Thấy các bạn ở VN mất tiền qua Internet banking, cảm thấy nhiều bạn chưa biết nhiều về bảo mật điện tử (digital security) của hệ thống tài chính, mình viết vài dòng chia sẻ.
Số là trước khi bỏ nghề kỹ sư để theo đuổi ước mở trở thành kinh tế gia (không biết có thành công không, nhưng biết là đang theo đuổi ước mơ), trong thời gian làm việc ở Singapore gần 1 năm rưỡi, mình là kỹ sư chính phụ trách việc làm card ngân hàng cho tất cả các khách hàng châu Á (trừ Việt Nam) của Gemalto – công ty về card hàng đầu thế giới và là công ty phụ trách làm passport điện tử cho chính phủ Mỹ. Phụ trách việc làm credit card cho các ngân hàng từ Citibank, HSBC, Standard Chartered Bank, Maybank ở Singapore, và một số ngân hàng ở Hàn Quốc, Nhật, Indonesia, Cambodia, Malaysia, Ấn Độ và Trung Quốc, đặc biệt mình thiết kế bảo mật cho thẻ cá nhân của nhân viên Hãng Truyền Hình Trung Quốc, trừ Việt Nam. Không hiểu sao sếp không giao cho mình dự án ở các ngân hàng Việt Nam, mà thay vào đó là một đồng nghiệp người Singapore.
Trước đây, thẻ tín dụng (credit card) không có chip, chỉ có vạch từ. Thẻ này không an toàn. Một dạo trước đây, có chuyện các băng đảng mafia người Malaysia qua Việt Nam đánh cắp thông tin thẻ từ, rất dễ, và họ làm giả y chang các thông tin và trộm tiền bằng cách mua hàng. Với thẻ không có chip, hoặc chip có hệ thống bảo mật không đúng chuẩn, rất dễ bị ăn cắp thông tin. Họ chỉ cần dùng một cái máy đọc thẻ (card reader), quẹt qua một cái, các thông tin sẽ lưu lại trong máy, sau đó họ tải ra máy tính, và tải ngược lại thông tin lên một cái thẻ giả mới, và họ được một thẻ giả có tính năng y như thật, dùng để ăn cắp tiền.
Hiện nay, thế giới đã tiến một bước xa đến hệ thống bảo mật mới cho thẻ tín dụng. Chuẩn bảo mật mới này gọi là EMV, viết tắt của ba chữ đầu Europay-MasterCard-Visa, ba công ty lớn chuyên về thẻ tín dụng. Các công ty này không trực tiếp làm thẻ, mà họ bán quy trình bảo mật và đứng ra kiểm soát bảo mật hệ thống, từ khâu làm thẻ đến khâu bảo mật.
Vậy chuẩn bảo mật này như thế nào. Hệ thống bảo mật này thường có 3 (tầng) bảo mật, với ba lớp khóa khác nhau. Ví dụ một thẻ Visa. Lớp khóa thứ nhất là của Visa, khóa này đảm bảo rằng khi các máy đọc thẻ đọc vào thẻ tín dụng thì máy sẽ kiểm tra được có phải thẻ Visa hay của hãng nào khác, như MasterCard, American Express hay JCB, etc. Lớp khóa thứ hai, là khóa của ngân hàng, khóa này đảm bảo rằng khi máy đọc thẻ đọc vào thẻ sẽ phát hiện được thẻ thuộc ngân hàng nào. Lớp khóa thứ ba, là lớp khóa cá nhân, bao gồm số pin của thẻ, số CVC, OTP (one-time password, mật mã một lần). Đối với mật mã khóa của ngân hàng, qui trình bảo mật bao gồm 3 người nắm giữ 3 phần khác nhau của khóa. Khóa chỉ thực hiện khi từng người một nhập mã của mình vào máy và sau đó, máy sẽ thực hiện thuật toán, kết hợp 3 phần lại với nhau để trở thành mật mã của ngân hàng. Các khóa này được tải vào chip của thẻ, lần lượt tùy từng công đoạn.
