Thế giới đã trở nên số hóa, và cùng với đó, ngày càng nhiều người chuyển sang sử dụng các ứng dụng mobile banking để quản lý tài chính của họ. Mặc dù các ứng dụng này tiện lợi và dễ sử dụng, nhưng chúng cũng tiềm ẩn một rủi ro ẩn giấu: các lỗ hổng bảo mật. Theo báo cáo “2021 State of Mobile Finance App Security” của Intertrust, 77% ứng dụng mobile banking có ít nhất một lỗ hổng bảo mật có thể dẫn đến việc dữ liệu cá nhân của bạn bị rò rỉ hoặc đánh cắp.

Các ứng dụng mobile banking là công cụ hữu ích để quản lý tài chính khi bận rộn. Tuy nhiên, có những rủi ro liên quan đến việc sử dụng chúng do các lỗ hổng bảo mật tiềm ẩn và những kẻ tấn công độc hại cố gắng truy cập dữ liệu và tiền của chúng ta thông qua các chiến dịch lừa đảo và phần mềm độc hại như keylogger và overlay. Trong bài viết này, chúng tôi sẽ thảo luận về các rủi ro khác nhau liên quan đến ứng dụng mobile banking và cách bạn có thể tự bảo vệ mình khi sử dụng chúng.

Cách kẻ lừa đảo có thể truy cập ứng dụng mobile banking của bạn

Email hoặc tin nhắn phising

Cách phổ biến nhất mà kẻ lừa đảo cố gắng truy cập ứng dụng mobile banking của bạn là thông qua email hoặc tin nhắn lừa đảo trông giống như được gửi từ ngân hàng hoặc tổ chức tài chính của bạn. Những email này chứa các liên kết dẫn đến một trang web giả mạo, nơi bạn được yêu cầu nhập thông tin đăng nhập và các thông tin cá nhân khác. Nếu kẻ lừa đảo không thể truy cập trực tiếp vào ứng dụng mobile banking của bạn, chúng có thể cố lừa bạn sử dụng một ứng dụng giả mạo. Các ứng dụng giả mạo thường trông giống hệt ứng dụng chính gốc nhưng được thiết kế để đánh cắp tiền của bạn khi bạn thực hiện giao dịch tài chính qua chúng.

Đánh cắp dữ liệu xác thực

Ngoài ra, kẻ lừa đảo có thể truy cập tài khoản của bạn nếu bạn làm mất hoặc vô tình cung cấp thông tin như tên người dùng, mật khẩu, mã PIN và các mã bảo mật khác. Việc cập nhật phần mềm bảo mật trên tất cả các thiết bị được sử dụng cho online banking là rất quan trọng để giúp phát hiện hoạt động độc hại sớm. Cuối cùng, không bao giờ lưu trữ dữ liệu bí mật như tên người dùng và mật khẩu trên cùng một thiết bị được sử dụng để thực hiện các hoạt động online banking – hãy luôn sử dụng các giải pháp lưu trữ an toàn thay thế.

Phần mềm keylogger ẩn trong các ứng dụng khác

Một mối quan ngại khác mà các chuyên gia an ninh mạng đã phát hiện ra là những kẻ tấn công độc hại đã tạo ra phần mềm “keylogger”, một loại phần mềm độc hại được ẩn trong các ứng dụng tưởng chừng như vô hại khác. Phần mềm độc hại này có thể ghi lại các lần gõ phím khi người dùng nhập thông tin đăng nhập vào ứng dụng mobile banking và sau đó gửi thông tin này trở lại cho hacker đã tạo ra nó. Loại phần mềm độc hại này cũng có thể được sử dụng cho các cuộc tấn công “overlay”, nơi nó hiển thị các trường nhập dữ liệu bổ sung trên giao diện đăng nhập hợp pháp để thu thập tên người dùng, mật khẩu hoặc thông tin nhạy cảm khác của người dùng. Nếu người dùng nhập thông tin đăng nhập vào các trường giả mạo này, dữ liệu của họ có thể bị đánh cắp mà không hề hay biết.

