Giao dịch ngân hàng qua app hay trình duyệt an toàn hơn?
Một trong những mối nguy lớn nhất ảnh hưởng tới việc bảo mật trong giao dịch ngân hàng tới từ những mã độc có khả năng ghi lại thông tin đăng nhập và gửi về cho một người hoàn toàn lạ mặt. Một trong những cái tên đã làm mưa làm gió về loại mã độc này chính là Zeus và biến thể Neverquest, Gozi. Loại mã độc này xuất hiện lần đầu vào năm 2007.
Zeus thường nấp dưới lớp vỏ là tệp đính kèm trong email, cùng với đó là nội dung thuyết phục người đọc nên ấn vào xem tệp tin đó. Đó có thể là thông báo về tài khoản ngân hàng của bạn đã bị "hack" và yêu cầu người dùng phải đăng nhập để thay đổi mật khẩu. Zeus sẽ đưa người dùng tới một màn hình nhìn giống so với trang web hợp pháp hoặc đưa người dùng tới một trang web giả mạo. Sau đó mã độc sẽ ghi lại toàn bộ những thông tin mà người dùng nhập vào trong quá trình đăng nhập vào tài khoản ngân hàng. Đáng sợ hơn nữa, biến thể Gozi của loại mã độc này còn có thể bắt chước cách gõ và cách sử dụng chuột của người dùng để có thể đánh lừa ngân hàng.
Những mã độc nhắm vào dịch vụ ngân hàng có thể trốn dưới vỏ bọc là một tệp tin Word, PDF,… Một số loại còn được lây nhiễm bằng cách cài đặt các chương trình từ một trang web có chứa công cụ tấn công. Thủ đoạn này sẽ thay đổi trên những thiết bị điện thoại thông minh và máy tính bảng. Bằng một cách nào đó, tin tặc có thể vượt qua quá trình kiểm duyệt của kho ứng dụng đối với ứng dụng có gán mã độc, từ đó công khai lây lan mã độc thông qua kho ứng dụng. Những ứng dụng đó đôi khi có thể đòi hỏi những quyền hoạt động khá kì lạ. Một ví dụ đó là ứng dụng đèn pin cho điện thoại lại đòi quyền về giám sát hoạt động mạng hay đòi quyền thay đổi nội dụng bộ nhớ USB.
Để có thể bảo vệ người dùng, những ứng dụng thực hiện giao dịch ngân hàng cần phải trở nên an toàn hơn nữa. Vào năm 2014 đã có một cuộc khảo sát nho nhỏ thống kê về mức độ an toàn của những ứng dụng hoạt động ngân hàng. Cuộc thử nghiệm đã được thực hiện trên 40 ứng dụng ngân hàng và đáng buồn là tới tận 90% ứng dụng có chứa đường dẫn không an toàn (một trong số đó còn thậm chí không sử dụng SSL), 40% trong số đó không hề kiểm tra lại chứng chỉ SSL, có tới tận 20 ứng dụng dễ dàng bị xâm nhập bởi lỗ hổng Cross-site Scripting (XSS) và cũng có tới tận 40% ứng dụng có thể trở thành nạn nhân của phương thức tấn công Man In The Middle. Ứng dụng ngân hàng ngày nay đáng nhẽ ra phải an toàn hơn thế.