1.jpg
Hầu hết các ngân hàng điện tử ở Việt Nam đang tồn tại lỗ hổng bảo mật. Ảnh minh họa.

Hôm qua, ngày 14/4, Trung tâm An ninh mạng Bách Khoa (Bkis) đã tổ chức hội thảo cảnh báo các lỗ hổng bảo mật trong các hệ thống ngân hàng điện tử ở Việt Nam với sự tham dự của đại diện hơn 50 ngân hàng đang hoạt động tại Việt Nam.

Ông Nguyễn Minh Đức, Giám đốc bộ phận an ninh mạng của Bkis cho biết trung tâm này đã khảo sát tổng thể hệ thống của hơn 20 ngân hàng hàng đầu tại Việt Nam đã triển khai hệ thống ngân hàng điện tử (Internet Banking). Kết quả khảo sát phát hiện thấy tất cả hệ thống ngân hàng điện tử của các ngân hàng này có lỗ hổng bảo mật. Các lỗ hổng này cho phép hacker có thể tấn công kiểm soát máy tính của người dùng, ăn cắp thông tin, cài mã độc vào máy chủ của ngân hàng và kiểm soát toàn bộ hệ thống.

Theo thống kê của Bkis, khoảng 80% trong số hơn 50 ngân hàng đang hoạt động tại Việt Nam đã triển khai các giải pháp ngân hàng điện tử cho phép khách hàng thực hiện một số giao dịch ngân hàng trực tuyến như vấn tin tài khoản, xem sao kê, số dư tài khoản hoặc chuyển tiền qua tin nhắn.

Ông Nguyễn Ngọc Minh, phụ trách an ninh thương mại điện tử của Bkis, cho biết trung tâm an ninh mạng này cũng đã xây dựng một hệ thống ngân hàng điện tử hoàn chỉnh mô phỏng giống với môi trường thực tế của các ngân hàng để tiến hành các thử nghiệm bảo mật, phát hiện các lỗ hổng và những khả năng khai thác các lỗ hổng đó của hacker.

Theo đánh giá của Bkis, các lỗ hổng bảo mật trong các hệ thống ngân hàng Việt Nam xuất hiện trong tất cả các khâu từ quá trình xử lý dữ liệu đầu vào, môi trường hệ thống lỏng lẻo cho đến chính sách bảo mật của các ngân hàng chưa đúng quy chuẩn.

Trong đó, có 7 lỗ hổng xuất hiện phổ biến nhất trong các hệ thống ngân hàng điện tử ở Việt Nam hiện nay là: lỗ hổng XSS (Cross Site Scripting) cho phép hacker tấn công trực tiếp vào máy tính người dùng (93% ngân hàng mắc lỗ hổng này); lỗ hổng CSRF lừa người dùng truy cập vào đường link chứa mã độc để ăn cắp thông tin hoặc chiếm quyền kiểm soát (93%); lỗ hổng trong quá trình xác thực cho phép hacker tấn công vào người dùng khác trong hệ thống (64%); không cập nhật bản vá và cấu hình lỏng lẻo (80%); lỗi SQL Injection mở đường cho hacker tấn công trực tiếp vào cơ sở dữ liệu (10%), và lỗ hổng MFU (Malicious File Uploading) cho phép hacker tấn công vào hệ thống hosting (16%).

Các chuyên gia an ninh mạng của Bkis cho rằng sở dĩ các hệ thống ngân hàng điện tử ở Việt Nam mắc nhiều lỗ hổng bảo mật như vậy là do thiếu quy trình đánh giá bảo mật độc lập về an ninh mạng khi triển khai hệ thống và không áp dụng các tiêu chuẩn về an ninh mạng một cách đồng bộ.

Trao đổi qua điện thoại với biên tập viên ICTnews, ông Bùi Thanh Tú, trưởng bộ phận Internet Banking của ngân hàng Sacombank cho rằng các lỗ hổng Bkis cảnh báo không mới, đều là những lổ hổng cổ điển nhưng không phải ai cũng biết và chắc chắn các ngân hàng có một trong những lổ hổng đó.

Mặc dù Sacombank đến nay chưa xảy ra hiện tượng hacker lợi dụng các lỗ hổng để tấn công vào ngân hàng và các khách hàng nhưng theo ông Tú, lý do chủ yếu là do hacker và cả ngân hàng chưa thực sự quan tâm vì các giao dịch ngân hàng điện tử mới chỉ là truy vấn, chưa có giao dịch chuyển tiền trực tuyến.

Tuy nhiên, ông Tú cho rằng điều này sẽ thay đổi khi các ngân hàng sắp sửa cung cấp dịch vụ chuyển tiền trực tuyến trên mạng Internet. Sacombank dự kiến sẽ cho phép các khách hàng chuyển khoản trực tuyến trên mạng Internet vào tháng 5 tới, sau đó có thể sẽ mở rộng dịch vụ chuyển tiền qua điện thoại di động.

“Khi cung cấp dịch vụ chuyển tiền trực tuyến, nguy cơ sẽ rất lớn nếu bị hacker lợi dụng”, ông Tú nói. “Cách khắc phục của chúng tôi là thuê các tổ chức bảo mật độc lập như Bkis khảo sát toàn bộ hệ thống để phát hiện và lấp các lỗ hổng bảo mật trước khi cung cấp dịch vụ. Bên cạnh đó, Sacombank đang có kế hoạch triển khai ứng dụng chữ ký số để đảm bảo an toàn cho các giao dịch ngân hàng điện tử".

Không chỉ Sacombank, nhiều ngân hàng Việt Nam đang chuẩn bị nâng cấp dịch vụ ngân hàng điện tử lên mức cao hơn, cho phép chuyển tiền trực tuyến chứ không chỉ dừng lại ở mức vấn tin và xem số dư như hiện nay. Vì vậy, như ông Tú nói cảnh báo của Bkis là thông tin hữu ích với các ngân hàng hiện nay.