Từ ngày 1.1.2025, ngân hàng không được gửi tin nhắn SMS kèm đường link cho khách hàng

Theo Thông tư 50/2024 quy định về an toàn, bảo mật trong dịch vụ trực tuyến ngân hàng do Ngân hàng Nhà nước ban hành có quy định chi tiết về các hoạt động. Trong đó, một trong những quy định mới được đề cập là ngân hàng không gửi tin nhắn SMS, thư điện tử cho khách hàng có nội dung chứa đường dẫn liên kết (Hyperlink) truy cập các trang tin điện tử, trừ trường hợp theo yêu cầu của khách hàng. Quy định này có hiệu lực kể từ ngày 1.1.2025.

ẢNH: NHẬT THỊNH

Theo các chuyên gia bảo mật, yêu cầu này được đặt ra trong bối cảnh tin nhắn lừa đảo brandname (gửi tin nhắn tới điện thoại khách hàng), bao gồm ngân hàng chứa đường link giả mạo. Khi khách hàng truy cập vào đường link sẽ bị đánh cắp thông tin tài khoản ngân hàng, dẫn đến rủi ro mất tiền. Hơn nữa, thường các tin nhắn lừa đảo brandname được phát sóng qua các trạm BTS giả đến điện thoại người dùng và xen lẫn với các thông báo từ nhà băng nên càng khiến khách hàng tin tưởng.

Ngoài ra, Thông tư 50 cũng đề cập đến nhiều nội dung về an toàn, bảo mật khác. Đơn cử, ứng dụng ngân hàng điện tử (app) phải được đăng ký và quản lý tại kho ứng dụng chính thức của các hãng cung cấp hệ điều hành cho thiết bị di động (ví dụ App Store...) và hướng dẫn cài đặt rõ ràng. Trường hợp phần mềm Mobile Banking không được đăng ký và quản lý tại kho ứng dụng của các hãng cung cấp hệ điều hành thì phải báo cáo về Ngân hàng Nhà nước trước khi cung cấp dịch vụ. Ứng dụng này sẽ không cho phép chức năng ghi nhớ mật khẩu. Đồng thời, các tổ chức tín dụng cần có giải pháp phòng, chống, phát hiện các hành vi can thiệp trái phép vào ứng dụng Mobile Banking đã cài đặt trong thiết bị di động của khách hàng. Song song đó các nhà băng phải đảm bảo hệ thống mạng, truyền thông và an toàn bảo mật tối thiểu thông qua các giải pháp tường lửa; sử dụng giao thức truyền thông được mã hóa an toàn và không lưu mã khóa bí mật tại các phần mềm tiện ích...

Đối với khách hàng cá nhân, ngân hàng phải có chức năng kiểm tra khi khách hàng truy cập lần đầu hoặc truy cập bằng thiết bị khác với thiết bị truy cập gần nhất. Việc kiểm tra khách hàng tối thiểu bao gồm khớp đúng SMS OTP hoặc Voice OTP, đồng thời khớp đúng thông tin sinh trắc học của khách hàng.