Tại Payoneer, chúng tôi nhận thức đầy đủ rằng mình đang tham gia vào lĩnh vực kinh doanh dựa trên yếu tố niềm tin, và một phần lớn của niềm tin đó nằm ở việc biết rằng tiền của bạn luôn ở trong trạng thái an toàn khi bạn hợp tác với chúng tôi.
Lựa chọn một dịch vụ thanh toán là một quyết định cực kỳ quan trọng, và mặc dù các yếu tố khác như mức phí thấp, những tùy chọn thanh toán linh hoạt và các dịch vụ giá trị gia tăng khác cũng rất tuyệt vời, nhưng các giải pháp này phải song hành cùng với một công ty được xây dựng trên một cơ sở hạ tầng bảo mật vững chắc. Với hàng triệu khách hàng trên toàn thế giới đang ngày càng tin tưởng và chuyển sang Payoneer để quản lý các thanh toán liên biên giới cũng như giúp phát triển công việc kinh doanh của họ, ưu tiên số một của chúng tôi là đảm bảo an toàn cho tài khoản của bạn.
Công nghệ, hoạt động và kinh nghiệm của Payoneer được chứng minh là đã đóng vai trò tối quan trọng trong việc ngăn chặn tất cả các loại tấn công mạng nhắm vào người dùng của chúng tôi. Điều này đã được thể hiện rõ ràng qua cách tiếp cận bảo mật nhiều lớp của chúng tôi trong việc giảm thiểu tình trạng chiếm đoạt tài khoản (Account takeover-ATO), một trong những nền móng chủ đạo cho chiến lược an ninh mạng của chúng tôi.
Nhằm cho bạn biết rõ hơn về lý do tại sao rất nhiều người dùng tin tưởng vào Payoneer, trong bài viết này, chúng tôi sẽ trình bày cho bạn thấy một sự kết hợp của các công cụ bảo mật và khả năng quản trị rủi ro của chúng tôi giúp bảo vệ bạn khỏi các cuộc tấn công chiếm đoạt tài khoản như thế nào.
Nhưng trước hết, hãy cùng tìm hiểu nhanh về ATO và hậu quả tiềm tàng của nó.
ATO liên quan đến một kẻ tấn công đánh cắp thông tin đăng nhập của người dùng để xâm nhập bất hợp pháp vào tài khoản của họ, nơi mà chúng có thể truy cập mọi thông tin cá nhân của người dùng. Có một số phương thức phổ biến thường được sử dụng để đột nhập vào một tài khoản, bao gồm:
Trên đây là một ví dụ về email phishing. Hãy lưu ý rằng vị trí của đường link URL trên không phải là một tên miền của Payoneer.
Đối với người dùng, có một vài bước dễ dàng mà bạn có thể thực hiện để ngăn chặn các hành vi chiếm đoạt tài khoản. Đầu tiên, hãy bảo đảm rằng bạn chỉ sử dụng một mật khẩu riêng và duy nhất mỗi khi đăng ký một dịch vụ trực tuyến mới. Làm như vậy có nghĩa là ngay cả khi nếu một trong những tài khoản của bạn không may bị chiếm đoạt, kẻ tấn công cũng sẽ không có khả năng sử dụng cách thức credential stuffing để đột nhập vào các nền tảng khác của bạn. Thêm nữa, điều quan trọng là phải theo dõi các email và tin nhắn vốn có thể là một phần của một cuộc tấn công social engineering và tuyệt đối không bao giờ cung cấp mật khẩu của bạn cho bất kỳ ai. Xin vui lòng lưu ý rằng Payoneer sẽ KHÔNG BAO GIỜ yêu cầu tên đăng nhập hoặc mật khẩu của bạn qua email, điện thoại hoặc chat.
Dưới đây là một số bước mà Payoneer triển khai để cả phát hiện và giảm thiểu các cuộc tấn công chiếm đoạt tài khoản.
Để ngăn chặn những hành vi tấn công chiếm đoạt tài khoản, chúng tôi thực thi một số phương pháp chủ động để ngăn chặn những con bot và tin tặc tiếp cận với tài khoản của người dùng. Chúng bao gồm:
Một ví dụ về yêu cầu nhập CAPTCHA.
Mặc dù các bước ở trên có thể chặn hiệu quả nhiều cuộc tấn công chiếm đoạt tài khoản, chúng tôi biết rằng những biện pháp này không bao giờ là đủ. Những tên tin tặc liên tục phát triển các công cụ và phương pháp mới để đột nhập vào tài khoản của người dùng, có nghĩa là nó không đủ để ngăn chặn các cuộc tấn công. Bên cạnh các hệ thống phòng ngừa được nêu ở trên, chúng tôi cũng đã triển khai nhiều công cụ và khả năng tinh vi, phức tạp khác nhằm phát hiện các cuộc tấn công chiếm đoạt tài khoản:
RSA adaptive authentication là một hệ thống xác thực người dùng trực giác dùng để đánh giá các yếu tố rủi ro chẳng hạn như: quốc gia, địa chỉ IP và khối lượng giao dịch để gắn cờ bất kỳ sự bất thường nào của tài khoản. Sau khi xác định được hoạt động khả nghi có thể là dấu hiệu của một cuộc tấn công chiếm đoạt tài khoản, hệ thống sẽ đưa ra các bước nhận dạng bổ sung, ví dụ như câu hỏi bảo mật, để bảo đảm yếu tố bảo mật tài khoản.