Tấn công Man-in-the-Middle

Tấn công Man-in-the-Middle (MitM) xảy ra khi một kẻ tấn công độc hại chặn giao tiếp giữa thiết bị di động của bạn và máy chủ của ngân hàng. Điều này có thể xảy ra trên các mạng không bảo mật, cho phép kẻ tấn công đánh cắp thông tin nhạy cảm như thông tin đăng nhập và dữ liệu giao dịch. Các cuộc tấn công MitM đặc biệt nguy hiểm vì chúng có thể không bị phát hiện bởi chủ sở hữu thiết bị.

Ví dụ:

• Khi sử dụng Wi-Fi công cộng tại quán cà phê, hacker có thể chặn lưu lượng truy cập ứng dụng ngân hàng của bạn và lấy cắp thông tin đăng nhập.
• Kẻ lừa đảo thiết lập một điểm phát Wi-Fi giả có tên “SecureBank_FreeWiFi”. Khi bạn kết nối, chúng có thể theo dõi tất cả hoạt động của bạn, đánh cắp dữ liệu nhạy cảm như mã phiên và thông tin cá nhân.

Đánh tráo SIM và trộm cắp điện thoại

Kẻ lừa đảo có thể lợi dụng việc đánh tráo SIM, nơi chúng lừa nhà cung cấp dịch vụ di động chuyển số điện thoại của bạn sang một thẻ SIM mới. Điều này cho phép chúng nhận mã xác thực hai yếu tố (2FA) và đặt lại thông tin đăng nhập ngân hàng của bạn.

Ví dụ:

• Kẻ lừa đảo gọi cho nhà cung cấp dịch vụ di động, giả danh bạn và thuyết phục họ cấp một thẻ SIM mới cho số điện thoại của bạn. Khi đã kiểm soát, chúng có thể chặn mã 2FA và đặt lại thông tin đăng nhập ngân hàng của bạn.
• Điện thoại của bạn bị đánh cắp, và nếu không được bảo vệ bằng sinh trắc học hoặc mật khẩu mạnh, kẻ trộm có thể truy cập ứng dụng ngân hàng và đặt lại thông tin đăng nhập để thực hiện các giao dịch trái phép.

Mạng Wi-Fi không bảo mật

Các mạng Wi-Fi công cộng nổi tiếng là không an toàn, khiến chúng trở thành mục tiêu chính của tội phạm mạng. Khi bạn kết nối với một mạng mở, kẻ tấn công có thể theo dõi hoạt động của bạn, có khả năng thu thập thông tin đăng nhập hoặc dữ liệu nhạy cảm khác. Thực hiện giao dịch mobile banking qua Wi-Fi công cộng làm tăng đáng kể nguy cơ bị tấn công mạng.

Các tình huống phổ biến bao gồm:

• Kết nối với một mạng mở tại sân bay hoặc khách sạn cho phép kẻ tấn công theo dõi hoạt động của bạn, bao gồm cả các giao dịch ngân hàng.
• Một tin tặc sử dụng công cụ dò gói tin để thu thập thông tin nhạy cảm, chẳng hạn như thông tin đăng nhập hoặc dữ liệu chưa được mã hóa, trong khi bạn đang kết nối với một mạng không bảo mật.

Phiên bản ứng dụng lỗi thời và lỗ hổng phần mềm

Chạy các phiên bản cũ của ứng dụng ngân hàng hoặc hệ điều hành (OS) có thể khiến thiết bị của bạn dễ bị tấn công bảo mật. Kẻ tấn công khai thác các lỗ hổng này để truy cập trái phép vào thông tin cá nhân và tài chính.

