Cuối năm ngoái, N.T.D, 27 tuổi, nhân viên một công ty truyền thông tại Hà Nội, bỗng phát hiện số tiền 1.600 AED, tương đương hơn 11 triệu đồng bị trừ khỏi thẻ tín dụng. Giao dịch được thực hiện vào buổi tối, từ một dịch vụ có tên “HOT STAR TRADING”, dù anh khẳng định chưa từng dùng dịch vụ này. Khi gọi lên ngân hàng để yêu cầu hỗ trợ, câu trả lời khiến anh choáng: giao dịch đó không yêu cầu mã OTP, vì phía nền tảng quốc tế kia đã tắt tính năng xác thực.
Giao dịch trừ hơn 11 triệu đồng từ thẻ tín dụng của anh N.T.D từ một dịch vụ lạ hoắc
“Không cần OTP, không có email báo, chỉ cần 3 dòng số là mất tiền. Mình tưởng ngân hàng có thể bảo vệ, hóa ra mình đang ở một sân chơi mà luật lệ do… bên kia đặt ra”, anh nói.
Trường hợp của N.T.D không hề cá biệt. Trong thời đại số, khi việc mua hàng online, thuê dịch vụ quốc tế hay đăng ký nền tảng số trở nên phổ biến, thẻ tín dụng trở thành công cụ thanh toán nhanh gọn. Nhưng ít ai ngờ rằng chính những tiện lợi đó lại đi kèm những lỗ hổng cực kỳ nguy hiểm. chỉ cần bị lộ 3 dãy số: số thẻ, ngày hết hạn và mã CVV, tài khoản của bạn có thể “bốc hơi” mà không qua bất kỳ lớp bảo mật nào.
Kẻ gian không cần cao siêu, chỉ cần bạn… sơ ý
Cơ chế thanh toán thẻ quốc tế (Visa, MasterCard, JCB…) vốn được thiết kế để đơn giản hóa quá trình chi tiêu: chỉ cần nhập số thẻ, ngày hết hạn và mã CVV là có thể thanh toán. Đối với nhiều nền tảng quốc tế như Facebook Ads, Amazon, các dịch vụ cloud hosting hay đăng ký phần mềm, bước xác thực OTP, vốn quen thuộc với người dùng ngân hàng Việt, lại không hề bắt buộc.
Trong một số giao dịch, việc nhập đủ 3 thông tin trên là đủ để hoàn tất thanh toán. Facebook, chẳng hạn, thường cho phép người dùng quốc tế thực hiện chi tiêu quảng cáo mà không qua OTP. Điều này khiến nền tảng này trở thành một trong những “điểm đến” ưa thích của tội phạm mạng, vì chúng có thể dùng thẻ bị đánh cắp để tiêu tiền mà nạn nhân không hề hay biết cho tới khi sao kê được gửi về.
Không thiếu những khoảnh khắc “hớ hênh” khoe thẻ “sống ảo” của người dùng Việt như này trên mạng xã hội (Ảnh đã được làm mờ số thẻ)
Trên Reddit, không thiếu các bài chia sẻ của người dùng toàn cầu về việc thẻ tín dụng bị dùng chạy quảng cáo Facebook trái phép. Có người bị mất hơn 9.000 USD chỉ sau một đêm. Các báo cáo từ FTC (Ủy ban Thương mại Liên bang Mỹ) năm 2023 cho thấy có hơn 114.000 vụ gian lận liên quan đến thẻ thanh toán, trong đó các giao dịch không hiện diện thẻ (card-not-present, hay CNP) chiếm đến 81% tổng số trường hợp.
Chị L.B.P, 34 tuổi, freelancer ngành thiết kế tại Hà Nội, từng nhập thông tin thẻ vào một trang cung cấp dịch vụ đặt vé máy bay, khách sạn quốc tế.“Chỉ vài ngày sau, thẻ của tôi bị dùng để đăng ký dịch vụ từ nước ngoài. Giao dịch không có OTP, không có thông báo, đến khi tôi phát hiện thì tiền đã bị trừ sạch. Tôi gọi ngân hàng khoá thẻ ngay lập tức, nhưng cảm giác mất kiểm soát vẫn rất ám ảnh.”
