Ngân hàng của tôi liên tục phá hoại việc giáo dục chống lừa đảo phishing

Có vẻ đây không phải là cảm giác déjà vu do nhầm lẫn 🤣

Ý kiến Hacker News

• Ngân hàng của tôi dùng một hệ thống phát hiện gian lận sẽ gọi cho tôi khi phát hiện hoạt động đáng ngờ trên tài khoản, rồi yêu cầu tôi gọi lại vào một số cụ thể, vấn đề là mỗi lần họ lại đưa một số gọi lại khác nhau, nếu tìm số đó trên mạng thì chỉ ra đúng một kết quả, và đó là trang web chính thức của hệ thống phát hiện gian lận nói rằng đừng tin bất kỳ cuộc gọi nào cả (lời khuyên này thì hợp lý, nhưng trớ trêu là cũng đồng nghĩa với việc bỏ qua cả những liên hệ hợp pháp của chính họ)

  • Tôi chỉ từng kích hoạt hệ thống phát hiện gian lận trên thẻ đúng một lần, lúc đó tôi nhận được tin nhắn từ ngân hàng kiểu “thẻ của bạn đã bị khóa do có giao dịch đáng ngờ, vui lòng gọi vào số sau”, và số đó cũng là một số không niêm yết được chỉ định ngẫu nhiên, lý do duy nhất tôi không phớt lờ nó là vì ngay trước đó tôi vừa thanh toán trên một trang web mới, nên tôi đã gọi trực tiếp cho chi nhánh ngân hàng địa phương để xác minh xem có đúng là chuyện đó hay không, và họ xác nhận là đúng, tôi suýt nữa đã than phiền rằng quy trình này thật sự quá tệ

  • Có vẻ không có ai phụ trách toàn bộ luồng trải nghiệm người dùng (UX) của ngân hàng, ngân hàng của tôi cũng vận hành kỳ quặc tương tự, ví dụ mỗi lần tôi chuyển tiền cho vợ thì lần nào họ cũng hỏi một loạt câu để chống gian lận, rồi sau khi trả lời xong lại hiện thông báo kiểu “vì bạn chuyển thường xuyên nên chúng tôi sẽ không yêu cầu mã 2FA hay xác thực bổ sung”, loại UX vô lý như vậy có lẽ là vì không có một người hoặc một đội nào chịu trách nhiệm cho toàn bộ luồng

  • Ngân hàng không tuân theo chính các quy tắc do họ đặt ra, có lần ngân hàng gọi cho tôi về một thay đổi bảo hiểm mà tôi đã yêu cầu từ một tháng trước, rồi bảo tôi xác thực danh tính bằng security dongle, với kiểu làm này thì việc người ta bị lừa đảo cũng chẳng có gì đáng ngạc nhiên

  • Ngân hàng nơi tôi làm việc xác minh bất thường bằng cách gửi tin nhắn hỏi “bạn có phát hành séc trị giá $x không”, vấn đề là trò lừa séc phổ biến nhất là “check washing”, tức giữ nguyên số tiền trên séc nhưng giả mạo người thụ hưởng, như vậy thì nó chỉ trông như một giao dịch hợp pháp vì số tiền khớp, chứ hoàn toàn không xác minh được thực tế tiền đã được trả cho ai

  • Ngay cả khi liên hệ qua số tổng đài chính thức của ngân hàng và chờ rất lâu mới gặp được tư vấn viên, họ vẫn bảo rằng dù đó là đúng số thì họ cũng không công nhận, còn phiền hơn nữa là với những ngân hàng tôi không dùng, nếu gọi số trên trang chủ thì chỉ vào hệ thống trả lời tự động, mà nếu không có số tài khoản thì thậm chí không vào được, thành ra lại phải đi tìm một số khác có thể liên hệ để được nói chuyện với người thật

• Ngân hàng của tôi (USAA) trước đây từng thực sự triển khai vài đề xuất tôi đưa ra, nhưng gần đây tôi nhận được một email có vẻ hợp lệ gửi đến địa chỉ email duy nhất của tôi, chỉ là tên miền khác với bình thường (càng đáng nghi hơn vì nó đến ngay sau khi tôi vừa xử lý việc gì đó), tôi lập tức gọi cho ngân hàng và nói chuyện với nhân viên bộ phận gian lận, giải thích rằng “hoặc là hệ thống nội bộ đã bị xâm nhập, hoặc là các anh đang khiến khách hàng dần quen với phishing” và yêu cầu họ tạo ticket, người đó nói tên miền kia không thuộc USAA và họ chỉ dùng usaa.com, rồi lặng lẽ khóa tài khoản của tôi, cuối cùng tôi phải gọi lại để mở khóa, và họ nói đã tạo ticket, giờ thì phải chờ xem diễn biến tiếp theo

