Các chuyên gia bảo mật chỉ ra rằng vấn đề này sẽ không chỉ giải quyết bằng những cơ chế thanh toán mà còn tùy thuộc vào chính các nhà bán lẻ có đảm bảo an toàn cho cơ sở hạ tầng thanh toán của họ hay không.
Có một sự tương đồng lớn giữa vụ xâm phạm dữ liệu vào năm 2013 tại các cửa hàng Target và vụ xâm phạm vào năm 2014 xảy ra tại Home Depot: Đó là cả hai cuộc tấn công mạng này đều nhằm vào các hệ thống giao dịch bán lẻ POS (point of sale system) của các nhà bán lẻ.
Trong báo cáo Quý III/14 được công bố vào năm ngoái, hãng bảo mật Trend Micro đã phát hiện Mỹ đứng đầu thế giới về tỉ lệ bị nhiễm phần mềm độc hại trên các hệ thống giao dịch bán lẻ. Báo cáo cho thấy trong tổng số xâm nhiễm hệ thống giao dịch bán lẻ trên toàn thế giới, 30% đã xảy ra tại Mỹ trong quý III năm 2014, cao hơn 25% so với vị trí số hai là Philippines, Đài Loan và Ý.
Theo một nghiên cứu của Trend Micro, lý do dẫn đến sự chênh lệch đáng kể đó có thể đến từ việc sử dụng rộng rãi thẻ thanh toán từ tính (magnetic stripe payment card) trên toàn nước Mỹ. Việc xâm phạm công nghệ thẻ thanh toán từ không phải là điều mới, tuy nhiên những phát hiện mới nhất đã làm sáng tỏ vấn đề cũ.
Từ lâu đã có sự kêu gọi trên phạm vi toàn nước Mỹ không sử dụng công nghệ này vì tính nhạy cảm của nó với tin tặc.
Dải từ tính không được bảo vệ trên thẻ chứa tất cả thông tin tài chính của chủ thẻ. Thông tin này được chuyển vào hệ thống PoS của nhà bán lẻ khi thẻ được quét tại máy đọc thẻ ở cửa hàng. Nếu hệ thống giao dịch POS bị xâm phạm, như trong trường hợp của Target và Home Depot, kẻ trộm có thể mã hóa thông tin đánh cắp rồi ghi vào một thẻ mới và quét nó tại bất cứ nơi nào chúng muốn – đồng nghĩa với việc rút tiền từ tài khoản ngân hàng của chủ thẻ hoặc tạo ra những cước phí gian lận trong quá trình này.
Theo ý kiến của nhiều người, bao gồm các tổ chức thương mại như Hiệp hội các nhà lãnh đạo ngành công nghiệp bán lẻ (Retail Industry Leaders Association - RILA), giải pháp cho vấn đề này là công nghệ "chip-và-PIN" (chip-and-PIN).
Thay vì dải từ tính, thẻ chip-và-PIN chứa một vi chip được mã hóa để lưu trữ thông tin tài chính. Thẻ này có thêm một lớp bảo mật bằng cách yêu cầu người dùng nhập vào số nhận dạng cá nhân (PIN - personal identification number) trước khi thực hiện một thanh toán.
"Công nghệ xác thực hai nhân tố này đã được sử dụng trong nhiều thập kỷ gần như tại mọi quốc gia G20 khác và đã được chứng minh là làm giảm đáng kể sự xâm hại", Allie Brandenburger, Giám đốc truyền thông cấp cao của RILA, cho biết trên trang FOX Business.
Trên thực tế, một nghiên cứu năm 2013 do Ngân hàng dự trữ liên bang Kansas City thực hiện cho thấy nếu Mỹ áp dụng được công nghệ chip-và-PIN, những vụ xâm phạm thông tin tài khoản trong nước có thể giảm tới 40%.
Chip-và-PIN thậm chí còn là chủ đề của một sắc lệnh mà tổng thống Mỹ Obama đưa ra từ hồi tháng Mười năm ngoái. "Sáng kiến BuySecure" chỉ đạo các cơ quan chính phủ áp dụng công nghệ chip-và-PIN cho tất cả các thẻ thanh toán của liên bang.
Mỹ đứng đầu danh sách thế giới về tỉ lệ bị nhiễm phần mềm độc hại trên các hệ thống giao dịch bán lẻ theo bảo cáo bảo mật Q3/14 của Trend Micro
Vượt mặt công nghệ
Vì sự bùng nổ của những vụ xâm phạm dữ liệu gần đây, ngành công nghiệp tài chính của Mỹ đã bắt đầu hành động, loại bỏ dần công nghệ thẻ từ lỗi thời để mở đường cho những thẻ chip mới.
