Bảo vệ tài khoản Payoneer của bạn

Payoneer Community

19 Tháng 12, 2018

Tại Payoneer, chúng tôi nhận thức đầy đủ rằng mình đang tham gia vào lĩnh vực kinh doanh dựa trên yếu tố niềm tin, và một phần lớn của niềm tin đó nằm ở việc biết rằng tiền của bạn luôn ở trong trạng thái an toàn khi bạn hợp tác với chúng tôi.

Lựa chọn một dịch vụ thanh toán là một quyết định cực kỳ quan trọng, và mặc dù các yếu tố khác như mức phí thấp, những tùy chọn thanh toán linh hoạt và các dịch vụ giá trị gia tăng khác cũng rất tuyệt vời, nhưng các giải pháp này phải song hành cùng với một công ty được xây dựng trên một cơ sở hạ tầng bảo mật vững chắc. Với hàng triệu khách hàng trên toàn thế giới đang ngày càng tin tưởng và chuyển sang Payoneer để quản lý các thanh toán liên biên giới cũng như giúp phát triển công việc kinh doanh của họ, ưu tiên số một của chúng tôi là đảm bảo an toàn cho tài khoản của bạn.

Công nghệ, hoạt động và kinh nghiệm của Payoneer được chứng minh là đã đóng vai trò tối quan trọng trong việc ngăn chặn tất cả các loại tấn công mạng nhắm vào người dùng của chúng tôi. Điều này đã được thể hiện rõ ràng qua cách tiếp cận bảo mật nhiều lớp của chúng tôi trong việc giảm thiểu tình trạng chiếm đoạt tài khoản (Account takeover-ATO), một trong những nền móng chủ đạo cho chiến lược an ninh mạng của chúng tôi.

Nhằm cho bạn biết rõ hơn về lý do tại sao rất nhiều người dùng tin tưởng vào Payoneer, trong bài viết này, chúng tôi sẽ trình bày cho bạn thấy một sự kết hợp của các công cụ bảo mật và khả năng quản trị rủi ro của chúng tôi giúp bảo vệ bạn khỏi các cuộc tấn công chiếm đoạt tài khoản như thế nào.

Nhưng trước hết, hãy cùng tìm hiểu nhanh về ATO và hậu quả tiềm tàng của nó.

Một cuộc tấn công chiếm đoạt tài khoản là gì?

ATO liên quan đến một kẻ tấn công đánh cắp thông tin đăng nhập của người dùng để xâm nhập bất hợp pháp vào tài khoản của họ, nơi mà chúng có thể truy cập mọi thông tin cá nhân của người dùng. Có một số phương thức phổ biến thường được sử dụng để đột nhập vào một tài khoản, bao gồm:

Credential stuffing– Phương thức credential stuffing liên quan đến một kẻ tấn công truy cập vào một tài khoản bằng cách sử dụng các chi tiết đăng nhập bị đánh cắp từ một vụ rò rỉ dữ liệu trước đó.
Social engineering– Phương thức tấn công social engineering liên quan đến một hacker tự nhận là một quản trị viên trang web hoặc một nhân vật đáng tin cậy nào đó và thuyết phục người dùng cung cấp các chi tiết đăng nhập của họ. Email phishing lừa đảo và tin nhắn văn bản là hai hình thức phổ biến nhất để thực hiện một cuộc tấn công social engineering.

Trên đây là một ví dụ về email phishing. Hãy lưu ý rằng vị trí của đường link URL trên không phải là một tên miền của Payoneer.

Tấn công Brute force– Phương thức tấn công brute force là một cuộc tấn công mà trong đó những kẻ tấn công sử dụng một con bot để đăng nhập vào một số lượng lớn các kết hợp của username/password trong một nền tảng cho đến khi một tài khoản bị đột nhập thành công.

