Bất an với ví điện tử!

Ví điện tử phát triển khá mạnh thời gian qua, không chỉ công ty trung gian thanh toán triển khai ví điện tử mà các ngân hàng (NH) thương mại cũng nhập cuộc. Chỉ tính riêng ví điện tử MoMo đã có khoảng 10 triệu người dùng. Tuy nhiên mới đây, phản ánh đến Báo Người Lao Động, một số chủ tài khoản ví MoMo cho biết đã ngừng sử dụng ứng dụng này vì không an tâm về bảo mật.

Vô tư chuyển tiền không cần mã OTP

Anh Hạnh (nhân viên văn phòng; làm việc tại quận 2, TP HCM) cho biết mình thường sử dụng ví điện tử liên kết với thẻ NH để nạp tiền điện thoại; thanh toán hóa đơn điện, nước, mua sắm... vì thấy tiện lợi. Nhưng sau nhiều vụ mất tiền qua thẻ, anh thấy lo lắng nên hủy luôn liên kết. "Lần đầu khi liên kết tài khoản ATM Vietcombank vào ví, MoMo yêu cầu các bước kiểm tra chủ tài khoản, nhập số thẻ, mã OTP đầy đủ. Nhưng khi nạp tiền từ tài khoản thẻ ATM vào ví lại rất nhanh gọn, không cần đến mã OTP. Tôi chuyển 5 triệu đồng từ thẻ ATM sang ví MoMo mà chỉ cần nhập mật khẩu của MoMo và không có thêm bước xác nhận bảo mật nào. Tôi cảm thấy lo lắng nhỡ bị mất điện thoại hoặc bị đánh cắp tài khoản MoMo thì đồng nghĩa với nguy cơ mất sạch tiền từ thẻ ATM?" - anh Hạnh băn khoăn.

Chuyển tiền, thanh toán quá dễ dàng từ ví điện tử có liên kết với thẻ ngân hàng khiến nhiều người dùng lo có thể bị mất tiền trên thẻ Ảnh: HOÀNG TRIỀU

Một số người dùng các ví điện tử khác như Zalo Pay, Airpay… cũng có cùng lo lắng. Chị Nga, chủ thẻ ATM NH TMCP Xuất nhập khẩu Việt Nam (Eximbank), cho biết sau lần đầu tiên yêu cầu xác thực tài khoản, nhập số thẻ, mã OTP để nạp tiền, tài khoản ATM và ví điện tử Zalo Pay của chị tự động liên kết với nhau. "Những lần sau, mỗi khi nạp tiền hoặc rút tiền từ thẻ ATM vào ví điện tử chỉ cần nhập số tiền và mật khẩu ví, không có mã OTP" - chị Nga băn khoăn.

Với các loại thẻ tín dụng còn đơn giản hơn, người dùng chỉ liên kết thẻ và ví lần đầu là có thể vô tư mua sắm, thanh toán dịch vụ mà không cần thực hiện các bước bảo mật như khi thanh toán trực tuyến hay qua máy POS.

Đại diện Công ty CP Dịch vụ di động trực tuyến (chủ ứng dụng MoMo) cho biết dù lựa chọn phương thức nào, để liên kết thẻ và ví thành công, người dùng đều phải có đầy đủ thông tin "chính chủ" cho nhà cung cấp dịch vụ ví điện tử và các NH để xác minh gồm thông tin NH của khách hàng, số điện thoại, mã OTP. Số điện thoại đăng ký ví MoMo phải trùng với số điện thoại khách hàng đăng ký với NH muốn liên kết.

Việc MoMo không yêu cầu xác thực bằng mã OTP khi nạp tiền từ NH liên kết, theo giải thích là để giúp người dùng thanh toán tiện lợi, nhanh chóng mà vẫn bảo đảm an toàn. Khi người dùng liên kết tài khoản NH với tài khoản MoMo đã trải qua các bước xác thực danh tính. Chỉ có một số NH như BIDV, VietinBank, VIB vẫn áp dụng xác thực bằng mã OTP khi người dùng thực hiện giao dịch trên MoMo vượt quá hạn mức quy định của các NH này.

Phải có xác thực 2 bước

Ông Ngô Trung Lĩnh, Tổng Giám đốc Công ty CP Dịch vụ trực tuyến Cộng Đồng Việt - VietUnion (ví điện tử Payoo), nhìn nhận với một sản phẩm công nghệ, nếu hệ thống càng đơn giản, càng dễ sử dụng thì tính an ninh bảo mật sẽ kém đi và ngược lại. Khi xây dựng ví điện tử Payoo, công ty rất quan tâm cân nhắc khía cạnh này để đưa ra giải pháp phù hợp nhất.

Chẳng hạn, sau khi xác thực vào lúc liên kết giữa Payoo và tài khoản NH, VietUnion cũng có hệ thống xác thực OTP độc lập nhằm hỗ trợ thêm cho các NH khi khách hàng có số tiền nạp vào quá lớn hoặc tổng số tiền nạp vào trong ngày quá hạn mức quy định. "Payoo có tính năng cho phép khách hàng có thể chủ động cấu hình cần xác thực OTP theo nhu cầu riêng của mình, có ngưỡng an toàn khác nhau từ 500.000 đồng hoặc 2 triệu đồng trở lên sẽ cần mã OTP khi chuyển rút tiền. Mã OTP có thể được gửi qua SMS, qua email hay ứng dụng riêng" - ông Lĩnh thông tin.

Đại diện NH TMCP Sài Gòn Thương Tín (Sacombank) cũng cho biết với các giao dịch phát sinh có số tiền nhỏ trên ứng dụng ví điện tử, để thuận tiện cho người dùng, đa số các ví chỉ yêu cầu xác thực bằng mật khẩu, khuôn mặt hoặc vân tay thay vì xác thực bằng OTP cho tất cả giao dịch. Riêng với ứng dụng Sacombank Pay, khi đăng ký và định danh, mặc định các giao dịch từ 5 triệu đồng sẽ bắt buộc yêu cầu xác thực bằng OTP. Dù vậy, người dùng có thể tùy chọn cấu hình hạn mức giao dịch xác thực OTP đối với số tiền nhỏ hơn 5 triệu đồng.

Một chuyên gia về an ninh mạng tại TP HCM cho biết với doanh nghiệp cung cấp dịch vụ thanh toán trực tuyến, để bảo đảm an toàn trong giao dịch điện tử, cần tuân thủ theo một số tiêu chuẩn cơ bản và phổ biến như: tiêu chuẩn PCI DSS (bảo mật dữ liệu thẻ cho hệ thống), PA DSS (bảo mật cho ứng dụng thanh toán), P2PE (chuẩn mã hóa đường truyền). Do đó, tốt nhất nên thiết lập tính năng xác thực 2 bước khi xác nhận thanh toán để bảo đảm an toàn cho người dùng.