Electronic Banking: Cách thức thanh toán trực tuyến tiện lợi và an toàn

Hình ảnh: Ví dụ về việc thực hiện giao dịch chuyển khoản trực tuyến trong giao diện ngân hàng trực tuyến của một ngân hàng. Electronic Banking (hay còn gọi là E-Banking, Onlinebanking, Home Banking...

Electronic Banking Hình ảnh: Ví dụ về việc thực hiện giao dịch chuyển khoản trực tuyến trong giao diện ngân hàng trực tuyến của một ngân hàng.

Electronic Banking (hay còn gọi là E-Banking, Onlinebanking, Home Banking hay Elektronisches Bankgeschäft) là việc thực hiện các giao dịch ngân hàng thông qua truyền dữ liệu từ xa hoặc internet bằng cách sử dụng máy tính cá nhân, điện thoại thông minh hoặc các thiết bị điện tử khác (Mobile-Banking), hoặc qua kết nối điện thoại bằng cách sử dụng điện thoại (Telebanking, Telefonbanking hoặc Phonebanking) (Wikipedia).

Thay đổi trong quá trình phát triển

Trước thời đại máy tính, các giao dịch ngân hàng chỉ được thực hiện thông qua các biểu mẫu như phiếu chuyển khoản hoặc giấy rút tiền. Những biểu mẫu này được các tổ chức tín dụng sử dụng như một chứng từ để ghi nhận việc ghi nợ vào các tài khoản giao dịch góp phần vào việc ghi nợ vào các tài khoản giro liên quan. Tuy nhiên, với việc giới thiệu các hệ thống thanh toán điện tử như dịch vụ thanh toán hàng loạt điện tử, giao dịch tiền mặt có giấy tờ đã mất đi sự quan trọng.

Ngân hàng Bưu điện là một trong những người tiên phong trong việc cung cấp dịch vụ ngân hàng trực tuyến, bắt đầu từ năm 1983 với hệ thống màn hình văn bản. Công nghệ này không được chấp nhận như dự kiến và đã được dừng lại vào năm 2001, tuy nhiên, chương trình vẫn tiếp tục hoạt động cho tới năm 2007. Ngân hàng Sparda đã sử dụng giải pháp phần cứng MeChip được phát triển bởi doanh nhân trẻ gốc Đông Đức Jozsef Bugovics từ năm 1996. Ở giai đoạn ban đầu, không có sự khác biệt rõ ràng giữa Homebanking và Electronic Banking, vì nhiều hoạt động (ví dụ: chuyển khoản) có thể được thực hiện theo nhiều cách khác nhau, tức là qua màn hình hoặc gửi thông qua bưu điện, trong khi nhiều hoạt động ngân hàng khác (ví dụ: đặt lệnh chứng khoán) không thể được thực hiện theo cách đó, ít nhất là đối với khách hàng cá nhân. Trong một số trường hợp, các yêu cầu đến ngân hàng cũng có thể được gửi qua fax.

Tầm quan trọng của Electronic Banking

Với sự phát triển của internet và các trình duyệt web tương ứng, một xu hướng rõ ràng đã xuất hiện. Chỉ ở Đức, tỷ lệ sử dụng ngân hàng trực tuyến đã tăng từ 8% vào năm 1998 lên 36% vào năm 2008. Theo một cuộc khảo sát được thực hiện vào năm 2017 bởi RCG-Retailbanking, 28% khách hàng cá nhân trên toàn cầu đã thực hiện các giao dịch ngân hàng trực tuyến vào năm 2015, và con số này đã tăng lên 43% vào năm 2017. Vào năm 2014, 55% dân số Đức thực hiện các giao dịch ngân hàng trực tuyến, trong khi con số này đã giảm xuống còn 50% vào năm 2017, mà chỉ sử dụng các dịch vụ trực tuyến. Vào năm 2008, có 24 triệu người đã sử dụng dịch vụ ngân hàng trực tuyến, tương ứng với 38% người dân trong độ tuổi từ 16 đến 74 tuổi. Có nhiều hệ thống đã được phát triển để bảo vệ các giao dịch ngân hàng khỏi việc lạm dụng, ví dụ như cổng thông tin riêng dành cho môi giới chứng khoán, việc truy vấn qua SMS, PIN, v.v.