Đối với người dùng, có một vài bước dễ dàng mà bạn có thể thực hiện để ngăn chặn các hành vi chiếm đoạt tài khoản. Đầu tiên, hãy bảo đảm rằng bạn chỉ sử dụng một mật khẩu riêng và duy nhất mỗi khi đăng ký một dịch vụ trực tuyến mới. Làm như vậy có nghĩa là ngay cả khi nếu một trong những tài khoản của bạn không may bị chiếm đoạt, kẻ tấn công cũng sẽ không có khả năng sử dụng cách thức credential stuffing để đột nhập vào các nền tảng khác của bạn. Thêm nữa, điều quan trọng là phải theo dõi các email và tin nhắn vốn có thể là một phần của một cuộc tấn công social engineering và tuyệt đối không bao giờ cung cấp mật khẩu của bạn cho bất kỳ ai. Xin vui lòng lưu ý rằng Payoneer sẽ KHÔNG BAO GIỜ yêu cầu tên đăng nhập hoặc mật khẩu của bạn qua email, điện thoại hoặc chat.

Dưới đây là một số bước mà Payoneer triển khai để cả phát hiện và giảm thiểu các cuộc tấn công chiếm đoạt tài khoản.

Phương pháp tiếp cận bảo mật nhiều lớp của Payoneer nhằm ngăn ngừa và phát hiện ATO

Để ngăn chặn những hành vi tấn công chiếm đoạt tài khoản, chúng tôi thực thi một số phương pháp chủ động để ngăn chặn những con bot và tin tặc tiếp cận với tài khoản của người dùng. Chúng bao gồm:

Xác minh hai bước – Payoneer sử dụng bảo mật xác minh hai bước để giúp đảm bảo rằng không có bất kỳ tác nhân độc hại nào có thể xâm nhập vào tài khoản của bạn. Tính năng xác minh hai bước bổ sung thêm một lớp bảo mật cho một số hoạt động liên quan đến tài khoản bằng cách gửi một mã xác minh đến thiết bị di động của bạn hoặc qua một cuộc điện thoại mà bạn sẽ cần phải nhập mã vào trước khi bạn có thể tiếp tục vận hành thông qua tài khoản của mình.*
Yêu cầu nhập CAPTCHA– Chúng tôi sử dụng biện pháp kiểm thử CAPTCHA tại một số vị trí trên hệ thống của mình, bao gồm cả trong trang đăng nhập. Điều này ngăn chặn các con bot sử dụng phương thức brute force để tấn công tài khoản người dùng.

Một ví dụ về yêu cầu nhập CAPTCHA.

Bảo mật Tường lửa Ứng dụng Web (WAFs)– Payoneer sử dụng cả giải pháp bảo mật WAFs dựa trên công nghệ điện toán đám mây và nội bộ để phát hiện các con bot và ngăn chặn chúng xâm nhập trang web của mình.
Phần mềm định vị con Bot– Payoneer sử dụng phần mềm theo dõi các hoạt động của các con bot trên trang web của mình dựa theo các yếu tố như tốc độ gõ chữ và tốc độ di chuyển chuột. Ngoài ra, chúng tôi có thể làm mờ đi trường mật khẩu trong các trình duyệt web nhằm ngăn chặn các con bot ghi lại mật khẩu của người dùng.
Theo dõi trang web trùng lặp– Một trong những phương thức mà kẻ tấn công sử dụng để tiến hành một vụ ATO liên quan đến việc sao chép một trang web trên một tên miền khác. Một cuộc tấn công social engineering sau đó được sử dụng để đánh lừa người dùng truy cập vào một trang web giả mạo và nhập vào chi tiết đăng nhập của họ. Chúng tôi sử dụng phần mềm tiên tiến để theo dõi các trang web trùng lặp, và sau khi xác minh chúng thực sự là những trang web lừa đảo, chúng tôi sẽ gỡ bỏ chúng xuống.
Tìm kiếm tài khoản người dùng chủ động– Payoneer sử dụng nhiều dịch vụ tình báo mạng cấp cao để chủ động tìm kiếm cả những trang “web nổi” (clear web hay còn gọi là surface web- bao gồm các nội dung và trang web mà những công cụ tìm kiếm như Google quét được và cung cấp cho bạn) cũng như trang “web đen” (hay còn gọi là dark web- bao gồm nội dung mạng World Wide Web nằm trong darknet trực tuyến nhưng không thể truy cập bằng những cách thông thường mà phải sử dụng các phần mềm chuyên biệt) để rà soát chi tiết tài khoản người dùng bị chiếm đoạt. Ngay khi một thông tin đăng nhập của người dùng được tìm thấy, họ sẽ ngay lập tức được thông báo và mật khẩu của họ sẽ được thay đổi.