Hệ thống phát hiện mối đe dọa của chúng tôi sử dụng công nghệ máy móc thống kê phân tích mới nhất. Điều này cho phép chúng tôi thích nghi và ghi chép lại các mối đe dọa mới trong thời gian thực, giúp chúng tôi luôn có sự chuẩn bị và đi trước những tên tin tặc vài bước và đảm bảo bảo vệ toàn bộ dữ liệu cho người dùng của chúng tôi.
Bộ máy giám sát dựa trên quy tắc được thiết lập từ trước của chúng tôi là một công cụ backend sử dụng những quy tắc được cài đặt sẵn để xác định những hành vi đáng ngờ trong tài khoản người dùng. Khi một quy tắc được kích hoạt, những nhà phân tích pháp lý của chúng tôi có thể điều tra tình hình để xác định xem liệu một tài khoản đã bị chiếm quyền điều khiển hay chưa.
Ví dụ, một giao dịch chuyển khoản lớn bất thường, đặc biệt là vào một tài khoản Payoneer mới, có nhiều khả năng sẽ kích hoạt bộ máy quy tắc của chúng tôi và dẫn đến một cuộc điều tra. Nếu sau đó nó được xác định là một cuộc tấn công chiếm đoạt tài khoản, thì mọi hoạt động tài khoản sẽ bị treo ngay lập tức và chủ tài khoản sẽ được thông báo tức thì.
Chúng tôi sử dụng mô hình kiểm soát rủi ro và chương trình định hình hành vi tinh vi và phức tạp để phân tích các giao dịch người dùng khả nghi. Thông tin chúng tôi nhận được từ các kết quả phân tích này sau đó được sử dụng để dự đoán hành vi nguy hại tương lai vốn có thể báo hiệu một cuộc tấn công chiếm quyền kiểm soát tài khoản.
Ví dụ, các mô hình kiểm soát rủi ro của chúng tôi xem xét dữ liệu liên quan đến hành vi đáng ngờ, chẳng hạn như số lượng các thanh toán liên biên giới bất thường tới một quốc gia cụ thể hoặc một khối lượng giao dịch lớn từ một thiết bị mới, và sử dụng nó để gắn cờ các tài khoản đang biểu lộ hành vi giống nhau.
Chúng tôi biết rằng cho dù công nghệ chúng tôi sử dụng có hiện đại và tiên tiến đến đâu, nó vẫn không thể thay thế cho trực giác của con người. Chính vì vậy chúng tôi vẫn thường xuyên duy trì một đường dây liên lạc mở với những người sử dụng của mình—điều đó cho phép chúng tôi nhanh chóng phát hiện hoạt động tài khoản khả nghi, để từ đó chúng tôi có thể kịp thời gắn cờ tài khoản và áp dụng các bước được nêu ở trên.
Hành vi tấn công chiếm đoạt tài khoản là một mối đe dọa cố hữu vốn đòi hỏi phải có các bước giảm thiểu chủ động và sáng tạo từ cả người dùng và nhà cung cấp dịch vụ. Mặc dù chúng tôi không thể giới thiệu toàn bộ những biện pháp bảo mật của mình ở đây, chúng tôi có thể nói rằng các phương pháp giảm thiểu của chúng tôi chủ động ngăn chặn những tác nhân và con bot độc hại truy cập các dữ liệu nhạy cảm, đồng thời bảo đảm rằng chúng tôi có khả năng xử lý ngay lập tức bất kỳ hoạt động đáng ngờ nào để bảo vệ tài khoản của bạn.
Bởi vì lý do này, và nhiều lý do khác, một số thương hiệu số hàng đầu thế giới, bao gồm Amazon, Airbnb và Google, cùng với đó là hàng triệu doanh nghiệp vừa và nhỏ trên phạm vi toàn cầu đều đã và đang đặt niềm tin vào Payoneer vì họ biết rằng vấn đề bảo mật tài khoản luôn là ưu tiên hàng đầu trong tâm trí chúng tôi. Nếu có thêm bất kỳ thắc mắc nào về vấn đề bảo mật tài khoản, xin vui lòng liên hệ với customer success manager của bạn hoặc đội ngũ hỗ trợ khách hàng của chúng tôi và chúng tôi sẽ luôn ở bên bạn để giúp đỡ.
* Hiện tại, bảo mật xác minh hai bước đã có hiệu lực ở Châu Âu và một số quốc gia khác, và dự kiến sẽ được triển khai đầy đủ trong những tháng sắp tới.