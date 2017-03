Vụ việc hi hữu rút tiền trả giấy cho thấy ngân hàng PvcomBank chắc chắn có lỗ hổng trong bảo mật và nếu ngân hàng ko minh bạch thì rất dễ mất niềm tin ở khách hàng...

Dư luận vẫn chưa hết xôn xao trước đoạn clip đang được lan truyền chóng mặt về sự cố cây ATM của PVcomBank nhả giấy in chữ 500.000 đồng khi khách hàng tiến hành rút tiền tại địa điểm trước siêu thị Big C Thăng Long trên đường Trần Duy Hưng, quận Cầu Giấy, Hà Nội.

Không ít các ý kiến của bạn đọc Người đưa tin gửi về tòa soạn chung một câu hỏi băn khoăn khi mà cái máy ATM vốn dĩ luôn được các ngân hàng bảo đảm về độ an toàn lẫn tính bảo mật tuyệt đối phút chốc biến thành… chiếc máy "ảo thuật" đẩy khách hàng rơi vào hoàn cảnh "dở khóc, dở cười" trong khi giao dịch ATM (automatic teller machine) đang ngày càng trở nên phổ biến ở Việt Nam.

Vậy máy ATM hoạt động như thế nào?

Máy rút tiền tự động (ATM) thường chứa một lượng tiền mặt lớn và đặt ở nơi đông người qua lại nên đảm bảo an toàn luôn là ưu tiên hàng đầu của nhà sản xuất. Theo các chuyên gia, mỗi máy ATM thông thường có hai két đựng tiền có thể chứa tổng số 3.000 tờ tiền các loại. Tiền được các băng chuyền đưa ra ngoài khi thuật toán kiểm tra xác nhận lệnh rút tiền khớp với thông tin tại ngân hàng. Toàn bộ hệ thống này được bảo vệ bằng một hộp thép nặng 210 kg có lớp vỏ dày tới 2,5 cm, được mã hóa bằng hệ thống khóa số phức tạp. Tất cả giúp cho máy ATM trở nên an toàn đối với những kẻ muốn ăn trộm tiền, nhưng cũng cho phép nhân viên ngân hàng dễ dàng bổ sung lượng tiền thiếu hụt.

Nguyên lý cấu hình của một chiếc máy ATM hoạt động suốt 24/24 giờ có hai phần: phần cứng và phần mềm.

Phần cứng bao gồm máy vi tính chuyên biệt, máy đếm tiền, máy nhận tiền, máy in nhật ký, máy in biên lai, phím nhập mật mã, máy đọc thẻ và tủ sắt. Những bộ phận thuộc phần cứng phải tuân thủ những tiêu chuẩn rất nghiêm ngặt.

Loại máy tính chuyên biệt được đặt trong máy ATM có khả năng nhận biết hệ thống sắp bị mất điện. Khi chuẩn bị mất điện (nhiệt ở nguồn bị hạ xuống), ngay lập tức (chỉ trong nửa giây) máy sẽ ghi nhận tình trạng đang xảy ra. Khi có điện, máy sẽ tự khởi động và viết lại giao dịch.

Máy đếm tiền (chi tiền) chủ yếu sử dụng kỹ thuật đếm chân không (kéo tiền lên bằng lực kiểu như giác hơi) hoặc kỹ thuật ma sát. Máy nhận tiền còn có chức năng nhận tiền mặt do khách hàng trực tiếp gửi vào máy. Ngoài ra, máy nhận tiền cũng chấp nhận luôn các phiếu mua quà tặng, trái phiếu và qui đổi thành mệnh giá tương đương với tiền mặt.

Trong các máy ATM, một bộ phận rất quan trọng phải kể đến là máy in nhật ký. Máy in này sẽ ghi lại tất cả dữ liệu liên quan đến chiếc máy ATM: từ ngày giờ khách hàng tra thẻ vào máy, thời gian giao dịch, chuyển khoản, rút tiền... Đây cũng là cơ sở pháp lý quan trọng để giải quyết nếu xảy ra tranh chấp. Một khi máy in nhật ký không hoạt động, máy ATM sẽ tự động đứng máy.

Phím nhập mật mã cũng không phải là loại bàn phím thông thường dùng để bấm số. Bàn phím này được thiết kế gắn liền với phần mềm an ninh. Khi bỏ thẻ vào máy và ấn phím, ngay lập tức con số được mã hóa và xóa hết các con số mà người dùng máy bấm vào. Không một ai có thể nhận biết được con số mã pin.

Về phần mềm, hầu hết các loại máy ATM đều phải có bộ điều hành (OS-operate system), phần mềm điều khiển thiết bị, phần mềm tự phục hồi (trường hợp mất điện), phần mềm hoàn trả (reversal) và phần mềm an ninh. Khi người sử dụng thẻ đang rút tiền, đột nhiên bị mất điện, người dùng chưa nhận được tiền trong khi tài khoản đã bị trừ.

Dựa vào phần mềm phục hồi và phần mềm hoàn trả, khi có điện lại máy sẽ nhận biết được tình trạng trước khi điện tắt và tự động hoàn trả số tiền chưa lấy ra khỏi máy vào tài khoản của người sử dụng. Phần mềm an ninh sẽ bảo mật các thông tin cho thẻ và pin.

Khách hàng rút tiền tại máy ATM PVcomBank nhưng lại nhận được giấy in 500.000 VND. Ảnh: VNE

Máy ATM thường gặp "trục trặc" trong những trường hợp nào?

