Phishing trong dịch vụ ngân hàng quy định là gì?

Phishing in banking services Pháp lý ~12 phút đọc

Phishing trong dịch vụ ngân hàng quy định là gì?

Phishing trong dịch vụ ngân hàng là hành vi lừa đảo sử dụng các kỹ thuật giả mạo thông tin nhằm đánh cắp thông tin bảo mật của khách hàng như tên đăng nhập, mật khẩu, mã OTP (One-Time Password), số thẻ tín dụng hoặc thông tin cá nhân phục vụ cho mục đích chiếm đoạt tài sản. Đây là một trong những hình thức tấn công mạng phổ biến và nguy hiểm nhất trong lĩnh vực tài chính – ngân hàng hiện nay, được pháp luật Việt Nam quy định cụ thể trong nhiều văn bản pháp lý quan trọng. Thuật ngữ "Phishing" bắt nguồn từ cách chơi chữ của từ "fishing" (câu cá), hàm ý việc "câu mồi" dụ dỗ nạn nhân cung cấp thông tin, và đã trở thành một danh từ chuẩn trong ngành an ninh mạng toàn cầu.

Phishing thường được thực hiện thông qua email giả mạo, tin nhắn SMS, trang web hoặc ứng dụng có giao diện tương tự website chính thức của ngân hàng, yêu cầu khách hàng cung cấp thông tin nhạy cảm dưới nhiều lý do như xác minh tài khoản, nâng cấp dịch vụ hoặc nhận thưởng. Khi khách hàng cung cấp thông tin, kẻ gian sẽ sử dụng để truy cập trái phép vào tài khoản ngân hàng và thực hiện các giao dịch chiếm đoạt tiền. Ngoài hình thức truyền thống, phishing hiện đại còn kết hợp với các kỹ thuật social engineering (kỹ thuật thao túng tâm lý con người) tinh vi như giả danh nhân viên ngân hàng, cơ quan chức năng để tạo lòng tin với nạn nhân. Đối tượng mục tiêu thường là những người ít am hiểu về công nghệ, người cao tuổi hoặc những người đang gặp vấn đề về tài chính.

Tại Việt Nam, tình trạng phishing trong lĩnh vực ngân hàng đang ở mức báo động. Theo thống kê của Cục An toàn thông tin (AIS) thuộc Bộ Thông tin và Truyền thông, số vụ tấn công phishing nhắm vào lĩnh vực tài chính – ngân hàng chiếm khoảng 60-70% tổng số các cuộc tấn công mạng tại Việt Nam, với hàng nghìn trường hợp khách hàng bị mất tiền mỗi năm, thiệt hại ước tính hàng trăm tỷ đồng. Ngân hàng Nhà nước Việt Nam (NHNN) đã nhiều lần yêu cầu các tổ chức tín dụng tăng cường biện pháp bảo vệ khách hàng và phối hợp với cơ quan công an truy vết các đối tượng vi phạm.

Thuật ngữ tiếng Anh: Phishing in Banking Services Lĩnh vực: Pháp lý (Legal & Compliance)

Đặc điểm và phân loại

Đặc điểm nhận biết một cuộc tấn công Phishing

Đặc điểm Mô tả chi tiết
Đường link giả mạo URL có chữ cái lạ, tên miền gần giống ngân hàng nhưng thêm/bớt ký tự (ví dụ: vietcombank-secure.com thay vì vietcombank.com.vn)
Cấp bách giả tạo Yêu cầu xử lý trong 24h, nếu không sẽ khóa tài khoản
Phần thưởng hấp dẫn Tặng quà, hoàn tiền, trúng thưởng iPhone, voucher du lịch
Giao diện sao chép Logo, màu sắc, bố cục giống website chính thức đến 90%
Yêu cầu thông tin nhạy cảm Hỏi mật khẩu, mã OTP, CVV thẻ – điều ngân hàng thật không bao giờ hỏi
Ngữ pháp lỗi Câu văn có lỗi chính tả, dấu câu bất thường
Liên hệ ngoài kênh chính Gọi điện, Zalo, Telegram thay vì kênh CSKH chính thức

Phân loại các hình thức Phishing phổ biến

Loại Phishing Đặc điểm Mức độ nguy hiểm
Email Phishing Gửi email hàng loạt có chứa link giả mạo Cao
SMS Phishing (Smishing) Tin nhắn SMS Brandname giả mạo ngân hàng Rất cao
Voice Phishing (Vishing) Gọi điện thoại giả danh nhân viên ngân hàng, công an Rất cao
Website Phishing Tạo trang web giả mạo giống ngân hàng Cao
App Phishing Ứng dụng giả mạo trên CH Play, App Store Rất cao
QR Code Phishing (Quishing) Dán mã QR giả tại ATM, cửa hàng Trung bình
Social Media Phishing Quảng cáo Facebook, TikTok giả ngân hàng Trung bình

