Bảo mật cho thẻ tín dụng: không phải chuyện đùa

in   5.74 minutes read
Một vụ rò rỉ dữ liệu gần đây đã ảnh hưởng đến gần 1.000 cửa hàng thực phẩm tại Mỹ, khiến ngân hàng và các nhà bán lẻ buộc phải gấp rút đưa ra loại thẻ tín dụng mới để có khả năng bảo mật tốt hơn.

Các kiểu xâm nhập lấy cắp thông tin người tiêu dùng ở các cửa hàng của Target, Neiman Marcus và chuỗi nhà hàng China Bistro khiến ba nhà bán lẻ đầu bảng này của Mỹ phải tung ra một loại thẻ mới có chip bảo mật tốt hơn, là loại thẻ được cả thế giới đang chuyển sang sử dụng.
Vụ việc gần đây nhất về rò rỉ dữ liệu qua thẻ thanh toán là của chuỗi cửa hàng thực phẩm Supervalu, khiến khách hàng mất hết dữ liệu và thông tin cá nhân. Trong khi đó, ngân hàng và nhà bán lẻ lại quá chậm để chuyển đổi hàng triệu máy thanh toán và hơn 1 tỉ thẻ mua hàng còn nằm trong ví của khách hàng. Ước tính hiện có chưa đến 50 triệu thẻ có mức bảo mật tốt mà người Mỹ hiện đang sở hữu.

Cb3

Hôm thứ 6 vừa qua, Supervalu xác nhận là họ đang điều tra một vụ rò rỉ dữ liệu ở gần 200 cửa hàng thực phẩm và thức uống, gồm các chuỗi thương hiệu Cub Foods, Farm Fresh, Hornbacher's, Shop 'n Save và Shoppers Food & Pharmacy. Vụ rò rỉ này có thể còn rộng hơn, lan cả sang những thương hiệu mà Supervalu bán lại cho AB Acquisition hồi năm ngoái. Supervalu cung cấp dịch vụ công nghệ cho các cửa hàng này, gồm: Albertsons, Acme Markets, Jewel-Osco, Shaw's và Star Markets. AB Acquisition hiện cũng đang nhanh chóng cùng Supervalu xác định tầm ảnh hưởng để làm giảm bớt thiệt hại cho khách hàng. Những thông tin trên thẻ của Supervalu gồm số tài khoản khách hàng, ngày hết hạn và tên chủ thẻ.
Thẻ thanh toán mới có khả năng bảo mật tốt hơn, được gắn thêm một chip máy tính nhỏ ở phía trước, cộng với dải từ tính ở mặt sau thẻ. Trong khi card trước đây chỉ có dải từ tính có chứa dữ liệu tĩnh mà thôi, và dữ liệu tĩnh đó chứa số tài khoản của khách hàng. Chip trong thẻ mới sẽ xử lý dữ liệu người dùng khi giao dịch diễn ra. Công nghệ này không thể chặn được rò rỉ dữ liệu nhưng nó biến dữ liệu này trở nên vô dụng đối với kẻ trộm, vì chúng thường lấy cắp thông tin đó để làm thẻ giả.
Thẻ gắn chip trở nên phổ biến khi người Mỹ ngày càng chuyển sang thanh toán bằng thẻ nhiều hơn thay cho tiền mặt khi "đi chợ" mỗi ngày. Theo ông Chris McWilton, chủ tịch khu vực Bắc Mỹ của MasterCard, những vụ việc rò rỉ này càng khiến ngân hàng và các nhà bán lẻ làm sao phải thay đổi thẻ mới cho người dùng sớm chừng nào tốt chừng nấy.
Nhiều năm qua, card có gắn chip đã được sử dụng rộng rãi tại các vùng khác như châu Âu, châu Á và Canada, làm giảm rất nhiều tình trạng thẻ giả mạo. Tuy Supervalu chưa biết được căn cơ kẻ lấy cắp sử dụng dữ liệu cho mục đích gì và họ vẫn chưa có được bằng chứng của việc lợi dụng dữ liệu bị đánh cắp, nhưng đó rõ ràng là hồi chuông cảnh báo cho người dùng và các nhà bán lẻ. Supervalu vẫn đang điều tra và làm việc với chính quyền liên bang Mỹ.
Wal-mart Stores là một trong số ít cửa hàng lớn cài đặt thẻ có gắn chip tại quầy tính tiền. Nhưng ngay cả khi quầy tính tiền được nâng cấp nhưng hầu hết người tiêu dùng Mỹ lại chưa được thay thế loại thẻ mới này. Các ngân hàng rất muốn đổi thẻ cho khách hàng. Số lượng thẻ gắn chip dự đoán đến cuối năm 2015 sẽ tăng lên 575 triệu thẻ, tương đương một nửa số người tiêu dùng bằng thẻ tại Mỹ. Các ngân hàng đều cung cấp loại thẻ gắn chip cho khách hàng đăng ký mới hoặc khách hàng gia hạn thẻ.
Các nhà bán lẻ thường là nạn nhân đầu tiên trong báo cáo dữ liệu bị rò rỉ hàng năm mà Verizon Communications đưa ra, là báo cáo do đội ngũ điều tra của Verizon, các công ty bảo mật và thi hành luật tiến hành. Năm ngoái, báo cáo này chỉ ra có đến 198 vụ xâm nhập thành công vào các điểm bán hàng (POS) cho dù có thấp hơn năm trước đó.
Thẻ thanh toán có gắn chip là thay đổi lớn đối với các nhà bán lẻ nào kinh doanh dựa trên số lượng lớn với lãi trên từng mặt hàng thấp. Những cửa hàng này thường ít quan tâm đến bảo mật máy tính.
Tại các chuỗi cửa hàng lớn, các cửa hàng thường kết nối với nhau thông qua một trạm trung tâm, tạo nên một mạng lưới giống như bánh xe đạp. Mặc dù mô hình này giúp các cửa hàng dễ dàng trao đổi với nhau nhưng nó cũng tạo thuận lợi cho tin tặc khi đột nhập được vào một cửa hàng thì chúng cũng có thể xâm nhập tiếp nhiều cửa hàng khác trong chuỗi. Và các cửa hàng thường sử dụng các loại máy tính cũ, khó quản lý và thiết lập mức bảo mật cần thiết.
Theo các chuyên gia an ninh mạng, tin tặc thường đánh cặp số tài khoản khách hàng ngay khi đầu đọc thẻ nhận diện được số thẻ, và trước khi con số ấy được mã hoá, hoặc được can thiệp bằng máy tính ở cửa hàng. Năm ngoái, Bộ quốc phòng Mỹ đưa ra một báo cáo về tội phạm mạng nhắm đến các nhà bán lẻ, họ tìm thấy được một lỗ hổng bảo mật trong phần mềm cho phép nhân viên truy cập mạng cửa hàng từ xa.
Vấn đề là các mạng bán lẻ thường đa liên kết với nhau nên tin tặc có thể dễ dàng đóng vai nhân viên làm việc từ xa để lấy cắp thông tin thẻ khách hàng.
Dù vậy, đối với khách hàng, nhiều người vẫn không bày tỏ lo lắng về vụ mất cắp dữ liệu của các nhà bán lẻ vừa qua và vẫn tiếp tục mua sắm như thường. Vì họ cho rằng điều ấy từng xảy ra trước đây, là điều không có gì lạ. Người mua hàng cũng nhận ra rằng họ không phải chịu trách nhiệm cho các hoá đơn được thanh toán bằng thẻ tín dụng hoặc thẻ ghi nợ giả.