Cần hướng dẫn người dùng nhận biết trang web chính thức
Từ những kỹ thuật cao cấp như tấn công giao thức SS7, sao chép SIM cho tới các loại trojan nổi tiếng một thời như Zeus đều được đề cập tới. Nhiều người còn đặt vấn đề về khả năng có lỗ hổng trong quy trình cài đặt và sử dụng Smart OTP của Vietcombank hay việc tại sao ngân hàng này không thiết lập hạn mức giao dịch thấp hơn khi khách hàng sử dụng Smart OTP (so với trường hợp dùng OTP token vật lý) như một số ngân hàng khác.
Trong bài này chỉ phân tích kỹ hơn về vấn đề hướng dẫn người dùng nhận biết website chính thức – điều không chỉ có ý nghĩa về mặt bảo mật mà còn có tác dụng khẳng định, nhấn mạnh thương hiệu của doanh nghiệp đối với khách hàng.
Hầu hết, nếu không muốn nói là tất cả, các ngân hàng Việt Nam đều cảnh báo khách hàng không nhấn vào các liên kết lạ và khuyến cáo nên tự gõ địa chỉ website vào trình duyệt. Họ không nghĩ rằng, việc tự gõ địa chỉ không đảm bảo giúp khách hàng thoát khỏi cạm bẫy của tin tặc.
Giả sử người dùng gõ nhầm địa chỉ và được redirect tới trang vıetcombank.com.vn thì họ rất khó biết đó là trang web giả. Với các ký tự đặc biệt, người ta có thể tạo ra những địa chỉ rất lạ. Chẳng hạn như địa chỉ www.bank.com/accounts/login.php?q=me.badguy.cn lợi dụng các ký tự tượng hình của Trung Hoa trông giống các ký tự "/", "?" và "=" để biến một tên miền .cn thành một URL trỏ tới trang www.bank.com trong mắt người dùng. Mặt khác, nếu DNS bị hack (hay sửa đổi khi truy cập qua mạng Wifi) hoặc file hosts bị sửa thì dù khách hàng gõ đúng địa chỉ vietcombank.com.vn, họ vẫn có thể bị chuyển tới website giả.
Không rõ vì sao rất ít ngân hàng để ý hướng dẫn khách hàng cách nhận biết website của mình. Tuy đã dùng chứng thực Extended Validation nhưng Vietcombank lại quên không tận dụng “con dấu xác nhận website chính chủ” đó để quảng bá và giúp khách hàng nhận rõ thương hiệu của mình. Trong khi chỉ cần vài dòng mô tả biểu tượng chiếc khóa màu xanh cùng mấy hình ảnh hướng dẫn đã có thể giúp người dùng an tâm khi truy cập website.
Nhìn ra thế giới, mục các câu hỏi thường gặp về mobile banking của ngân hàng HSBC Hồng Kông đã có một lưu ý (dù rất ngắn): “Business Internet Banking website has adopted EV SSL Certificate (Extended Validation SSL Certificate). For Safari browser, a padlock and the bank name will be shown in green at the top of the browser.” (website Business Internet Banking đã sử dụng chứng thực EV. Với trình duyệt Safari, hình ổ khóa và tên ngân hàng sẽ được hiển thị bằng màu xanh ở phần trên cùng của trình duyệt). Còn tại Việt Nam, hình như mới chỉ có Vietinbank “khoe” về điều này (một lần duy nhất, từ cách đây nhiều năm).
Nhưng bài viết của Vietinbank nói trên là chưa đủ vì nó chưa có phần hướng dẫn cho người dùng thiết bị di động. Khác với môi trường desktop, các trình duyệt trên thiết bị di động có không gian hiển thị khá hạn chế. Vì vậy, chúng đáp ứng rất kém những yêu cầu hiển thị các dấu hiệu nhận diện các kết nối HTTPS.
Mặc dù sự phát triển mạnh mẽ của thị trường thiết bị di động đã buộc các nhà phát triển trình duyệt phải thay đổi, nhưng vẫn chưa đáp ứng yêu cầu thực tế. Bài viết “Rethinking Connection Security Indicators” đăng trong kỷ yếu hội thảo Symposium on Usable Privacy and Security lần thứ 12 (SOUPS 2016) cho chúng ta thấy điều đó.
Trong khi cả 3 trình duyệt chính trên Windows Phone đều có thể coi là ổn, trình duyệt Safari 9 – trình duyệt phổ biến trên iOS – cũng đáp ứng yêu cầu hỗ trợ người dùng phân biệt thật/giả, thì 3 trình duyệt được xem xét trên Android đều đánh đồng giữa website dùng chứng thực EV với website dùng chứng thực thông thường (may mắn là trình duyệt FireFox phiên bản 42 trên Android – trình duyệt không được xét tới trong đó - đã đáp ứng nhu cầu phân biệt các kết nối HTTPS khác nhau).
Về iPhone/iPad, hệ điều hành của các thiết bị này vẫn “tin tưởng” chứng thực gốc của CNNIC theo mặc định, trong khi CA cấp dưới của tổ chức này từng phát hành chứng thực giả mạo Google. Tuy khả năng xảy ra điều tương tự với Vietcombank và các ngân hàng Việt Nam khác tương đối thấp, nhưng điều nguy hiểm là ngoài việc không cho phép xóa/vô hiệu các chứng thực gốc cài sẵn, iOS còn cho phép các ứng dụng tạo Config Profile để bổ sung các chứng thực được tin cậy.
Vì vậy, đơn vị chủ quản các website nên lưu tâm hướng dẫn cụ thể hơn cho người dùng iPhone – những khách hàng khá đặc thù của các dịch vụ trực tuyến - cách kiểm tra và gỡ bớt những chứng thực bị thêm vào đó. Tất nhiên, với rất nhiều thông tin (mới được trình bày rất sơ lược trên đây), các tài liệu hướng dẫn khách hàng sẽ phải rất chi tiết và nên đưa vào một phụ lục riêng, thay vì một câu ghi chú vắn tắt như trường hợp của HSBC Hồng Kông.
Kỹ thuật càng phát triển thì yêu cầu bảo mật càng trở nên phức tạp, đòi hỏi hiểu biết của khách hàng cũng phải tăng lên tương ứng. Những người cung cấp dịch vụ dựa trên công nghệ thông tin có khó khăn riêng, khi khách hàng dùng “công nghệ cao” nhưng lại không phải trải qua bất kỳ cuộc sát hạch nào, thì tương tự như khi họ muốn lái chiếc ô tô mới mua ra đường. Để tránh những rủi ro có thể xảy ra bất cứ lúc nào, chúng ta cần lưu ý đến việc nâng cao nhận thức và hướng dẫn sử dụng cụ thể cho người dùng.