Các pháp lý cơ bản

Electronic Banking đặc biệt phụ thuộc vào luật thanh toán của Đức (§§ 675c ff. BGB) và Luật ngân hàng (§§ 1 ff. ZAG). Ngoài ra, Cơ quan Hợp tác Ngân hàng Đức, là Hiệp hội các ngân hàng hàng đầu tập hợp các hiệp hội ngân hàng, đã xác lập tiêu chuẩn giao tiếp trực tuyến qua Internet (EBICS-Standard) trong quy định về giao diện cho hiệp định về truyền dữ liệu từ xa giữa khách hàng và ngân hàng (DFÜ-Abkommen). Tiêu chuẩn này đã trở thành bắt buộc từ ngày 1 tháng 1 năm 2008 đối với tất cả các ngân hàng tham gia và quy định các điều kiện kỹ thuật cho việc thực hiện giao dịch ngân hàng trực tuyến trong các tổ chức.

Các phương pháp Electronic Banking

Electronic Banking là thuật ngữ chung cho một loạt các phương pháp khác nhau để có thể thực hiện các giao dịch ngân hàng mà không phụ thuộc vào cửa hàng ngân hàng và giờ mở cửa của nó. Các phương pháp này có thể được phân biệt như sau:

  • Phương pháp trao đổi dữ liệu qua đĩa (DTA hoặc DTAUS)
  • Ngân hàng trực tuyến (gọi là E-Banking, Homebanking và ít người gọi là Telebanking)
  • Ngân hàng qua điện thoại (thường gọi là Telebanking)
  • Thanh toán hỗ trợ bằng thẻ (còn được gọi là Electronic Cash)

Các phương pháp riêng lẻ được phát triển cho các đối tượng nhất định. Ví dụ, phương pháp trao đổi dữ liệu điện tử truyền thống được ưa chuộng bởi khách hàng doanh nghiệp lớn, trong khi ngân hàng qua điện thoại rất phù hợp cho khách hàng cá nhân. Tuy nhiên, thực tế thường có sự kết hợp giữa các phương pháp này.

Phương pháp trao đổi dữ liệu qua đĩa

Trao đổi thông tin thông qua đĩa là một phương pháp cạnh tranh đối với truyền dữ liệu file qua FTAM / BCS (xem phía dưới) đối với các công ty lớn và các cơ quan đô thị với số lượng lớn các đơn hàng.

Trong phương pháp này, các giao dịch chuyển khoản và thu hồi tiền được gửi đến ngân hàng dưới dạng tập tin trên đĩa mềm hoặc CD-ROMs, trước đây là băng từ. Cấu trúc của tệp tin (tệp tin "DTAUS") đã được một nhóm các tổ chức tín dụng ở Đức thống nhất và chuẩn hóa, và bao gồm các thông tin về người chỉ định và người nhận, loại giao dịch (chuyển khoản hoặc thu hồi), cũng như dữ liệu tổng hợp để kiểm soát.

Xác thực và ủy quyền các giao dịch được thực hiện thông qua một đĩa mềm dẫn đường dữ liệu kèm theo chữ ký của người được ủy quyền.

Ở Thụy Sĩ, có một cấu trúc cố định và tiêu chuẩn cho định dạng DTA. Định dạng trao đổi dữ liệu (DTA) được xác định bởi SIX Interbank Clearing AG (dự án chung của các ngân hàng Thụy Sĩ). Định dạng của Thụy Sĩ không tương thích với định dạng Đức.

Ngân hàng trực tuyến

Dưới ngân hàng trực tuyến (còn được gọi là Online-Banking hoặc Online Banking), người dùng có thể truy cập trực tiếp vào máy tính ngân hàng (ví dụ: thông qua internet hoặc kết nối trực tiếp với ngân hàng thông qua truyền dữ liệu từ xa).

Hai phương pháp phổ biến hiện nay là:

  • Ngân hàng trực tuyến dựa trên trình duyệt thông qua trang web của ngân hàng, thường được bảo mật bằng TLS.
  • Sử dụng chương trình ngân hàng trực tuyến (gọi là chương trình Client) để chuẩn bị các giao dịch ngoại tuyến, tức là không cần kết nối mạng, bằng cách điền thông tin vào một biểu mẫu chuyển khoản. Sau đó, kết nối mạng được thiết lập để truyền các giao dịch đã được tổng hợp.