Cơ sở pháp lý điều chỉnh tại Việt Nam

Văn bản pháp lý Nội dung chính Ngày có hiệu lực
Bộ luật Hình sự 2015 (sửa đổi 2017) – Điều 174, 290 Quy định tội lừa đảo chiếm đoạt tài sản; vi phạm quy định an toàn thông tin mạng 01/01/2018
Luật An toàn thông tin mạng 2015 Khung pháp lý nền tảng về bảo vệ thông tin mạng 01/07/2016
Luật An ninh mạng 2018 Bảo vệ an ninh quốc gia trên không gian mạng 01/01/2019
Nghị định 13/2023/NĐ-CP Bảo vệ dữ liệu cá nhân 01/07/2023
Quyết định 2345/QĐ-NHNN Kiểm soát nội bộ, quản lý rủi ro ngân hàng điện tử 18/12/2023
Thông tư 17/2024/TT-NHNN Quy định về an toàn, bảo mật trong hoạt động ngân hàng điện tử Đang có hiệu lực

Ví dụ thực tế trong ngành ngân hàng

Ví dụ 1: Vụ giả mạo Ngân hàng A qua tin nhắn SMS Brandname

Cuối năm 2023, hàng loạt khách hàng của Ngân hàng A nhận được tin nhắn SMS có đầu số brandname "VCB" hoặc tương tự với nội dung: "Tài khoản của quý khách cần xác minh trước 24h, click link https://vietcombank-xacthuc.com để cập nhật, nếu không sẽ bị khóa". Khi khách hàng truy cập, giao diện trang web được thiết kế gần giống website chính thức của Ngân hàng A với logo, màu xanh đặc trưng. Sau khi nhập tên đăng nhập, mật khẩu và mã OTP, kẻ gian đã chiếm đoạt tiền trong tài khoản của hơn 700 khách hàng với tổng số tiền thiệt hại khoảng 30 tỷ đồng chỉ trong vòng 2 tuần. Vụ việc được Công an TP. Hồ Chí Minh phối hợp với Ngân hàng A điều tra, các đối tượng chính bị bắt giữ tại TP. Hồ Chí Minh và một số tỉnh phía Nam với mức án từ 7-15 năm tù theo Điều 174 Bộ luật Hình sự.

Ví dụ 2: Giả danh nhân viên tín dụng Ngân hàng B gọi điện cho khách hàng

Quý I/2024, Ngân hàng B phát đi cảnh báo về tình trạng kẻ gian gọi điện cho khách hàng tự xưng là nhân viên tín dụng của Ngân hàng B, đề nghị cho vay với lãi suất ưu đãi chỉ từ 0,5%/tháng. Sau khi khách hàng đồng ý, đối tượng yêu cầu đóng phí bảo hiểm khoản vay 3-5 triệu đồng vào tài khoản cá nhân trước khi giải ngân. Trong 3 tháng, Ngân hàng B ghi nhận hơn 1.200 đơn tố cáo, với tổng thiệt hại ước tính 8,5 tỷ đồng. Đây là hình thức kết hợp giữa vishingsocial engineering – đánh vào tâm lý cần vay vốn gấp của khách hàng, đặc biệt là người lao động thu nhập thấp, tiểu thương mùa Tết.

Ví dụ 3: Trang web giả mạo Ngân hàng C lừa đảo đầu tư

Giữa năm 2024, một trang web có tên miền "techcombank-invest.vip" được quảng cáo trên Facebook, TikTok với nội dung: "Đầu tư 5 triệu – lãi 30%/tháng, Ngân hàng C bảo chứng". Trang này có giao diện sao chép 95% website của Ngân hàng C, kèm hình ảnh giả giấy phép hoạt động. Hơn 5.000 nạn nhân đã chuyển tiền với tổng số tiền hơn 200 tỷ đồng trước khi sự việc bị phát hiện. Ngân hàng C đã phối hợp với Cục An toàn thông tin, Bộ Công an để đóng cửa trang web, đồng thời đăng tải 47 cảnh báo trên các kênh truyền thông chính thức. Vụ việc này cho thấy xu hướng kết hợp phishing với lừa đảo đầu tư tài chính, đánh vào nhóm khách hàng có tâm lý "làm giàu nhanh".