Ví dụ bao gồm:

• Bạn bỏ qua một bản cập nhật ứng dụng ngân hàng mà không biết rằng nó chứa các bản vá bảo mật quan trọng. Kẻ tấn công khai thác lỗ hổng này để truy cập dữ liệu của bạn.
• Thiết bị của bạn chạy một hệ điều hành lỗi thời, khiến phần mềm độc hại dễ dàng vượt qua các giao thức bảo mật cũ và truy cập thông tin nhạy cảm.

Nắm được những chiến thuật thực tế này và luôn cảnh giác, bạn có thể bảo vệ tốt hơn trải nghiệm mobile banking và thông tin tài chính của mình.

Mẹo Giảm thiểu Rủi ro

Biện pháp Bảo vệ cho Người tiêu dùng để Giảm thiểu Rủi ro Mobile Banking

Để bảo vệ bản thân khi sử dụng dịch vụ mobile banking, hãy đảm bảo rằng bạn chỉ sử dụng các phiên bản ứng dụng được ngân hàng phê duyệt chính thức và không bao giờ nhấp vào các liên kết đáng ngờ trong email hoặc tin nhắn văn bản có vẻ như từ ngân hàng hoặc bất kỳ tổ chức tài chính nào khác. Người tiêu dùng nên luôn:

• Sử dụng mật khẩu mạnh và xác thực hai yếu tố: Chọn mật khẩu phức tạp, duy nhất và bật xác thực hai yếu tố (2FA) để tăng cường bảo mật. Không bao giờ chia sẻ thông tin đăng nhập của bạn với bất kỳ ai, ngay cả khi họ tự nhận là đại diện của ngân hàng.
• Xác minh email và tin nhắn trực tiếp với ngân hàng: Không bao giờ nhấp vào các liên kết đáng ngờ và chỉ tải xuống ứng dụng từ các cửa hàng ứng dụng chính thức.
• Tránh sử dụng Wi-Fi công cộng cho các giao dịch tài chính: Luôn sử dụng mạng riêng bảo mật hoặc mạng riêng ảo (VPN) đã được kiểm định khi truy cập dịch vụ ngân hàng.
• Cập nhật thường xuyên ứng dụng ngân hàng và phần mềm thiết bị: Giữ cho ứng dụng và thiết bị di động của bạn luôn được cập nhật để đảm bảo bạn được bảo vệ trước các lỗ hổng bảo mật mới nhất.
• Giám sát hoạt động tài khoản và thiết lập thông báo: Thường xuyên kiểm tra tài khoản để phát hiện giao dịch trái phép và bật thông báo để nhận cảnh báo theo thời gian thực qua thiết bị di động hoặc SMS.
• Chỉ tải ứng dụng từ các nguồn đáng tin cậy: Đảm bảo bạn tải xuống ứng dụng ngân hàng trực tiếp từ trang web của ngân hàng để tránh các bản sao giả mạo có chứa phần mềm độc hại. Tránh các ứng dụng yêu cầu quyền truy cập không cần thiết.

Các Thực tiễn Bảo mật Ứng dụng Ngân hàng Cần thiết cho Tổ chức

Đối với các nhóm DevOps và tổ chức ngân hàng, việc tích hợp kiểm thử bảo mật ứng dụng di động vào quy trình phát triển một cách liền mạch là rất quan trọng để đảm bảo tuân thủ và bảo vệ người dùng mà không làm ảnh hưởng đến tốc độ.

