoạn gian lận khác nhau, loại nào đang khiến các bên liên quan trong lĩnh vực thanh toán lo ngại nhất?

Chúng tôi chia các cuộc tấn công/lừa đảo thành hai loại chính, một là các cuộc tấn công kỹ thuật và hai là phi kỹ thuật.

Và thứ đáng lo ngại hơn là các cuộc tấn công phi kỹ thuật. Ở các cuộc tấn công này, đối tượng sẽ xây dựng niềm tin đối với nạn nhân thông qua việc chào mời cơ hội đầu tư, việc làm hay mối quan hệ tình cảm, từ đó đánh cắp dữ liệu và tấn công. Những vụ tấn công này dựa trên niềm tin, cảm xúc cá nhân, nên một số nạn nhân thậm chí còn không tin mình đã bị lừa.

Có những câu chuyện có thật mà tôi có thể kể cho bạn, ví dụ như lừa đảo liên quan đến tình cảm. Thường đối tượng bị tấn công là phụ nữ, họ giàu có, thành đạt... Kẻ tấn công không gặp trực tiếp nạn nhân mà chỉ trao đổi online. Rồi bỗng nhiên đối tượng lừa thông báo biến cố xảy ra để xin tiền nạn nhân, có thể là nhập viện, có thể là cứu chữa mẹ già… Nạn nhân vì đã mù quáng nên rất khó để nhận ra điều bất thường.

Thậm chí có kẻ còn mạo nhận là phi hành gia, mắc kẹt ở trạm ngoài không gian và cần tiền để… quay lại trái đất và lừa được đến nửa triệu đô. Rất may là vụ việc đã được báo cáo và trung tâm của chúng tôi đã ngăn chặn. Nhưng điều bất ngờ là khi chúng tôi liên hệ với nạn nhân, họ thậm chí không cho rằng mình bị lừa, không muốn lấy lại tiền và sẵn sàng chi thêm tiền bảo lãnh kẻ lừa đảo.

Thật buồn khi nghe câu chuyện vừa rồi. Với góc nhìn của Visa, cần hành động như thế nào để bảo vệ các khách hàng này?

Kể câu chuyện này, tôi muốn nói rằng, sẽ là quá muộn nếu chúng ta can thiệp khi vụ lừa đảo đã xảy ra rồi. Vì vậy những nỗ lực của chúng tôi luôn tập trung vào việc ngăn chặn các vụ gian lận trước khi nó xảy ra, ví dụ như trước khi nạn nhân tin cơ hội đầu tư, giới thiệu việc làm, hay mối quan hệ tình cảm là có thật. Với trí tuệ nhân tạo (AI) và data pattern, chúng tôi có thể xác định các vụ việc sắp diễn ra.

Nói sâu hơn về việc theo dõi dữ liệu, tôi lấy ví dụ, với một tài khoản bình thường, trong thời gian đầu, các giao dịch có tần suất thấp, giá trị thấp, nhưng khi vụ lừa đảo sắp xảy ra, tần suất và giá trị giao dịch sẽ tăng rất bất thường.

Tất cả các thủ đoạn lừa đảo đều phải có một công thức nào đó, và với việc theo dõi hệ sinh thái với hàng triệu tài khoản, chúng tôi có thể sử dụng AI để xác định được mẫu dữ liệu đại diện cho mô hình lừa đảo, thì việc phát hiện được mô hình lừa đảo chỉ cần 5-10 ngày, thậm chí là 1 phút trước khi giao dịch lừa đảo diễn ra, ta đã có thể ngăn chặn.

Nhờ sáng kiến kết nối doanh nghiệp, ngân hàng, tổ chức chính phủ, cơ quan thực thi pháp luật,… khi các mô hình dữ liệu tấn công được phát hiện, chúng tôi chia sẻ với các doanh nghiệp, ngân hàng, cơ quan thực thi pháp luật… trong mạng lưới để đưa ra quyết định phối hợp hành động một cách hiệu quả.

Hiện nay, sự lộng hành của băng nhóm lừa đảo xuyên biên giới cũng là một vấn đề nổi cộm khiến các nhà chức trách đặc biệt quan tâm. Visa nghĩ sao về việc phòng chống loại tội phạm này?

Các băng nhóm lừa đảo thường tin rằng tấn công xuyên biên giới thì khó bị bắt hơn, chúng nghĩ là như vậy, nhưng thực tế thì không hẳn. Visa, chúng tôi phối hợp với cảnh sát và lực lượng an ninh các nước để phối hợp trấn áp tội phạm. Năm 2023, chúng tôi đã góp sức hơn 200 vụ triệt phá các băng đảng như vậy, và chúng tôi đã ngăn chặn được các giao dịch gian lận trị giá lên đến 40 tỷ USD, một con số rất lớn.

Mặt khác, khi có một vụ tấn công mạng nào đó xảy ra một quốc gia cụ thể, mạng lưới toàn cầu, hệ thống thông tin AI của chúng tôi sẽ ghi nhận lại các dữ liệu mẫu này và gửi các thông tin cảnh báo cho đơn vị phát hành thẻ ở Việt Nam. Cũng có khi vụ việc bắt đầu ở Việt Nam trước, chúng tôi sẽ chia sẻ cho các đơn vị có liên quan ở nước khác chẳng hạn.

Chúng tôi cũng đã tổ chức các diễn đàn với sự tham dự của hơn 120 chuyên gia trong lĩnh vực phòng chống gian lận, những người có hàng chục năm kinh nghiệm và liên tục kết nối với nhau để chia sẻ dữ liệu. Các ngân hàng, nhà cung cấp dịch vụ thanh toán có thể cạnh tranh trong việc kinh doanh, nhưng sẽ hợp tác với nhau trong việc phòng chống gian lận.