  • Tôi cũng từng phỏng vấn vị trí kỹ sư phần mềm ở USAA, sau khi thấy sự kém cỏi của những người phỏng vấn thì những chuyện lố bịch xảy ra trong công ty không còn làm tôi ngạc nhiên nữa

• Công nghệ và cách làm marketing liên quan đến trải nghiệm người dùng của các ngân hàng tệ khủng khiếp, mọi form đăng nhập của các ngân hàng Ấn Độ mà tôi từng dùng đều

  • không thân thiện với password manager
  • không cho copy/paste mật khẩu
  • dùng băm mật khẩu phía client
  • có những yêu cầu kỳ quặc như không cho quá 15 ký tự và chỉ cho phép một số ký tự trong whitelist (HDFC đặc biệt tệ)
  • spam message ngày càng nhiều Tất cả đều có cảm giác chưa thoát khỏi quán tính UX của đầu những năm 2000

  • Không cho quá 15 ký tự ư! Ngân hàng của tôi yêu cầu chính xác 6 chữ số, không phải ký tự mà bắt buộc là số, không dùng được password manager và cũng bị chặn copy/paste, còn phải dùng chuột bấm vào ô số, vì ám ảnh “bảo mật” nên xác thực lớp hai trước đây đổi từ token vật lý sang app, rồi cuối cùng lại thành SMS, đây không phải một ngân hàng làng nhàng mà là ngân hàng lớn nhất nước Pháp

  • Vài tuần trước còn có tranh cãi trên Reddit vì ảnh chụp cho thấy app của một ngân hàng quốc doanh Ấn Độ tự chặn chỉ vì người dùng cài Firefox, các trang ngân hàng và chính phủ cực kỳ thiếu thân thiện với người dùng, trước đây tôi nghĩ cách tiếp cận này nhằm bảo vệ những người không rành công nghệ, nhưng giờ tôi thấy đó chỉ là cái cớ để trì hoãn việc áp dụng các framework vừa an toàn vừa tiện lợi đúng nghĩa

  • Một số app ngân hàng quốc doanh Ấn Độ thậm chí không chạy nếu bạn không cấp các quyền “thiết yếu” như camera, toàn bộ hệ thống file, v.v., nhưng ở ngân hàng của tôi thì tôi chưa từng nhận kiểu spam như OP, dù vậy trong nhận thức phổ biến vẫn có tin đồn rằng nhân viên cấp thấp thường xuyên làm lộ thông tin tài khoản cho bọn lừa đảo

  • Ngân hàng của tôi bắt buộc đổi mật khẩu mỗi 180 ngày, mật khẩu chỉ được dài 6–11 ký tự và còn giới hạn bộ ký tự được dùng, vì vậy cứ định đăng nhập là lại bị bắt đổi mật khẩu, mật khẩu tự sinh của Firefox thì không khớp quy định ngân hàng, thành ra tôi phải lỉnh kỉnh tự tạo mật khẩu ngẫu nhiên trong terminal cho đúng điều kiện

  • Tôi không hiểu rõ vì sao việc dùng băm mật khẩu phía client lại là vấn đề

• Khi mua bán nhà thì chuyện này còn tệ hơn, có quá nhiều đơn vị con mỗi nơi dùng một tên miền khác nhau nên rất rối, tôi cũng từng khổ sở vì phải tin một tên miền đáng ngờ trong vụ thu hồi thiết bị y tế, chuyện này có thể giải quyết đơn giản chỉ bằng cách đăng danh sách các tên miền đối tác đáng tin ngay trên trang chủ, giao thức bảo mật cá nhân của tôi là tra thông tin liên hệ của tổ chức tài chính trên trang .gov, vào tên miền đó để tìm số chăm sóc khách hàng rồi gọi hỏi xem thực tế những tên miền nào là đáng tin, nhân viên CSKH thường nghĩ tôi kỳ quặc, thậm chí có lần một tư vấn viên còn bảo “nếu trên LinkedIn hiện người đó làm ở <Bank Name> thì anh biết là người thật”

  • Khi nghe câu “nếu trên LinkedIn ghi làm ở <Bank Name> thì có thể tin”, tôi đã hỏi lại rằng “cho tôi 2 phút là tôi cũng có thể ghi như vậy trên hồ sơ của mình, thế rồi anh cũng sẽ đưa dữ liệu cá nhân của anh cho tôi à?”