Bài học rút ra và trách nhiệm pháp lý

Theo Quyết định 2345/QĐ-NHNN, ngân hàng có nghĩa vụ thông báo, cảnh báo rủi ro cho khách hàng sử dụng dịch vụ ngân hàng điện tử tại Điều 12. Tuy nhiên, nếu khách hàng tự cung cấp thông tin bảo mật (mật khẩu, mã OTP) cho kẻ gian thì ngân hàng có thể không chịu trách nhiệm hoàn trả. Ngược lại, nếu ngân hàng không thực hiện cảnh báo định kỳ, không xây dựng hệ thống bảo mật đa lớp theo tiêu chuẩn PCI-DSS thì phải chịu trách nhiệm bồi thường một phần hoặc toàn bộ thiệt hại theo quy định tại Bộ luật Dân sự 2015 và Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân.

Phishing trong dịch vụ ngân hàng quy định trong các ngôn ngữ khác

Ngôn ngữ Thuật ngữ Phiên âm
Tiếng Anh Phishing in Banking Services /ˈfɪʃɪŋ ɪn ˈbæŋkɪŋ ˈsɜːrvɪsɪz/
Tiếng Nhật 銀行サービスのフィッシング (Ginkō sābisu no fisshingu) /giŋkoː saːbisɯ no ɸiʃːiŋɡɯ/
Tiếng Hàn 은행 서비스 피싱 (Eunhaeng seobiseu pising) /ɯːnʌŋ sʌbisʌ pʰisiŋ/
Tiếng Trung 银行服务网络钓鱼 (Yínháng fúwù wǎngluò diàoyú) /in.xaŋ˧˥ fu˥˨˦.wu˥˩˧ waŋ˧˥.luo˥˩˧ tjau˥˩˧ jy˧˥/
Tiếng Tây Ban Nha Phishing en servicios bancarios / Suplantación de identidad bancaria /ˈfiʃiŋ en serˈβisjos baŋˈkaɾjos/

Ghi chú: Trong tiếng Nhật, thuật ngữ "フィッシング" được sử dụng phổ biến nhất, tuy nhiên chính phủ Nhật Bản cũng dùng "偽サイト" (kiji-saito – trang web giả mạo) trong các văn bản pháp lý. Trong tiếng Hàn, thuật ngữ "피싱" đã được đưa vào Đạo luật Bảo vệ Thông tin Tài chính (금융정보보호법). Tiếng Trung đại lục thường dùng "网络钓鱼" hoặc "钓鱼攻击" trong các tài liệu của Ngân hàng Trung ương Trung Quốc (PBOC). Tiếng Tây Ban Nha có hai cách dịch: phiên âm "phishing" (phổ biến) hoặc dịch nghĩa "suplantación de identidad" (mạo danh).

Câu hỏi thường gặp

Phishing trong dịch vụ ngân hàng khác gì với các hình thức lừa đảo trực tuyến khác như Scam hay Hacking?

Phishing tập trung vào việc dụ dỗ nạn nhân tự cung cấp thông tin bảo mật thông qua các kỹ thuật giả mạo danh tính, trong khi hacking (tấn công mạng) là hành vi xâm nhập trái phép vào hệ thống bằng kỹ thuật công nghệ. Scam (lừa đảo) là thuật ngữ chung cho mọi hình thức lừa đảo, bao gồm cả phishing. Điểm khác biệt lớn nhất của phishing là yếu tố "câu mồi" – kẻ gian thường chủ động gửi email/SMS/cuộc gọi để dụ nạn nhân hành động, đòi hỏi sự tham gia chủ động từ phía nạn nhân. Về mặt pháp lý, phishing thường bị xử lý theo Điều 174 (lừa đảo chiếm đoạt tài sản) hoặc Điều 290 (vi phạm quy định an toàn thông tin mạng) của Bộ luật Hình sự 2015.

Khi nào cần biết về Phishing trong dịch vụ ngân hàng quy định?

Kiến thức về phishing là bắt buộc đối với ba nhóm đối tượng: (1) Nhân viên ngân hàng – đặc biệt bộ phận tuân thủ, phòng chống gian lận, chăm sóc khách hàng để tư vấn và cảnh báo; (2) Cán bộ pháp chế, kiểm toán nội bộ cần nắm vững khung pháp lý để đánh giá rủi ro và xây dựng quy trình phòng ngừa; (3) Ứng viên thi tuyển vào ngân hàng – đây là câu hỏi thường gặp trong các vòng phỏng vấn về tuân thủ pháp lý, phòng chống rủi ro, an toàn thông tin. Bên cạnh đó, khách hàng sử dụng dịch vụ ngân hàng điện tử cũng cần trang bị kiến thức để tự bảo vệ tài sản của mình, đặc biệt trong bối cảnh Quyết định 2345/QĐ-NHNN đã có hiệu lực từ ngày 18/12/2023.