Ngoài ra, chúng tôi xây dựng Lộ trình về an ninh thanh toán cho từng quốc gia khu vực châu Á - Thái Bình Dương, trong đó có Việt Nam, để đưa ra các khuyến nghị về công cụ, hạ tầng, quy trình áp dụng…

Visa, với mạng lưới thanh toán lớn nhất trên toàn cầu, mỗi giây xử lý tới 76.000 giao dịch. Chúng tôi đã xây dựng trung tâm phòng chống rủi ro (risk operations center), hoạt động như trung tâm tế bào thần kinh, 24/7, 365 ngày mỗi năm, để theo dõi, giám sát giao dịch. Chúng tôi lần theo dấu vết của các hoạt động phạm tội thông qua các mẫu dữ liệu, để ngăn chặn những vụ gian lận này trước khi nó xảy ra. Trong 5 năm qua, chúng tôi đã đầu tư 10 tỷ USD vào giải pháp dựa trên AI để ngăn chặn các vụ gian lận, cũng như cho các hoạt động nâng cao nhận thức, kết nối các đơn vị liên quan.

Như ông đã đề cập, các CEO luôn đối mặt với việc không được bỏ lại phía sau trong cuộc đua công nghệ, nhưng cũng không được để mất an ninh, an toàn. Vậy ở chính Visa, mọi thứ diễn ra như thế nào?

Trước đây, với các giao dịch sử dụng thẻ, chúng tôi sẽ kiểm tra một số trường thông tin như chủ thẻ, số thẻ, tên của đơn vị chấp nhận thanh toán, địa điểm giao dịch, giá trị thanh toán… và xác thực thanh toán qua mã OTP. Tuy nhiên, OTP là chưa đủ an toàn, kẻ tấn công mạng có thể đánh cắp OTP bằng nhiều thủ đoạn khác nhau. Chúng tôi nghĩ đến việc, kẻ lừa đảo sẽ không tìm đến khách hàng, nếu chúng biết rằng, bạn không có mã OTP nào để cung cấp cho chúng cả.

Vậy làm thế nào để không dùng OTP nhưng vẫn đảm bảo an toàn?

Từ tháng 10/2022, chúng tôi đã áp dụng công nghệ mới với việc xác thực hơn 130 trường dữ liệu, gấp 10 lần trước đây và qua đó, chúng tôi có được bức tranh tổng thể hơn về giao dịch thanh toán. Ví dụ, chúng ta mua sắm trên điện thoại, chúng tôi có thể biết đây có phải thiết bị mà chủ tài khoản đã từng sử dụng hay không. Hoặc chúng tôi cũng có thể nhận ra bất thường khi khách hàng luôn sử dụng một tài khoản cố định để mua sắm trên Amazon nhưng bỗng nhiên lại dùng một tài khoản mới.

Với 130 trường dữ liệu này, chúng tôi sẽ sử dụng AI để chấm điểm giao dịch, 0 điểm tức là giao dịch này cực kỳ sạch, còn 100 điểm thì chắc chắn là gian lận, phải ngăn chặn. Chúng tôi thấy rằng, xác thực giao dịch không sử dụng OTP cũng đã bắt đầu phổ biến hơn trên thế giới, ở khu vực châu Á - Thái Bình Dương thì 50% giao dịch đã không còn sử dụng OTP nữa.

Và mặt khác, chúng tôi cũng muốn cảnh báo khách hàng là ngân hàng không bao giờ yêu cầu bạn cung cấp số thẻ, số PIN hay mã OTP, ngân hàng cũng không bao giờ gửi cho bạn đường link để thu thập thông tin cá nhân, thông tin thẻ của bạn. Đó là gian lận. Những thứ quá tốt như cơ hội đầu tư lãi cực cao, những việc làm nhàn hạ lương tốt, thì rất có thể không phải là sự thật.

Chúng tôi cho rằng việc nâng cao nhận thức cũng là vô cùng quan trọng, vì dù có đầu tư nhiều tỷ đô vào dữ liệu và các biện pháp an ninh, mà khách hàng vô tư bỏ qua những dấu hiệu bất thường, sẵn sàng cung cấp thông tin nhạy cảm của họ thì mọi giải pháp đều vô nghĩa.

Chúng ta đã thấy một thực tế là thủ đoạn, kịch bản lừa đảo qua mạng luôn không ngừng thay đổi, và kẻ lừa đảo cũng "thích nghi" rất nhanh với các biện pháp phòng chống gian lận mới. Ông nghĩ thế nào về điều này?

Rào cản để trở thành một tội phạm mạng đang ngày càng thấp hơn trước, nói cách khác, ngày nay không khó để trở thành tội phạm mạng. Có những trang dark web giới thiệu về mã độc, hướng dẫn các bước và thậm chí là cả tổng đài hỗ trợ online cho những tội phạm "tập sự".

Khi nhiều đối tượng sẵn sàng "học hỏi", "dám" trở thành tội phạm mạng thì có thể có hàng trăm, hàng ngàn vụ chúng thất bại, nhưng chỉ cần một lần thành công thôi, chúng cũng có thể đột nhập hệ thống, và hậu quả là khó lường.

Chính vì vậy, chúng tôi vẫn luôn theo dõi sát sao hệ thống của mình, với kiến thức, kinh nghiệm và đội ngũ 600 chuyên gia về tội phạm mạng. Chúng tôi cũng tích cực hợp tác với các ngân hàng đối tác, để lan tỏa thông điệp đến với khách hàng là chúng tôi đang làm tất cả những gì có thể để bảo vệ họ.

Cảm ơn chia sẻ của ông!