  • Cũng có trải nghiệm mua nhà hoàn toàn không phức tạp, tôi làm khoản vay thế chấp thông qua một môi giới và chỉ làm việc một-một với đúng một người

• Những người ngây thơ có quyền ra quyết định thường không nhận thức đúng mức các rủi ro này cho tới khi chính họ hoặc người xung quanh dính lừa đảo hay rắc rối pháp lý thì mới tỉnh ra, ở Mỹ trước năm 2012 cũng có nhiều người như vậy điều hành doanh nghiệp, nhưng vì white-hat/black-hat hacking lan nhanh nên các vấn đề kiểu này được xử lý tương đối sớm

  • Tôi từng làm ở một công ty tài chính có văn hóa an ninh thông tin rất vững, sau khi công ty bị mua lại thì liên tục có các email yêu cầu từ nhà cung cấp bên ngoài gửi đến dưới danh nghĩa lãnh đạo trụ sở chính, nhưng theo chính sách bảo mật cũ của chúng tôi thì xử lý những email như vậy là bị cấm, nên trên Slack mọi người thống nhất rằng dù đây có thể là email thật thì theo chính sách cũng cứ báo phishing hết, kết quả là một kiểu không tuân thủ không ác ý, nhưng thật ra đó mới là thực hành chuẩn, về sau còn có lãnh đạo trụ sở gửi email báo trước kiểu “sẽ có những email như thế này, hãy phản hồi như sau”, rồi chúng tôi lại tiếp tục bàn nhau “thế thì làm sao biết cái email báo trước đó là thật”, cuối cùng ai cũng mệt nên chấp nhận dần các thực hành bảo mật lỏng lẻo của trụ sở

  • Tôi nghĩ trong những tổ chức kiểu này có một cấu trúc xã hội khiến những người thực sự giỏi và có khả năng đưa ra quyết định đúng rất khó leo lên vị trí có quyền quyết định, để làm ra chính sách tốt thì phải đi khắp nơi nói “không được”, mà trong quá trình đó việc khó nhất chính là chiều lòng những người nắm quyền nhân sự

  • Trên giấy tờ thì nào là CISO, EVP, SVP, giám đốc an ninh đều đủ cả, thế mà vẫn đưa ra những quyết định kỳ quặc như vậy thì thật khó hiểu, trong những trường hợp thế này rất khó phân biệt giữa bất tài và ác ý, nếu gọi họ là “ngây thơ” thì lại thành ra đang bào chữa cho hành vi xem thường khách hàng, đầu tư cho bảo mật thì tốn tiền, không đầu tư cũng gây thiệt hại, nhưng ít nhất đến hiện tại thì cái giá mất người dùng vẫn nhỏ hơn chi phí để làm mọi thứ đúng và an toàn, nên cách làm này vẫn tồn tại, rốt cuộc là một thực tế buồn cho tất cả mọi người

• Ngân hàng thường xuyên gọi điện marketing ngẫu nhiên cho tôi, và trước cả khi giải thích đề nghị của họ là gì, họ đã hỏi ngày sinh và tên mẹ tôi, mỗi lần tôi hỏi ngược lại “hãy chứng minh trước là ngân hàng thật” thì họ đều lúng túng

  • Khi có cuộc gọi lạ yêu cầu tôi xác nhận thông tin cá nhân, tôi luôn trả lời “tôi không biết anh là ai nên không thể cung cấp dữ liệu cá nhân”, khoảng một nửa sẽ cúp máy luôn, số còn lại thì lập tức bắt đầu bài chào hàng

  • Tôi cũng thường gặp y hệt trong ngành y tế, văn phòng bác sĩ chuyên khoa cứ vừa gọi là hỏi ngày sinh của tôi trước, và khi tôi từ chối thì họ tỏ ra rất ngạc nhiên, tôi cũng nghĩ giống vậy: nếu phía họ là bên gọi đến thì họ phải chứng minh danh tính trước

  • Ngân hàng của tôi cuối cùng cũng hiểu điều đó, nên giờ họ đã triển khai hệ thống cho phép xác minh ngay trong app rằng đúng là tư vấn viên đó đang liên hệ chào bán và chính xác là nhân viên nào

• Bối cảnh xuất hiện ý tưởng “vậy thì đăng ký subdomain là giải pháp” là vì ở bộ phận IT có ai đó hiểu rằng việc cấp quyền kiểu subdomain như vậy là nguy hiểm nên đã từ chối, thế là các bộ phận khác trong công ty (như marketing) tự đi đăng ký tên miền riêng để lách theo cách này, tôi tò mò không biết các công ty như Google xử lý chuyện đó ra sao, việc hack subdomain của google.com hẳn là một mục tiêu cực kỳ hấp dẫn, vậy mà thực tế Google cũng dùng subdomain khá thường xuyên, có thể xem ví dụ liên quan trong liên kết gist này