Brute force và hệ sinh thái đang quá dễ dãi với kẻ gian
Vấn đề không chỉ nằm ở việc merchant bỏ qua OTP. Ngay cả mã CVV, 3 chữ số mặt sau thẻ, cũng có thể bị kẻ xấu “brute force” nếu đã nắm trong tay số thẻ và ngày hết hạn.
Theo các chuyên gia bảo mật, kỹ thuật brute force cho mã CVV không đòi hỏi công nghệ cao. Vì mã chỉ có 3 chữ số (từ 000 đến 999), tổng cộng chỉ có 1.000 tổ hợp. Một công cụ đơn giản có thể thử hết các tổ hợp này trong vài giờ, đặc biệt nếu merchant không giới hạn số lần nhập sai.
Các hệ thống merchant nhỏ, hoặc được cấu hình “lỏng tay” ở khâu xác thực, trở thành mục tiêu tấn công lý tưởng. Dù các tổ chức phát hành thẻ như Visa hay MasterCard đưa ra chuẩn bảo mật PCI‑DSS yêu cầu không lưu CVV và khuyến nghị dùng 3D Secure (yêu cầu OTP hoặc xác minh hai lớp), nhưng quyền quyết định có bật lớp bảo vệ này hay không lại nằm ở… phía merchant.
Khi nhận thẻ, các ngân hàng thường tặng kèm tem vỡ để người dùng bảo mật số CVV
Thực tế, nhiều nền tảng quốc tế chọn tắt 3D Secure để giảm bước xác thực, giúp tăng tỉ lệ hoàn tất giao dịch, và cũng vô tình biến người dùng thành “lá chắn sống”. Bởi nếu thông tin thẻ bị đánh cắp và giao dịch đã được thực hiện, khả năng hoàn tiền lại cho nạn nhân sẽ phụ thuộc vào chính sách ngân hàng và thời gian phát hiện vụ việc, chưa kể các thủ tục tranh chấp phức tạp, kéo dài.
Thẻ tín dụng, về lý thuyết, là một trong những công cụ thanh toán hiện đại và tiện lợi nhất. Nhưng trong thực tế, chỉ một lần nhập thông tin thẻ vào một nền tảng không rõ ràng, hoặc vô tình để lộ mặt sau thẻ, người dùng đã trao vào tay kẻ gian mọi thứ cần thiết để tiêu tiền.
Điều đáng lo là hầu hết người dùng Việt vẫn mặc định tin rằng mọi giao dịch đều có OTP, hoặc ngân hàng sẽ chặn kịp thời. Trong khi đó, các nền tảng quốc tế, vì lợi ích riêng vẫn dễ dàng “né” những ràng buộc bảo mật. Hệ sinh thái thẻ quốc tế hiện tại vẫn tồn tại những khoảng trống chết người, nơi mà sự tiện lợi của một cú click đồng nghĩa với rủi ro mất tiền thật.
Cần trang bị hiểu biết về những nguy cơ bảo mật khi sử dụng thẻ tín dụng
Trong lúc chờ một sự thay đổi đồng bộ từ hệ thống merchant và tổ chức phát hành, người dùng chỉ còn cách bảo vệ bản thân: không nhập thông tin thẻ lên các nền tảng không rõ nguồn gốc, không chụp hay lưu ảnh thẻ trong điện thoại, và hãy cân nhắc sử dụng thẻ phụ, thẻ ảo hoặc ví trung gian khi giao dịch quốc tế.
Vì trong thời đại kỹ thuật số, 3 dãy số nhỏ có thể mở cánh cửa lớn dẫn thẳng đến chiếc ví của bạn.
Đọc bài gốc tại đây.
