Đánh giá rủi ro giao dịch trong thời gian thực

Theo Hướng dẫn của Kiểm toán nhà nước Na Uy, một bản trình bày thích hợp về các phát hiện sẽ hỗ trợ tổ chức theo dõi các lĩnh vực có rủi ro quan trọng. Do đó, trong giai đoạn cuối của PTGD, KTV nên lập báo cáo tóm tắt tổng thể gồm các nội dung: Trình bày mục đích và phạm vi tổng thể của phân tích; mô tả từng bước phân tích (rủi ro, trích xuất dữ liệu, lựa chọn giao dịch, truy vấn, nguồn thông tin); lặp lại các bước quan sát chính và các lĩnh vực rủi ro quan trọng; cung cấp các ví dụ của các lĩnh vực rủi ro khác nhau và các khuyến nghị cho tổ chức.

Có thể thấy hiện nay, các hoạt động tội phạm mạng và gian lận giao dịch đang có xu hướng chuyển dịch mạnh sang thị trường các nước đang phát triển khi mà các nhu cầu về sử dụng Internet và các dịch vụ trực tuyến đang bước đầu bùng nổ ở các thị trường này. Một phần lý do là bởi tại các nước phát triển, ý thức và trình độ của người dùng cũng đã được cải thiện đáng kể trong thời gian gần đây khiến cho các hành vi lừa đảo, giả mạo khó có khả năng thực hiện hơn. Một phần nữa là do hạ tầng thông tin và bảo mật tại cũng như việc tuân thủ các quy trình, tiêu chuẩn tại các thị trường kia cũng đi trước chúng ta một bước dài. Các sự cố gần đây trong ngành tài chính ngân hàng tại các quốc gia đang phát triển như sự cố Bangladest Heist, các vụ lừa đảo liên ngân hàng tại Đông Nam Á hay các vụ giả mạo định danh để gian lận giao dịch tại một vài ngân hàng ở Việt Nam là minh chứng rõ nét cho sự chuyển dịch này.

Xác thực và nhận dạng định danh người dùng chính là một chốt chặn nhằm bảo vệ các hệ thống thông tin khỏi khả năng thâm nhập, khai thác bất hợp lệ. Việc triển khai xác thực đa yếu tố và đa lớp hiện nay đã trở nên phổ biến và trở thành một yêu cầu gần như bắt buộc đối với các hệ thống quan trọng, đặc biệt là các ứng dụng trong tài chính, ngân hàng. Tuy nhiên, với trình độ và nhận thức về an toàn thông tin của phần lớn người dùng trong nước hiện nay, việc chiếm đoạt các thông tin xác thực để vượt qua chốt chặn này hoàn toàn có khả năng xảy ra. Các ví dụ như sự cố chiếm số điện thoại từ nhà cung cấp dịch vụ sau đó sử dụng để rút tiền năm 2015 hay sử dụng website giả mạo để lấy thông tin người dùng, chuyển hình thức xác thực và lấy cắp tiền năm 2016 là các ví dụ điển hình cho hoạt động này của tội phạm mạng.

Ví dụ về xác thự đa yếu tố khi với ứng dụng ATM

Xác thực dựa trên phân tích rủi ro là một khái niệm được ra đời và triển khai trên thế giới từ nhiều năm trước và đã được chứng minh là một giải pháp hiệu quả nhằm giảm thiểu rủi ro từ việc giả mạo truy cập thực hiện gian lận. Bên cạnh việc kiểm chứng thông tin đăng nhập của người dùng qua xác thực đa yếu tố như tin nhắn OTP, ứng dụng mobile hay thậm chí sinh trắc học, hệ thống cần phải đưa ra đánh giá mức độ rủi ro của phiên xác thực để có các quyết định nhằm giảm thiểu nguy cơ. Các yếu tố được đưa vào đánh giá rủi ro có thể bao gồm:

• Mục tiêu của việc xác thực: đăng nhập, tạo người hưởng thụ, thay đổi mật khẩu, chuyển tiền… Trong xác thực đa lớp, mỗi tác vụ sẽ có ảnh hưởng nhất định đến nghiệp vụ và mức độ rủi ro của chúng cũng được đánh giá khác nhau
• Thông tin về thiết bị truy cập: thông tin về hệ thống, địa điểm, địa chỉ IP, timezone, trình duyệt, ngôn ngữ… của thiết bị dùng để truy cập vào ứng dụng. Sự thay đổi về các thông tin này cũng tạo ra các mức độ rủi ro khác nhau.
• Lịch sử hành vi của người dùng: thông tin được lưu trữ trong suốt quá trình sử dụng của người dùng ví dụ như thanh toán hóa đơn, chuyển tiền số lượng nhỏ, chuyển tiền cho một số tài khoản cố định, chuyển tiền trong một khoảng thời gian nhất định…
• Chính sách phân tích rủi ro của đơn vị: các thông tin quy định về rủi ro của đơn vị như số lượng tiền trong giao dịch, chuyển khoản đến các điểm nghi vấn… hoặc các thông tin phản hồi từ đội ngũ theo dõi hỗ trợ.
• Thông tin từ mạng lưới chống gian lận eFraudNetwork: nguồn thông tin cập nhập từ bên ngoài về các hành vi gian lận đã phát hiện ví dụ như một tài khoản ngân hàng mới bị block, một địa chỉ IP mới phát sinh gian lận giao dịch…

Một số tiêu chí đánh giá chỉ số rủi ro trong RSA Adaptive Authentication

Ngoài ra, tùy thuộc vào từng mục tiêu nghiệp vụ của hệ thống mà việc đánh giá rủi ro có thể bổ xung thêm các tiêu chí hoặc thuộc tính khác nhằm đưa ra một chỉ số rủi ro risk score chính xác nhất đối với từng hoạt động của người dùng. Dựa vào thông số này, hệ thống sẽ đưa ra các quyết định nhằm hạn chế rủi ro như yêu cầu xác thực bổ xung với các hình thức xác thực chính xác hơn, tạm thời ngừng hoạt động và gọi điện cho người dùng để kiểm chứng hoặc từ chối phục vụ. Bên cạnh đó, với phiên hoạt động có rủi ro thấp, ứng dụng có thể bỏ qua các bước xác thực đa lớp bổ xung nhằm tăng sự thuận tiện và tính thân thiện của dịch vụ đối với người dùng.

Các quyết định dựa trên đánh giá của Risk Engine

Việc bổ xung thêm phân tích rủi ro đi cùng với xác thực đa yếu tố sẽ vừa làm gia tăng tính bảo mật cho hệ thống, giúp đánh giá đúng chủ thể sử dụng dịch vụ, hạn chế các hành vi gian lận, giả mạo đồng thời cũng giúp tăng sự thân thiện và tin cậy của ứng dụng và dịch vụ đối với người dùng cuối. Đây là một chốt chặn bổ xung thực sự hiệu quả để ngăn chặn xu hướng gian lận và giả mạo trong giao dịch trực tuyến và dịch vụ ngân hàng hiện nay.