Công tác bảo mật thẻ ngân hàng cần sự phối hợp chặt chẽ của tất cả các bên liên quan. Ảnh: shutterstock

Bỗng nhiên mất tiền

Chị N.T.T.L (Trung Hòa, Hà Nội) cho hay, sáng 30/5/2021, vừa nhìn vào điện thoại, chị giật mình vì nhận được hàng loạt tin nhắn trừ tiền trong tài khoản thẻ Vietcombank MasterCard, mặc dù chiếc thẻ vẫn nằm im trong ví. Theo tin nhắn thông báo, thẻ tín dụng của chị phát sinh giao dịch trừ tiền đầu tiên vào lúc 1h16 phút sáng. Từ 1h16 đến 1h33 sáng, có tất cả 7 giao dịch thành công bị trừ tiền, trong đó có 3 giao dịch trừ 1 USD/lần và 4 giao dịch trừ 6 triệu đồng/lần.

Đến 1h34, khi đối tượng thực hiện giao dịch tiếp theo thì bị ngân hàng chủ động thông báo khóa thẻ do phát hiện giao dịch đáng ngờ. Tổng cộng, chị bị bốc hơi mất hơn 24 triệu đồng trong tài khoản. Điểm chung của tất cả giao dịch này là thanh toán cho dịch vụ quảng cáo trên Facebook và không yêu cầu nhập mã OTP.

Sau khi mất tiền, chị L. đã gọi đến tổng đài Vietcombank và được hướng dẫn khiếu nại. Điều làm chị L. băn khoăn nhất là thẻ tín dụng được chị bảo mật rất cẩn thận, nhưng vẫn bị lộ thông tin.

Tương tự, anh C.D., một chủ thẻ Vietcombank Visa debit khác tối ngày 3/5 cũng bị trừ tiền 3 lần, mỗi lần 10 triệu đồng lúc nửa đêm, với thông báo thanh toán dịch vụ Facebook Ads tại Singarpore. Bạn của anh C.D., chủ thẻ Visa HSBC cũng bị trừ tiền dịch vụ Google Payments Google Ads, mặc dù chưa hề biết đến dịch vụ này.

Đầu năm nay, anh N.N., một chủ thẻ VPBank MasterCard cũng bị bốc hàng chục triệu đồng trong thẻ tín dụng lúc gần sáng, thanh toán cho dịch vụ của Apple (dịch vụ iTunes). Sau khiếu nại với ngân hàng, anh đã được hoàn trả lại số tiền sau 45 ngày và cấp thẻ mới.

Đẩy rủi ro cho khách hàng?

Nhiều chủ thẻ cho rằng, việc ngân hàng không gửi mã OTP cho khách hàng mà vẫn trừ tiền với các giao dịch trên chứng tỏ bảo mật của ngân hàng có vấn đề. Tuy nhiên, theo các chuyên gia thẻ, lỗi trên không thuộc về các ngân hàng trong nước, mà là do thỏa thuận của Visa, MasterCard với các đối tác lớn.

Trao đổi với phóng viên Báo Đầu tư, lãnh đạo một ngân hàng cho hay, việc trừ tiền như trên không phải do lỗi bảo mật thẻ của ngân hàng. Hiện nay, nhiều ngân hàng đã áp dụng tính năng 3D-Secure (3DS) để bảo vệ khách hàng khi giao dịch trực tuyến. Theo đó, bên cạnh các bước xác thực thông thường, Vietcombank sẽ gửi thêm mật khẩu giao dịch một lần (OTP) qua tin nhắn hoặc email để khách hàng nhập và hoàn tất giao dịch.

Tuy nhiên, mã OTP cho giao dịch trực tuyến chỉ được yêu cầu khi trang web của nhà cung cấp dịch vụ có hỗ trợ công nghệ 3DS. Nếu trang web cung cấp dịch vụ (ví dụ Facebook, Google, Apple…) không hỗ trợ, ngân hàng cũng không thể áp dụng.

Trong khi đó, nhiều khách hàng sử dụng thẻ tín dụng cho hay, nguy cơ bị lộ thẻ tín dụng khi thanh toán online là rất lớn, kể cả thanh toán trên các trang web uy tín như Agoda, Booking, Traveloca, Amazon…

Thực tế, không chỉ qua kênh thanh toán online, mà thông tin chủ thẻ có thể bị lộ thông qua nhiều hình thức (việc hàng chục ngàn ảnh chứng minh thư người Việt bị rao bán trên mạng với giá 9.000 USD mới đây là ví dụ điển hình). Kinh nghiệm để nhanh chóng được hoàn tiền, theo các chủ thẻ, là phải gọi tổng đài khóa thẻ và ra chi nhánh gần nhất để khiếu nại ngay lập tức.

Tuy nhiên, giải pháp quan trọng nhất để hạn chế việc bị hack thẻ tín dụng, theo chuyên gia ngân hàng, bên cạnh bảo mật thẻ cẩn thận, người dùng nên khóa thẻ tạm thời (hầu hết ngân hàng đều có chức năng này trên ứng dụng), khi nào sử dụng lại mở mở thẻ. Thao tác này chỉ mất 1 phút, nhưng đảm bảo an toàn cho chủ thẻ.