Mặc dù các bước ở trên có thể chặn hiệu quả nhiều cuộc tấn công chiếm đoạt tài khoản, chúng tôi biết rằng những biện pháp này không bao giờ là đủ. Những tên tin tặc liên tục phát triển các công cụ và phương pháp mới để đột nhập vào tài khoản của người dùng, có nghĩa là nó không đủ để ngăn chặn các cuộc tấn công. Bên cạnh các hệ thống phòng ngừa được nêu ở trên, chúng tôi cũng đã triển khai nhiều công cụ và khả năng tinh vi, phức tạp khác nhằm phát hiện các cuộc tấn công chiếm đoạt tài khoản:

1.Cơ chế bảo mật Gatekeeper: Hệ thống RSA Adaptive Authentication

RSA adaptive authentication là một hệ thống xác thực người dùng trực giác dùng để đánh giá các yếu tố rủi ro chẳng hạn như: quốc gia, địa chỉ IP và khối lượng giao dịch để gắn cờ bất kỳ sự bất thường nào của tài khoản. Sau khi xác định được hoạt động khả nghi có thể là dấu hiệu của một cuộc tấn công chiếm đoạt tài khoản, hệ thống sẽ đưa ra các bước nhận dạng bổ sung, ví dụ như câu hỏi bảo mật, để bảo đảm yếu tố bảo mật tài khoản.

Hệ thống phát hiện mối đe dọa của chúng tôi sử dụng công nghệ máy móc thống kê phân tích mới nhất. Điều này cho phép chúng tôi thích nghi và ghi chép lại các mối đe dọa mới trong thời gian thực, giúp chúng tôi luôn có sự chuẩn bị và đi trước những tên tin tặc vài bước và đảm bảo bảo vệ toàn bộ dữ liệu cho người dùng của chúng tôi.

2. Bộ lọc: Giám sát dựa trên quy tắc được thiết lập từ trước

Bộ máy giám sát dựa trên quy tắc được thiết lập từ trước của chúng tôi là một công cụ backend sử dụng những quy tắc được cài đặt sẵn để xác định những hành vi đáng ngờ trong tài khoản người dùng. Khi một quy tắc được kích hoạt, những nhà phân tích pháp lý của chúng tôi có thể điều tra tình hình để xác định xem liệu một tài khoản đã bị chiếm quyền điều khiển hay chưa.

Ví dụ, một giao dịch chuyển khoản lớn bất thường, đặc biệt là vào một tài khoản Payoneer mới, có nhiều khả năng sẽ kích hoạt bộ máy quy tắc của chúng tôi và dẫn đến một cuộc điều tra. Nếu sau đó nó được xác định là một cuộc tấn công chiếm đoạt tài khoản, thì mọi hoạt động tài khoản sẽ bị treo ngay lập tức và chủ tài khoản sẽ được thông báo tức thì.

3. Thiết bị bảo vệ: Mô hình kiểm soát rủi ro và chương trình định hình hành vi

Chúng tôi sử dụng mô hình kiểm soát rủi ro và chương trình định hình hành vi tinh vi và phức tạp để phân tích các giao dịch người dùng khả nghi. Thông tin chúng tôi nhận được từ các kết quả phân tích này sau đó được sử dụng để dự đoán hành vi nguy hại tương lai vốn có thể báo hiệu một cuộc tấn công chiếm quyền kiểm soát tài khoản.