Phishing trong dịch vụ ngân hàng ảnh hưởng thế nào đến khách hàng?

Phishing gây ra nhiều hệ lụy nghiêm trọng đối với khách hàng: (1) Thiệt hại tài chính trực tiếp – mất tiền trong tài khoản, có trường hợp lên đến hàng tỷ đồng chỉ trong vài phút; (2) Lộ thông tin cá nhân theo quy định tại Nghị định 13/2023/NĐ-CP – dữ liệu bị rao bán trên dark web dẫn đến các cuộc gọi lừa đảo tiếp diễn; (3) Tổn thương tâm lý – nhiều nạn nhân rơi vào trạng thái trầm cảm, mất niềm tin vào ngân hàng số; (4) Mất thời gian và chi phí pháp lý để đòi lại tiền, trung bình một vụ kéo dài 6-18 tháng. Đối với ngân hàng, thiệt hại còn đến từ uy tín thương hiệu, chi phí điều tra, bồi thường và tăng cường hệ thống bảo mật ước tính hàng chục tỷ đồng mỗi năm cho mỗi tổ chức tín dụng cỡ lớn.

Tổng kết

Phishing trong dịch vụ ngân hàng không chỉ là vấn đề kỹ thuật mà còn là thách thức pháp lý nghiêm trọng đòi hỏi sự phối hợp đồng bộ giữa ngân hàng, cơ quan quản lý nhà nước và khách hàng. Khung pháp lý Việt Nam hiện hành đã tương đối hoàn thiện với Bộ luật Hình sự 2015, Luật An toàn thông tin mạng 2015, Luật An ninh mạng 2018, Nghị định 13/2023/NĐ-CP và Quyết định 2345/QĐ-NHNN – tạo hành lang pháp lý đủ mạnh để xử lý các hành vi lừa đảo. Tuy nhiên, điều quan trọng nhất vẫn là ý thức cảnh giác của mỗi khách hàng và năng lực phòng ngừa của từng tổ chức tín dụng. Đối với người ôn thi ngân hàng, việc nắm vững các mốc thời gian pháp lý, phân biệt trách nhiệm giữa ngân hàng và khách hàng, cùng khả năng nhận diện các dạng phishing sẽ là lợi thế lớn trong cả bài thi lẫn thực tiễn nghề nghiệp sau này. Hãy nhớ quy tắc vàng: ngân hàng không bao giờ hỏi mật khẩu và mã OTP qua điện thoại, email hay tin nhắn – bất kỳ ai yêu cầu những thông tin này đều là kẻ lừa đảo.

🎓

Luyện thi với kiến thức này

Thuật ngữ này thường xuất hiện trong đề thi tuyển dụng ngân hàng

Chia sẻ thuật ngữ này:

🔗 Thuật ngữ liên quan 8

B

Bảo vệ dữ liệu cá nhân

Ngân hàng số & Thanh toán

Bảo vệ dữ liệu cá nhân trong lĩnh vực ngân hàng là tập hợp các quy định, chính sách, quy trình và bi...

B

Bộ luật Hình sự 2015

Thuế & Pháp luật

Văn bản quy định các tội danh về trốn thuế, rửa tiền, lừa đảo chiếm đoạt tài sản qua hình thức tín d...

H

Hệ thống kiểm soát nội bộ

Pháp lý ngân hàng

Hệ thống kiểm soát nội bộ là tập hợp các cơ chế, chính sách, quy trình, quy tắc và biện pháp do ngân...

L

Luật An ninh mạng 2018

Thuế & Pháp luật

Luật số 24/2018/QH14 quy định về bảo vệ an ninh quốc gia, trật tự an toàn xã hội trên không gian mạn...

L

Luật An toàn thông tin mạng

Thuế & Pháp luật

Luật quy định về bảo vệ an toàn thông tin mạng, phòng chống tấn công mạng, bảo vệ quyền lợi người dù...

N

Nghị định 13/2023/NĐ-CP

Thuế & Pháp luật

Nghị định hướng dẫn Luật Bảo vệ dữ liệu cá nhân 2023, quy định chi tiết điều kiện xử lý dữ liệu cá n...

T

Tội lừa đảo chiếm đoạt tài sản

Pháp lý ngân hàng

Tội lừa đảo chiếm đoạt tài sản là hành vi cố ý sử dụng thủ đoạn gian dối để chiếm đoạt tài sản của n...

X

Xác thực sinh trắc học

Fintech & Blockchain

Xác thực sinh trắc học là phương pháp xác minh danh tính người dùng dựa trên các đặc điểm sinh học đ...