Thẻ ngân hàng với chip thông minh vẫn có thể bị hack

Con chip mới và thẻ PIN hứa hẹn sẽ bảo mật tốt hơn so với thẻ thông thường nhưng bọn tội phạm sẽ nhanh chóng phá được hàng rào bảo vệ ấy. Liệu hình thức thanh toán nào sẽ an toàn cho chúng ta?

Thẻ ngân hàng với chip thông minh vẫn bị hack

Ngành ngân hàng đã dồn rất nhiều công sức, thời gian và tiền bạc để bảo vệ thẻ ngân hàng. Trước đây, họ bảo vệ chúng qua dãy số in nổi và chữ ký, nhưng giờ đây, những con chip thông minh và mật khẩu sẽ bảo vệ tiền của bạn khỏi tội phạm muốn đánh cắp tiền của bạn.

Con chip mới và thẻ PIN (một loại thẻ EMV chuẩn) hứa hẹn sẽ bảo mật tốt hơn so với thẻ thông thường nhưng bọn tội phạm sẽ nhanh chóng phá được hàng rào bảo vệ ấy. May mắn thay, không chỉ có bọn tội phạm kiểm chứng hệ thống mà còn có rất nhiều chuyên gia bảo mật cũng kiểm tra những hệ thống này. Các nhà nghiên cứu thăm dò các lỗ hổng bảo mật bên trong các thiết bị thanh toán, cố gắng tìm ra chúng để thông báo cho nhà phát triển để nhanh chóng vá lỗi trước khi bọn tội phạm kịp tìm đường sơ hở để thâm nhập.

Bài thuyết trình của các nhà nghiên cứu của Black Hat mang đến cả hy vọng và lo lắng: Vâng, bọn tội phạm có thể cúp tiền từ thẻ ngân hàng có chip thông minh – nhưng người ta vẫn có thể tự bảo vệ mình. Hai nhân viên của công ty NCR, một công ty phát triển cổng thanh toán và ATM, đã trình bày một cuộc tấn công ở cổng thanh toán thường xảy ra ở các cửa hàng và trạm xăng. Họ thâm nhập vào hệ thống giao tiếp giữa máy tính chủ của cửa hàng (thường là quầy thu ngân) và dụng cụ thanh toán (thường là máy POS quẹt thẻ) thông qua một máy tính Rasberry Pi nhỏ và rẻ tiền. Thông thường thì giao tiếp giữa hai hệ thống sẽ được mã hóa, nhưng trong một số trường hợp, cổng thanh toán được thiết lập sử dụng hệ thống mã hóa yếu. Kết quả là, tội phạm có thể tấn công “giữa đường” bằng cách: thâm nhập vào hệ thống giao tiếp giữa thiết bị thanh toán và máy tính chủ, sau đó giải mã nó.

Cuộc tấn công không hoàn toàn lấy hết dữ liệu qua khỏi cổng bảo mật cơ bản của thẻ thông minh, nhưng thông tin cơ bản như mã PIN được mã hóa trong chip và không dễ dàng lấy được. Dù sao đi nữa, hacker vẫn có thể lấy những thông tin khác từ con chip – dữ liệu thường được viết trên dải từ tính.

Bằng cách này, tội phạm có thể tìm ra tên chủ thẻ, số thẻ và dùng thông tin đó để thanh toán online với sự trợ giúp của thẻ của nạn nhân. Lẽ dĩ nhiên, trong trường hợp đó, bọn tội phạm cũng cần phải có mã CVV2 hoặc CVC2 ở phía sau thẻ - mã này thường được giữ bí mật khi chuyển dữ liệu. Nhưng bọn tội phạm tinh ranh hơn thế, chúng có thể lừa chủ thẻ để lộ ra thông tin.  Thêm vào các yêu cầu thông thường như “gắn thẻ vào” và “Nhập mã PIN”, cổng thanh toán sẽ có thể thêm một số yêu cầu mới như là “Nhập mã CVV2 (hoặc CVC2)”.

Lại còn có cách tiếp cận khác: Tội phạm có thể thêm câu “Xảy ra lỗi, nhập mã PIN lần nữa” – nhưng lần này cổng thanh toán sẽ nghĩ là đang yêu cầu mở, thông tin không an toàn. Nếu thủ thuật này thành công, cổng sẽ gửi những thông tin an toàn như một thông tin không an toàn và tội phạm sẽ nhận được mã PIN của chủ thẻ.

Các nhà nghiên cứu đưa ra hai mẹo đơn giản cho chủ thẻ để bảo đảm an toàn tài chính.

Đầu tiên, đừng bao giờ nhập mã PIN hai lần cho một giao dịch thanh toán. Nếu bạn thấy một lỗi và yêu cầu nhập mã PIN lần nữa, hãy hủy giao dịch, lấy thẻ ra và cho thẻ vào lần nữa, nhập mã PIN lần nữa (một lần duy nhất). Bạn cũng nên nghi ngờ và từ chối bất kỳ những câu hỏi, yêu cầu lạ từ cổng thanh toán – đặc biệt là nếu câu hỏi đại loại như : “Mã CVC2/CVV2 của bạn là gì?”

Mẹo thứ hai không áp dụng được hết các quốc gia, nhưng cũng rất đắc lực cho bạn. Các chuyên gia khuyến khích sử dụng các cổng bảo mật thanh toán qua điện thoại (như Apple Pay). Dù sao đi nữa, thanh toán qua điện thoại vẫn an toàn hơn dùng thẻ tín dụng.

Tất nhiên là dùng tiền mặt vẫn an toàn hơn các hình thức thẻ khác. Theo bạn, hình thức nào an toàn nhất với bạn?

Minh Hương