Ví dụ, các mô hình kiểm soát rủi ro của chúng tôi xem xét dữ liệu liên quan đến hành vi đáng ngờ, chẳng hạn như số lượng các thanh toán liên biên giới bất thường tới một quốc gia cụ thể hoặc một khối lượng giao dịch lớn từ một thiết bị mới, và sử dụng nó để gắn cờ các tài khoản đang biểu lộ hành vi giống nhau.

4. Yếu tố con người: Phản hồi của khách hàng

Chúng tôi biết rằng cho dù công nghệ chúng tôi sử dụng có hiện đại và tiên tiến đến đâu, nó vẫn không thể thay thế cho trực giác của con người. Chính vì vậy chúng tôi vẫn thường xuyên duy trì một đường dây liên lạc mở với những người sử dụng của mình—điều đó cho phép chúng tôi nhanh chóng phát hiện hoạt động tài khoản khả nghi, để từ đó chúng tôi có thể kịp thời gắn cờ tài khoản và áp dụng các bước được nêu ở trên.

Hành vi tấn công chiếm đoạt tài khoản là một mối đe dọa cố hữu vốn đòi hỏi phải có các bước giảm thiểu chủ động và sáng tạo từ cả người dùng và nhà cung cấp dịch vụ. Mặc dù chúng tôi không thể giới thiệu toàn bộ những biện pháp bảo mật của mình ở đây, chúng tôi có thể nói rằng các phương pháp giảm thiểu của chúng tôi chủ động ngăn chặn những tác nhân và con bot độc hại truy cập các dữ liệu nhạy cảm, đồng thời bảo đảm rằng chúng tôi có khả năng xử lý ngay lập tức bất kỳ hoạt động đáng ngờ nào để bảo vệ tài khoản của bạn.

Bởi vì lý do này, và nhiều lý do khác, một số thương hiệu số hàng đầu thế giới, bao gồm Amazon, Airbnb và Google, cùng với đó là hàng triệu doanh nghiệp vừa và nhỏ trên phạm vi toàn cầu đều đã và đang đặt niềm tin vào Payoneer vì họ biết rằng vấn đề bảo mật tài khoản luôn là ưu tiên hàng đầu trong tâm trí chúng tôi. Nếu có thêm bất kỳ thắc mắc nào về vấn đề bảo mật tài khoản, xin vui lòng liên hệ với customer success manager của bạn hoặc đội ngũ hỗ trợ khách hàng của chúng tôi và chúng tôi sẽ luôn ở bên bạn để giúp đỡ.

* Hiện tại, bảo mật xác minh hai bước đã có hiệu lực ở Châu Âu và một số quốc gia khác, và dự kiến sẽ được triển khai đầy đủ trong những tháng sắp tới.

Nội dung được cung cấp trong bài viết này, bao gồm mọi thông tin liên quan đến giá, phí và các khoản phí khác, chỉ chính xác và hợp lệ kể từ ngày được phát hành. Ngoài ra, những thay đổi về quy định, chính sách, điều kiện thị trường hiện hành hoặc các yếu tố liên quan khác đều có thể ảnh hưởng đến tính chính xác của giá và phí được đề cập cũng như các chi tiết liên quan khác. Theo đó, để làm rõ thêm, mọi thông tin liên quan đến giá, phí và các khoản phí khác đều có thể thay đổi và bạn có trách nhiệm đảm bảo rằng mình đang xem nội dung mới nhất phù hợp với bản thân. Payoneer sẽ cung cấp thông tin mới nhất và chính xác nhất liên quan đến giá và phí như một phần của quy trình đăng ký tài khoản. Khách hàng đã đăng ký có thể xem thông tin này thông qua tài khoản trực tuyến của họ.