Các kỹ thuật kiểm tra toàn diện:

• Sử dụng SAST (Kiểm tra bảo mật ứng dụng tĩnh), DAST (Kiểm tra bảo mật ứng dụng động), IAST (Kiểm tra bảo mật ứng dụng tương tác) và forced path execution (thực thi đường dẫn bắt buộc) để xác định lỗ hổng trong mã nguồn, thư viện và các thành phần phụ thuộc.
• Mô phỏng lỗ hổng thực tế: Mô phỏng các hành trình người dùng tùy chỉnh để phát hiện mối đe dọa và cung cấp thông tin chi tiết có thể hành động nhằm nâng cao bảo mật ứng dụng.
• Hỗ trợ tuân thủ: Hỗ trợ sẵn có các tiêu chuẩn quan trọng, bao gồm OWASP, GDPR và NIAP, giúp đơn giản hóa việc tuân thủ và đảm bảo tổ chức luôn sẵn sàng cho kiểm toán.
• Software Bill of Materials (SBOM): Đảm bảo tính minh bạch bằng cách xác thực SBOM và quét tìm lỗ hổng trong thư viện và các thành phần phụ thuộc lồng nhau thông qua Phân tích Thành phần Phần mềm (Software Composition Analysis – SCA).

Tương lai của bảo mật mobile banking

Xu hướng Cảnh báo Bảo mật AI và Giám sát theo Thời gian thực

AI đang đóng vai trò quan trọng trong việc giải quyết một trong những mối đe dọa nghiêm trọng nhất đối với bảo mật mobile banking: phần mềm độc hại. Các Trojan ngân hàng, như Emotet, được thiết kế để xâm nhập vào thiết bị và đánh cắp thông tin nhạy cảm bằng cách giả mạo ứng dụng hợp pháp hoặc tiêm mã độc vào các giao dịch.

Các hệ thống dựa trên AI nâng cao bảo mật thông qua các thuật toán sử dụng:

• Malware Signature Mapping (Lập bản đồ dấu hiệu phần mềm độc hại): AI có thể phát hiện các mối đe dọa đã biết bằng cách xác định các mẫu hành vi hoặc chữ ký mã liên quan đến phần mềm độc hại.
• Anomaly Detection (Phát hiện bất thường): Thuật toán máy học phân tích lượng lớn dữ liệu người dùng để phát hiện sự sai lệch so với hành vi bình thường, chẳng hạn như nỗ lực truy cập trái phép hoặc hoạt động ứng dụng bất thường.
• Dynamic Threat Response (Phản hồi mối đe dọa động): Hệ thống dựa trên AI có thể thích ứng theo thời gian thực với các mối đe dọa mới, ngay cả khi chưa từng thấy trước đây, bằng cách sử dụng phân tích dựa trên hành vi.

Vai trò của Blockchain trong Bảo mật Giao dịch

Blockchain cung cấp một phương pháp tiếp cận phi tập trung và minh bạch để bảo mật giao dịch tài chính. Không giống như các hệ thống truyền thống, nơi dữ liệu được lưu trữ trên các máy chủ tập trung, blockchain phân phối thông tin trên một mạng lưới, giúp nó có khả năng chống giả mạo hơn.

Lợi ích chính bao gồm:

• Bất biến: Một khi được ghi lại, giao dịch không thể bị thay đổi, đảm bảo tính chính xác và trách nhiệm.
• Phi tập trung: Giảm sự phụ thuộc vào một điểm lỗi duy nhất, giảm nguy cơ vi phạm trên quy mô lớn.
• Tăng cường độ tin cậy: Các cơ chế bảo vệ mật mã tích hợp đảm bảo rằng dữ liệu luôn an toàn và có thể xác minh.

Dự đoán về tiến bộ/phát triển trong xác thực người dùng

Những tiến bộ trong phương pháp xác thực đang định hình lại cách người dùng tương tác với ứng dụng mobile banking, ưu tiên bảo mật và sự tiện lợi. Các ngân hàng hiện đang chuyển sang nhiều phương pháp thay thế hơn cho tất cả các giao dịch kỹ thuật số.