Cũng theo chuyên gia, trong hệ thống máy ATM có ba thứ nằm ngoài tầm kiểm soát của cơ quan chủ quản: đó là đường truyền dữ liệu, điện và thời tiết. Đây là những nguyên nhân chính gây ra trục trặc của máy.

Ngoài sự cố "bất khả kháng" như đứt đường truyền gây nghẽn mạng thì vào các dịp lễ hoặc các ngày phát lương cuối tháng, lượng người rút tiền mặt tăng cao, các máy ATM thường quá tải và cũng xảy ra hiện tượng “chập chờn” (lúc rút được tiền, lúc không rút được).

Mặc dù thông qua việc thông báo lượng tiền còn trên hệ thống, người quản lý sẽ biết được máy ATM nào sắp hết tiền để có kế hoạch nạp thêm tiền, nhưng những lúc cao điểm hoặc có những chủ thẻ thực hiện việc rút tiền liên tục, nhân viên ngân hàng không kịp bỏ tiền vào máy khiến máy ngưng hoạt động.

Hệ thống còn phụ thuộc hệ thống điện lưới, nếu máy ATM bị mất điện đột ngột, hệ thống thường bị trục trặc. Trong khoảng thời gian chờ đó, hệ thống sẽ giữ luôn thẻ nếu khách hàng đang giao dịch cho đến khi có điện trở lại.

Một trong các sự cố ATM vẫn thỉnh thoảng gặp phải lại liên quan đến thời tiết, vào những ngày độ ẩm trong không khí ở mức cao, hơi ẩm khiến tiền dễ bị dính lại với nhau. Khi sử dụng kỹ thuật rút tiền bằng chân không, vẫn còn xảy ra hiện tượng rút một tờ nhưng có khi ra đến... hai tờ.

Ngoài ra, do yếu tố an ninh, ATM cố tình được thiết kế không có khả năng phân biệt được đồng tiền theo mệnh giá, vì thế nếu nhân viên xếp nhầm mệnh giá tiền vào hộp thì máy cũng không thể tự nhận biết được (trong thực tế đã có trường hợp nhân viên của một ngân hàng xếp nhầm tiền có mệnh giá 100.000 đồng vào khay 50.000 đồng, nên khi trả cho khách số tiền nhận được gấp đôi số tiền giao dịch trên máy trong khi tài khoản chỉ trừ đúng số tiền giao dịch).

Đặc biệt, trong trường hợp nếu kẻ gian nắm được các dữ liệu trên track (phần chứa thông tin) của dải từ (số thẻ, cấu trúc mã ký hiệu...) hoặc các thông tin về mã khách hàng thì việc làm thẻ giả ATM vẫn có thể xảy ra.

Máy ATM rút tiền nhả giấy, chuyên gia bảo mật nói gì?

Quay trở lại câu chuyện chiều 1/3, trên mạng xã hội xuất hiện một đoạn clip ghi lại hình ảnh một người dân vào cây ATM của ngân hàng thương mại cổ phần đại chúng PVcombank để rút tiền. Tuy nhiên, thay vì nhả ra tiền thì máy ATM này lại cho ra những tờ giấy có in chữ 500 nghìn đồng. Sự việc được cho là xảy ra vào sáng ngày 1/3, trước siêu thị Big C Thăng Long trên đường Trần Duy Hưng, quận Cầu Giấy, Hà Nội.

Theo đó, một người đàn ông dùng thẻ của ngân hàng VIB rút tiền nhưng lại chỉ nhận được những tờ giấy màu xanh in chữ 500 nghìn đồng trước sự chứng kiến của khá nhiều người dân và được quay clip đưa lên mạng xã hội.

Trước sự việc này, PvcomBank lý giải vào thời điểm khách hàng rút tiền, ngân hàng này đang chạy thử nghiệm máy ATM và khách hàng đã tiến hành giao dịch trong lúc nhân viên nhà thầu đang xử lý đường truyền tạm thời vắng mặt tại ATM? Và ngoài ra còn do nguyên nhân đang trong quá trình chạy thử và nhà thầu chưa bàn giao kĩ thuật cho PVcomBank nên tiền thật chưa được tiếp quỹ và khách hàng đã rút ra tiền mẫu demo.

Giám đốc Trung tâm An ninh mạng Athena Võ Đỗ Thắng.

Trái với cách lý giải của PvcomBank, dưới góc độ chuyên gia bảo mật ông Võ Đỗ Thắng, Giám đốc Trung tâm an ninh mạng Athena cho rằng: Ngân hàng là một trong những đơn vị yêu cầu bảo mật, an ninh , an toàn rất cao. Nhưng với hiện tượng rút tiền trả giấy thì ngân hàng PvcomBank chắc chắn có lỗ hổng trong bảo mật và nếu ngân hàng ko minh bạch thì sẽ mất niềm tin ở khách hàng và chắc chắn sẽ có những trường hợp tương tự xẩy ra trong tương lai. Ông Thắng cũng đặt ra giả thuyết, lỗ hổng này rất có thể là kỹ thuật làm sai lệch các nghiệp vụ công nghệ quản trị ngân hàng hoặc lỗ hổng ở nhân viên vận hành thiết bị ATM, các nhân viên này có thể đánh tráo tiền thật thành tiền giấy. Và thực tế cũng đã chứng minh, trên thế giới cũng đã có rất nhiều vụ ngân hàng có những lỗ hổng như trên làm thiệt hại không nhỏ cho khách hàng của mình.

Lê Nga