  • Trên thực tế nhiều khi chuyện này còn chẳng đi qua bộ phận IT, marketing về mặt tổ chức tách biệt với IT và không muốn nhờ IT làm việc, IT thì dùng hệ thống ticket chậm chạp, kém hiệu quả, lại hay đưa ra những ý kiến chẳng cần thiết nên phía marketing thấy rất phiền, vì vậy các chiến dịch marketing được giao cho dịch vụ SaaS hoặc nhà thầu ngoài, những bên này cũng chẳng có quan hệ gì với IT doanh nghiệp, người làm marketing thậm chí còn không biết subdomain là gì, họ chỉ làm việc bằng Google Search hoặc bấm link, chẳng ai nhìn kỹ chuỗi URL nên cũng không có nhận thức vì sao subdomain lại quan trọng, nếu nhìn vào cách người dùng Internet thực sự sử dụng mạng thì việc đào tạo chống phishing kiểu truyền thống là vô nghĩa, cách phòng tránh thực tế hơn là “Google Search rồi bấm vào kết quả đầu” chứ không phải “đọc kỹ tên miền”

  • Google cũng gây bực ở khoản này chẳng kém ai, email thông báo của họ có kiểu trình bày rất dễ bị hiểu nhầm là phishing, và ngoài google.com họ còn dùng những tên miền lạ khác như goo.gl, foobar.google để gửi hướng dẫn, cái thời cứ thấy vậy là tin ngay đã qua rồi

• Tôi nghĩ mục 4 là cốt lõi, ngân hàng gửi cho khách những email trông như phishing là một sự cẩu thả nghiêm trọng và nên phải chịu trách nhiệm pháp lý

  • Tôi thắc mắc làm sao có thể truy cứu trách nhiệm pháp lý khi không có nạn nhân hay hành vi phạm tội nào rõ ràng tồn tại, nhất là nếu gọi đó là “cẩu thả nghiêm trọng” thì mức bất cẩn đang thấy trong thực tế còn khá nhẹ

• Đây là một ví dụ rất đúng với định luật Conway ngoài đời thực, bộ phận marketing có IT riêng và tách biệt với IT quản lý website lõi, nên họ không thể cùng phát triển trên cùng một web domain và rốt cuộc phải phát hành thành site riêng, trải nghiệm riêng

  • Trường hợp “Sparkassen” của Đức còn rắc rối hơn, đây là các tổ chức tín dụng kiểu credit union từ nhỏ đến trung bình, và tổ chức cấp trên chỉ cung cấp một phần dịch vụ dùng chung như IT, mỗi ngân hàng thành viên có thể tự chọn phạm vi muốn tự quản, các chi nhánh lớn thì vận hành ổn, nhưng các chi nhánh nhỏ thì thiếu người và gần như không làm nổi thực hành an ninh IT, vậy mà các ngân hàng này vẫn xây dựng niềm tin bằng hình ảnh marketing “ngân hàng khu phố”, trong thực tế thì phí cao và hiệu suất sản phẩm đầu tư cũng rất tệ

• Ở công ty một người bạn tôi làm, CISO đã gửi newsletter về bảo mật cho toàn thể nhân viên, nhưng email này lại được gửi từ một tên miền ngoài chứ không phải tên miền nội bộ, và các liên kết cũng dùng nền tảng lưu trữ bên ngoài thay vì site của công ty nên lúc nào cũng trông như email phishing, nhất là khi có cả sự kiện quà tặng thì lại càng dễ bị hiểu là giả (xét theo danh tiếng công ty thì những phần quà hào phóng như vậy nghe đã không hợp lý)

  • Newsletter hàng tuần tôi nhận từ công ty cũng luôn đến từ người gửi bên ngoài, link thì trỏ sang một trang lưu trữ bên ngoài, còn gắn cả ID riêng để theo dõi lượt nhấp, các link đó lại bị Outlook biến đổi nên càng khó nhận biết hơn, tôi đã thử tìm trên website chính thức của công ty nơi tôi đang làm xem có thông báo nào rằng người gửi hay tên miền lưu trữ đó là chính thức hay không nhưng không thấy gì, vì vậy tôi không bấm các link đó, thậm chí còn phân vân có nên báo là phishing hay không