Các công nghệ mới nổi bao gồm:

• Behavioral Analytics (Phân tích hành vi): Xác thực dựa trên cách một người nhập liệu, vuốt hoặc cầm thiết bị của họ, bổ sung một lớp bảo vệ vô hình mà không làm gián đoạn trải nghiệm người dùng.
• Multi-Factor Biometrics (Xác thực sinh trắc đa yếu tố): Kết hợp nhận diện khuôn mặt, quét vân tay hoặc nhận diện giọng nói để củng cố xác minh danh tính.
• Continuous Authentication (Xác thực liên tục): Hệ thống giám sát hành vi người dùng trong suốt phiên làm việc, cung cấp bảo mật liên tục mà không cần đăng nhập lại.

Hướng đi Sắp tới

Tổng kết các Rủi ro Chính và Biện pháp Bảo vệ dành cho Người tiêu dùng và Ngân hàng

Ứng dụng mobile banking đã cách mạng hóa cách quản lý tài chính, nhưng chúng cũng đi kèm với những rủi ro cố hữu. Các mối đe dọa chính bao gồm tấn công lừa đảo (phishing), phần mềm độc hại như Trojan ngân hàng và keylogger, hoán đổi SIM (SIM swapping), cũng như lỗ hổng từ phiên bản ứng dụng lỗi thời hoặc mạng không bảo mật. Những rủi ro này ảnh hưởng đến cả người tiêu dùng lẫn tổ chức tài chính.

Để giảm thiểu các mối đe dọa:

• Đối với người tiêu dùng: Sử dụng mật khẩu mạnh, bật xác thực hai yếu tố, tránh sử dụng Wi-Fi công cộng cho giao dịch ngân hàng và thường xuyên cập nhật ứng dụng cũng như phần mềm thiết bị. Theo dõi chặt chẽ hoạt động tài khoản và chỉ tải ứng dụng từ các nguồn đáng tin cậy.
• Đối với tổ chức tài chính: Triển khai các phương pháp kiểm tra bảo mật ứng dụng tiên tiến, tận dụng AI để phát hiện mối đe dọa theo thời gian thực và áp dụng công nghệ blockchain để bảo mật giao dịch. Đồng thời, cần giáo dục người dùng về các phương thức bảo mật tốt nhất và duy trì quy trình cập nhật ứng dụng nghiêm ngặt.

Những Ý nghĩ Cuối cùng về việc Xây dựng một Môi trường Mobile Banking An toàn

Tạo ra một hệ sinh thái mobile banking an toàn đòi hỏi một cách tiếp cận chủ động và hợp tác. Người tiêu dùng phải luôn cảnh giác và cập nhật về các mối đe dọa tiềm ẩn, trong khi các tổ chức tài chính cần ưu tiên các biện pháp bảo mật toàn diện và không ngừng cải thiện.

Khi các công nghệ mới như AI, blockchain và xác thực sinh trắc học hành vi tiếp tục phát triển, chúng mang đến những giải pháp đầy hứa hẹn để tăng cường bảo mật và trải nghiệm người dùng. Bằng cách kết hợp những công cụ này với giáo dục người dùng và các chính sách mạnh mẽ, chúng ta có thể hướng đến một tương lai mà mobile banking không chỉ tiện lợi mà còn cực kỳ an toàn cho tất cả mọi người.

Quokka cung cấp các giải pháp phân tích chuyên sâu và khả năng hiển thị cần thiết để đón đầu các mối đe dọa di động. Q-mast nhúng bảo mật trực tiếp vào quy trình làm việc của bạn để ngăn người dùng tiếp xúc với các rủi ro từ ứng dụng không an toàn. Từ mã nguồn đến chuỗi cung ứng, nền tảng này thực hiện kiểm tra toàn diện để xác định lỗ hổng từ sớm và đảm bảo các bản phát hành ứng dụng an toàn ngay từ đầu.

Bằng cách tận dụng các công cụ như Q-mast và tuân theo những phương pháp bảo mật trên, các tổ chức tài chính có thể duy trì tư thế bảo mật vững chắc, mang lại sự an tâm cho người dùng và dẫn đầu trong việc xây dựng một môi trường mobile banking kiên cố.

Thông tin về hãng cung cấp giải pháp