Doug Johnson, phó chủ tịch cấp cao về thanh toán và an ninh mạng tại Hiệp hội Ngân hàng Mỹ (American Bankers Association-ABA), ước đoán 70% các thẻ thanh toán tại Mỹ sẽ là thẻ chip vào cuối năm 2015. Johnson kỳ vọng sự chuyển đổi hoàn toàn sang công nghệ chip sẽ được hoàn tất vào năm 2017.
Trong khi sự chuyển đổi này là một bước đi đúng hướng, nhiều người băn khoăn vì sao ngành tài chính Mỹ không áp dụng công nghệ này sớm hơn.
Johnson cho biết có một số nguyên nhân đứng đằng sau sự chậm trễ này, chủ yếu là từ ý tưởng cho rằng công nghệ này có thể sẽ sớm bị "qua mặt".
"Chúng tôi không bao giờ xem một công nghệ nào đó như là một giải pháp cuối cùng", Johnson phát biểu trên FOX Business. "Các mối đe dọa luôn luôn biến đổi".
Trong thực tế, hiệp hội ABA nhận định công nghệ này rốt cuộc đang được thổi phồng.
"Chúng tôi nhìn thấy một sự chuyển đổi đã vượt qua công nghệ chip," Johnson nói. "Apple Pay rõ ràng là một ví dụ về một thứ gì đó đem lại nhiều hứa hẹn - Nó được hỗ trợ bởi các đại biểu của ngành công nghiệp (industry representatives) và những mạng lưới thẻ (card networks). Nó khiến việc xâm phạm số thẻ trở thành vô dụng bởi vì nó sử dụng ngẫu nhiên các con số".
Thay vì dải từ tính, thẻ chip-và-PIN chứa một vi chip được mã hóa để lưu trữ thông tin tài chính.
Apple Pay, một nền tảng thanh toán mới được thiết kế bởi Apple (AAPL), sử dụng một phương pháp gọi là "token hóa" (tokenization) sẽ thay thế các số thẻ tín dụng tĩnh với một số được tạo ra ngẫu nhiên hay gọi là "token". Token này có thể được lập trình để hết hạn sau khi thực hiện một giao dịch mua hàng cụ thể, khiến nó không còn khả dụng dù cho có bị rơi vào tay của tội phạm mạng.
Sự phổ biến ngày càng tăng của thương mại trực tuyến so với hình thức giao dịch trực tiếp truyền thống cũng sẽ tác động vào vấn đề bảo mật thanh toán, theo ABA.
"Khi xem xét đến sự tăng trưởng mạnh của Cyber Monday, công nghệ chip chưa giải quyết được vấn đề giao dịch điện tử, nhưng token hóa thì có thể ", Johnson nói. "Có một dự báo rằng những vi phạm bảo mật không cần thông qua thẻ (‘card-not-present’ fraud)" sẽ gia tăng khi chúng ta chuyển sang dùng công nghệ chip vì khi đó việc thực hiện các giao dịch bất hợp pháp trong môi trường giao dịch buôn bán lẻ sẽ trở nên khó khăn hơn".
Trong khi không có một phương cách toàn diện nào có thể “chữa trị” cho tất cả hệ thống thẻ thanh toán rất dễ bị tấn công tại Mỹ, các chuyên gia an ninh mạng cho biết khả năng thích ứng là điều rất cần thiết để bảo vệ những dữ liệu nhạy cảm của người dùng.
"Bất kỳ công nghệ nào cũng có lỗ hổng", chuyên gia an ninh mạng Brian Finch nói. "Mọi người nên sẵn sàng cho sự thay đổi liên tục trong công nghệ, bởi tin tặc sẽ không ngừng phá vỡ những mô hình bảo mật của các hệ thống được sử dụng".
Các chuyên gia bảo mật khác nhanh chóng chỉ ra rằng vấn đề này sẽ không thể giải quyết chỉ bằng những cơ chế thanh toán bảo mật hơn. Nó còn tùy thuộc vào chính các nhà bán lẻ có đảm bảo tối ưu hóa tính bảo mật cho cơ sở hạ tầng thanh toán của họ hay không.
"Công nghệ chip-và-PIN có thể sẽ tăng cường đáng kể tính bảo mật tại các PoS, tuy nhiên họ phải đầu tư vào những hệ thống kiểm soát ứng dụng và phát hiện xâm phạm (application control and breach detection system) để có thể chống lại làn sóng tội phạm một cách toàn diện", Tom Kellermann, giám đốc an ninh mạng tại Trend Micro cho biết.
Theo PC World VN.