Khi đưa thẻ tín dụng thanh toán, đầu tiên máy đọc thẻ sẽ gửi một tín hiệu tới chip. Chip sẽ phải thực hiện thuật toán với tín hiệu và gửi trả lại máy tín hiệu mới. Máy sẽ phân tích xem là các thông tin từ chip cho thấy thẻ tín dụng là thẻ thật hay thẻ giả dựa vào các thông số mật mã khóa. Bước thứ hai, chip sẽ gửi tiếp một tín hiệu khác tới máy đọc thẻ và máy đọc thẻ xử lý tín hiệu và gửi lại thông số cho thẻ; thẻ nhận tín hiệu và xử lý để kiểm tra xem máy đọc thẻ là máy thật hay máy giả. Chỉ cần một trong hai quy trình trên không được thực hiện trôi chảy là giao dịch chấm dứt.
Nhiều bạn lo ngại khi đi ăn mình đưa thẻ cho nhân viên nhà hàng, họ cầm thẻ của mình đi quẹt, rồi ra bắt mình ký tên vào hóa đơn. Nhỡ may họ biết được số của thẻ, 16 chữ số và 3 số CVC, họ có thể lên mạng mua đồ. Thực ra, giờ đây, đối với các ngân hàng bảo mật, họ bắt buộc có một bước bảo mật mới khi trả tiền online là xác nhận online (online verification) để xem có phải chính bạn là người mua hàng: đòi hỏi bạn phải có một cái token để tạo ra một loại mật mã một lần (OTP, one-time password), có trường hợp ngân hàng còn đòi thêm số PIN cá nhân nữa. Rất bảo mật vì nhân viên cửa hàng không thể nào có 2 số mật mã.
Trong một số trường hợp mua hàng, mình có thể gọi điện thoại và đọc 16 số của thẻ tín dụng cho nhân viên, nhân viên giúp mình mua hàng. Trường hợp này cũng rất bảo mật, vì khi nhận 16 số của thẻ, nhân viên sẽ hỏi bạn thêm ngày tháng năm sinh, đây là thông tin mà nhân viên cửa hàng khó mà biết được, và nếu thông tin không chính xác thì giao dịch không thực hiện. Khi mua vé máy bay chẳng hạn, họ còn bắt buộc bạn mang theo passport và thẻ tín dụng dùng để mua đi kèm để kiểm tra.
Một số ngân hàng bảo mật hơn, họ còn có dịch vụ gửi tin nhắn cho bạn thông báo số tiền bạn mua hàng hay chuyển khoản, nếu số tiền đó lớn hơn một mức nào đó. Giúp bạn kiểm tra các giao dịch của mình.
Khi các cửa hàng nhận thẻ tín dụng, họ bắt bạn đưa chứng minh thư để kiểm tra thêm chữ ký của bạn và nhân thân. Cho nên trường hợp một người ăn cắp được thẻ của bạn, hoặc bạn lỡ đánh rơi thẻ, thì cũng khó có khả năng họ dùng thẻ của bạn đi mua được hàng, nếu nhân viên của hàng đó cẩn thận thực hiện đúng quy trình kiểm tra tên và so sánh chữ ký. Dĩ nhiên, tốt hơn, bạn nên báo ngân hàng ngay khi mất thẻ.
Ở Nauy, chính phủ điện tử, họ còn dùng thêm hai mã số nữa là BankID và số cá nhân cho online banking. Hai mật mã này vừa để nhập vào online banking và cũng để thực hiện việc giao dịch online bên cạnh mật mã một lần OTP. Ngoài ra, hai số BankID và số cá nhân còn được chia sẽ với chính phủ Nauy để bạn dùng để nhập vào hệ thống chính phủ điện tử để khai báo địa chỉ mới, làm giấy khai sinh cho con và tất cả các thủ tục liên quan đến chính quyền khác.
Chính vì vậy, nếu các ngân hàng thực hiện bảo mật đúng cách thì bạn không việc gì phải lo nghĩ nhiều.
Oslo, 18.7.2013