生体認証を設定する方法は2つしかない

オンライン決済および銀行カード決済における安全性とセキュリティのソリューションの実装に関する国立銀行の決定 2345/QD-NHNN によると、銀行は次の 2 つの形式で顧客による生体認証の収集と登録をサポートしています。

まず、チップが埋め込まれた CCCD と NFC をサポートする携帯電話をすでにお持ちのお客様は、デジタルバンキングアプリケーション(銀行の公式アプリ)の「生体認証の更新」機能から、お客様自身がプロアクティブに実行できます。

2 つ目は、チップが埋め込まれた ID カードを持っていない、またはデバイスをオンライン バンキング アプリケーションで使用できない顧客の場合、顧客は銀行の取引ポイントに直接行ってサポートを受けることができることです。

銀行は、顧客に上記の2つのフォームのいずれかを使用して生体認証を登録することを推奨しています。これら2つのフォーム以外の指示は偽物です。銀行は、生体認証の登録において、アクセス情報、パスワード、OTP認証コードなどに関する情報の提供を顧客に要求しません。

しかし、銀行が生体認証情報を収集しているという事実を利用して、詐欺師は銀行員になりすまし、ユーザーのためにこの操作を更新します。

Agribank は顧客の生体認証登録をサポートしています.jpg
顧客はアグリバンクの取引ポイントで生体認証を登録します。写真:アグリバンク

犯罪者がよく使う詐欺の手口には次のようなものがあります。

電話、テキストメッセージ、ソーシャル ネットワーク (Zalo、Facebook など) 経由で友達になることによって顧客に連絡し、生体認証情報の収集をガイドします。

「銀行員」「カスタマーサポート」など紛らわしいニックネームを作成し、銀行の公式ソーシャルネットワーキングサイトの投稿で顧客のコメントに反応して、プライベートな連絡先(受信トレイ)を尋ね、顧客を誘い込み、詐欺行為を行って情報を盗み出します。

サポートを受けるために、顧客は個人情報、アカウント情報、身分証明書の画像、顔画像などの提供を求められます。さらに、音声やジェスチャーの収集のためにビデオ通話を要求されることもあります。

顧客は、奇妙なリンクにアクセスして、生体認証収集サポートアプリケーションを携帯電話にダウンロードしてインストールするように勧められます。

対象者は顧客情報を入手した後、顧客の銀行口座に現金を振り込みます。

銀行は、顧客に対し、電話、SMSメッセージ、メール、チャットソフトウェア(Zalo、Viber、Facebookメッセンジャーなど)などのチャネルを通じて個人情報を絶対に提供しないよう警告しています。同時に、リンクをクリックしたり、アカウントのセキュリティ情報、デジタルバンキングサービス(ログイン名、パスワード、OTPコード)、カードサービス(カード番号、OTPコード)、アカウント情報、その他の銀行サービスのセキュリティ情報、個人情報を提供したりしないでください。

銀行や銀行職員になりすまして連絡を取ったり、サポートを依頼したり、情報を要求したりして詐欺行為や詐取を行い、口座の金銭を横領しようとする詐欺師に利用されることを避けるため、お客様はソーシャル ネットワーク上で個人情報、銀行サービス情報、銀行取引情報などを共有しないでください。

変なアプリはやめよう

最初のアプローチが何であれ、詐欺師の最も一般的な手口は、依然として、悪意のあるコードを含む偽のアプリケーション(偽アプリ)をインストールするように被害者に指示し、情報を盗んで顧客の口座から金銭を横領することです。

偽の銀行アプリの他に、偽の公共サービスアプリ、偽の VNeID アプリ、偽の政府アプリ、偽の税務署アプリ、偽の公安省アプリなど、いくつかの偽のアプリが記録されています。

対象者は、システム上の識別情報が同期されていない、電子戸籍簿が期限切れである、VNeIDレベル2識別がサポートされている、アプリをダウンロードして事前に待ち番号を取得すれば、地区警察に行って手続きをするときに待つ必要がない、地区警察に行って運転免許証の情報を更新するなど、いくつかの一般的なシナリオでユーザーに連絡して誘惑します...

偽の公共サービスアプリ.jpg
ベトコムバンクが顧客に警告した偽の公共サービスアプリの画像。

対象者はリンクを送信し、アクセスしてマルウェアを含むアプリケーションを携帯電話にダウンロード・インストールするよう促します。記録されている不正なリンクには、dichvucong.dulieuquocgia.co、dichvucong.bvgov.com、dichvucong.govn.com、dichvucong.bcagov.comなどがあります。

偽アプリは、顧客に不明なソースからのアプリのインストールを要求し、高レベルのデバイスアクセス権限(メッセージの読み取り、電話のリモート制御など)を付与します。

当局によると、偽アプリの兆候としてよくあるのは、アプリがアプリストア(App Store、CH Play)からではなく、詐欺師が指示したリンクからインストールされた場合、デバイス画面で操作できない(画面が黒くなる、またはフリーズする)、アプリをインストールした後にデバイスの動作が遅くなり、熱くなり、バッテリーがすぐに消耗する、使用していないときでもアプリが自動的にオンになるなどです。

そのため、当局は、「当局」からの電話やアプリケーションのインストールの要請を受けた場合には特に警戒するよう推奨しています。

App Store (iOS) および CH Play (Android) アプリ マーケットから信頼できる開発者が提供するアプリケーションのみをインストールします。

Zalo、SMS、Viber など、メッセージング ソフトウェア経由で送信されたリンク、または他者が提供したリンク経由でアプリケーションをインストールしないでください。

携帯電話に異常な兆候(携帯電話の動作が遅い、画面が黒い、アプリケーションがアクセスを要求しているという通知がある、携帯電話に奇妙なアプリが表示される、携帯電話が熱くなる、バッテリーがすぐに消耗する)が見られた場合は、直ちに携帯電話を工場出荷時設定にリセットしてください。

銀行アプリを最新バージョンに更新し、生体認証を登録してセキュリティを強化します。

銀行は、生体認証の導入を支援すると偽って詐欺を働く手口について警告しています。多くの顧客が生体認証の導入に苦労している状況につけ込み、詐欺師は銀行員になりすまして生体認証の導入を支援し、利用者の情報を盗み出して資産を横領する目的で利用しています。