Các giao dịch được ký bằng chữ ký điện tử. Các phương pháp sau đã trở thành tiêu chuẩn:

  • PIN/TAN (với danh sách TAN giấy, máy phát TAN, eTAN, sm@rt TAN, chipTAN, TAN quang hoặc TAN di động ví dụ như SMS)
  • Giao diện ngân hàng qua máy tính Homebanking (HBCI) hoặc Dịch vụ giao dịch tài chính (FinTS) với bảo mật bằng thẻ chip hoặc đĩa chìa khóa.
  • Truyền tệp, truy cập và quản lý (FTAM) với chữ ký điện tử (EU); phổ biến hơn ở các công ty; kết nối trực tiếp đến máy chủ ngân hàng thông qua ISDN hoặc DATEX-P.
  • Tiêu chuẩn truyền thông ngân hàng (BCS), thường là giống với FTAM, thường được sử dụng chữ ký điện tử chủ yếu bởi các công ty lớn.
  • Tiêu chuẩn truyền thông qua internet (EBICS): Mở rộng của tiêu chuẩn truyền thông ngân hàng cho việc truyền thông qua internet bằng cách sử dụng chữ ký điện tử. Tiêu chuẩn đa ngân hàng trong tương lai cho kinh doanh doanh nghiệp trên internet (được tiến hành áp dụng trên toàn Đức từ ngày 1 tháng 1 năm 2008).

Các hệ thống ngân hàng trực tuyến dựa trên trình duyệt hiện đại có nhiều tính năng như chức năng cổng thông tin, khả năng truy cập dễ dàng, các biện pháp an ninh khác nhau (ví dụ: chống lừa đảo), khả năng thông báo (ví dụ: thông báo qua tin nhắn SMS hoặc email khi có thay đổi số dư tài khoản), các phương pháp xác thực TAN di động và tên đăng nhập có thể tùy ý. Tất cả các hệ thống ngân hàng trực tuyến dựa trên trình duyệt đều được thực hiện bằng phần mềm riêng.

Ở Áo, hầu hết các giao dịch ngân hàng trực tuyến được thực hiện thông qua phương pháp MBS/IP.

An ninh trong ngân hàng trực tuyến

Cần phân biệt giữa việc bảo mật dữ liệu truyền về từ hoặc đến ngân hàng và xử lý dữ liệu tại nơi làm việc. Với tất cả các hệ thống ngân hàng trực tuyến dựa trên trình duyệt và khách hàng phần mềm ngân hàng trực tuyến, việc mã hóa dữ liệu truyền từ phía ngân hàng được đảm bảo. Nếu không có tai nạn được đề ra theo nhận định con người, việc thay đổi dữ liệu truy cập này không thể bị chi phối hoặc chỉ có thể bị thay đổi với công sức và tài nguyên lớn.

Giao thức truyền dữ liệu HTTPS có thể sử dụng nhiều thuật toán mã hóa khác nhau, có mức độ an toàn khác nhau. Khi thiết lập kết nối, trình duyệt web và ngân hàng máy chủ thương lượng thuật toán mã hóa, trong đó hầu hết các ngân hàng sử dụng Advanced Encryption Standard (AES) với khóa 256 bit.

Khả năng tấn công đầu tiên đối với một kẻ lừa đảo là máy tính cá nhân. Vì vậy, máy tính nên được bảo vệ bằng một phần mềm diệt virus và tường lửa để ngăn chặn việc phân tán chương trình độc hại như virut, keylogger hoặc trojan. Các chương trình độc hại như vậy có thể cho phép điều khiển máy tính từ xa.

Việc lấy thông tin đăng nhập như TAN thông qua phishing, pharming hoặc SIM-Swapping là nhằm mục đích trực tiếp nhằm lấy thông tin cần thiết cho việc xác nhận (ví dụ: PIN/TAN) từ người dùng. Mỗi khách hàng ngân hàng có thể tự bảo vệ mình bằng cách không tiết lộ quyền truy cập mà ngân hàng cung cấp hoặc lưu trữ trên máy tính.

Có thể cũng có việc giả mạo Hệ thống tên miền DNS để chuyển hướng URL của trang web ngân hàng trực tuyến đến địa chỉ IP của một kẻ tấn công (DNS-Spoofing). Điều này sẽ làm cho trình duyệt web được chuyển hướng đến máy chủ web khác mà không cần nhập URL đúng.

Cuối cùng, cuộc tấn công man-in-the-middle yêu cầu kẻ tấn công xen vào giữa người dùng và ngân hàng. Điều này đòi hỏi giám sát lưu lượng dữ liệu trực tuyến ở thời gian thực. Những cuộc tấn công tương ứng thường được thực hiện thông qua Trojan trên máy tính người dùng. Năm 2012, Cơ quan An ninh Mạng và Thông tin của Liên minh châu Âu đã khuyến nghị tất cả các ngân hàng xem lần lượt máy tính của khách hàng là bị nhiễm vi rút và do đó sử dụng các biện pháp an ninh cho phép khách hàng kiểm tra lại thông tin giao dịch thực tế, như một ví dụ thường xuyên, trong trường hợp an ninh của đối tác di động có thể được bảo đảm - mTAN hoặc các giải pháp dựa trên thẻ thông minh có màn hình kiểm soát riêng như chipTAN.

Biện pháp để bảo vệ ngân hàng trực tuyến an toàn

Điều kiện tiên quyết cho ngân hàng trực tuyến an toàn là một hệ thống xác thực và phê duyệt an toàn. Trong ngân hàng trực tuyến được hỗ trợ bằng trình duyệt web, phương pháp chipTAN tương ứng với công nghệ hiện tại (2012). Trong lĩnh vực của Homebanking, nơi mà một phần mềm homebanking cần phải được cài đặt trên máy tính khách hàng, HBCI với thẻ chip và đầu đọc thẻ có khả năng Secoder là phương pháp an toàn nhất, trong đó ngân hàng và phần mềm homebanking phải hỗ trợ phần mở rộng Secoder cho HBCI.

Ngoài ra, có rất nhiều biện pháp kỹ thuật có thể triển khai trên máy tính khách hàng. Điều này bao gồm việc cài đặt phần mềm diệt virus và tường lửa cá nhân. Đặc biệt đối với những người sử dụng các phương pháp TAN cũ như danh sách TAN giấy hoặc máy tạo TAN đơn giản (không phải là chipTAN) không đóng góp dữ liệu giao dịch đã sẵn trong tính toán của mình vào TAN, việc sử dụng một đĩa CD hoặc USB di động với Knoppix miễn phí có thể là một biện pháp hợp lý. Hệ điều hành trực tiếp thường không chứa các Trojan ngân hàng và do đó có thể bảo vệ người dùng khỏi vấn đề Trojan này. Những biện pháp này tập trung vào các khía cạnh kỹ thuật.

Một khía cạnh quan trọng khác đối với việc thực hiện ngân hàng trực tuyến an toàn là nâng cao kiến thức của người dùng và nhận thức của họ về các hình thức lừa đảo có thể xảy ra (xem cũng: kỹ thuật xã hội). Trojan đáng chú ý như Tatanga hoặc Matsnu.J đã cho thấy việc giả mạo một người dùng thực sự làm giả các biện pháp an ninh kỹ thuật thực sự không cần thiết. Sự nhầm lẫn là một quá trình tinh vi của sự thực hiện không đúng sự thật, ví dụ như một "kiểm tra" hoặc "trả lại" giả, bằng cách khai thác sự thiếu hiểu biết của khách hàng ngân hàng, đã khiến nhiều khách hàng ngân hàng bị lừa đảo mất số tiền lớn.

Các phương pháp thanh toán dựa trên ngân hàng trực tuyến

Giropay và Sofortüberweisung là các hình thức thanh toán trực tuyến dựa trên chuyển khoản ngân hàng, được tối ưu hóa đặc biệt cho yêu cầu của thương mại điện tử. Kể từ tháng 11 năm 2017, việc chuyển tiền trực tiếp đã trở thành tiêu chuẩn trong Khu vực Thanh toán Châu Âu (SEPA) theo từng giai đoạn.

Ngân hàng qua điện thoại

Trong ngân hàng qua điện thoại, việc truy vấn số dư tài khoản, chuyển khoản và thậm chí giao dịch chứng khoán thường được thực hiện qua điện thoại. Có các máy lẻ điện thoại, nhưng cũng có các giải pháp phần mềm truyền hình gọi tổng đài hoặc kết hợp.

Thanhh toán hỗ trợ bằng thẻ

Thanh toán bằng thẻ tín dụng, thẻ ghi nợ hoặc thẻ tiền mặt cũng thuộc vào phạm vi của Electronic Banking. Tuỳ thuộc vào loại thẻ được sử dụng, thanh toán được ủy quyền bằng mã PIN hoặc chữ ký. Với thẻ tiền mặt và một số thẻ VISA[12], việc xác thực chỉ diễn ra khi nạp tiền.

1