Chữ ký điện tử và những thủ đoạn gian lận phổ biến

Trong thế giới số, chữ ký điện tử (digital signature) là công cụ xác thực danh tính và tính toàn vẹn dữ liệu dựa trên nền tảng mật mã học. Nó cho phép một văn bản, hợp đồng hay giao dịch trực tuyến được “đóng dấu” đảm bảo rằng nội dung chưa bị thay đổi và người ký thực sự là chủ thể hợp pháp. Ở nhiều quốc gia, luật giao dịch điện tử quy định chữ ký số có giá trị pháp lý tương đương chữ ký tay. Tại Việt Nam, theo Luật Giao dịch điện tử 2023, chữ ký số được coi là hình thức ký kết hợp lệ trong hợp đồng, giao dịch thương mại, thủ tục thuế, hải quan, ngân hàng và các dịch vụ chính phủ điện tử.

Sự cố dẫn tới sự sụp đổ hoàn toàn của DigiNotar và khiến chính phủ Hà Lan phải khẩn cấp vô hiệu hóa toàn bộ chứng thư.

Hiện nay, vai trò của chữ ký điện tử ngày càng quan trọng: từ kê khai thuế online, khai báo hải quan, mở tài khoản ngân hàng, ký kết hợp đồng quốc tế đến bỏ phiếu điện tử hay truy cập dịch vụ công. Tuy nhiên, đằng sau sự tiện lợi đó là nguy cơ bị đánh cắp, giả mạo hoặc lợi dụng nếu hạ tầng kỹ thuật và quản trị không chặt chẽ. Lịch sử an ninh mạng từng ghi nhận nhiều sự cố nghiêm trọng liên quan đến gian lận hoặc lỗ hổng chữ ký số, từ cơ quan nhà nước, nhà cung cấp chứng thư (CA) cho đến tập đoàn công nghệ. Chẳng hạn, năm 2011, nhà cung cấp chứng thư số DigiNotar của Hà Lan bị hacker xâm nhập, phát hành chứng thư giả mạo cho Google, Yahoo, Skype… Người dùng bị giám sát toàn diện. Sự cố dẫn tới sự sụp đổ hoàn toàn của DigiNotar và khiến chính phủ Hà Lan phải khẩn cấp vô hiệu hóa toàn bộ chứng thư. Năm 2017, Estonia vấp phải vụ lỗ hổng ROCA trong chip Infineon ảnh hưởng đến hơn 750.000 thẻ e-ID, đe dọa khả năng ký số của công dân. Khi đó, Estonia được coi là “quốc gia số” tiên phong, đã buộc phải tạm vô hiệu hóa và cập nhật hệ thống, đối mặt với khủng hoảng niềm tin lớn nhất kể từ khi triển khai e-Gov. Và Tây Ban Nha cũng vậy, vì lỗi ROCA, 17 triệu thẻ DNIe phải vô hiệu tạm thời, người dân không thể ký số để truy cập dịch vụ công, gây gián đoạn hàng loạt thủ tục hành chính.

Quang cảnh bên ngoài tòa nhà của công ty bảo mật Internet DigiNotar ở Beverwijk, Hà Lan.

Ở châu Mỹ, từ năm 2022-2025, hàng trăm người Mexico đã bị lừa mất thông tin e.firma (chữ ký số dùng trong hệ thống thuế) qua email giả mạo. Kẻ gian đã chiếm đoạt khoản hoàn thuế và mở công ty ma khiến Cơ quan thuế Mexico phải phát cảnh báo diện rộng. Còn tại Brazil, sau nhiều vụ giả mạo chứng thư số, chính phủ đã áp dụng cơ chế cảnh báo tự động: mỗi khi có chứng thư mới được cấp cho công dân, hệ thống sẽ gửi thông báo SMS/email để xác nhận. Mỹ cũng từng gặp sự cố tương tự khi tội phạm đánh cắp dữ liệu email khách hàng và phát tán mã độc giả dạng “tài liệu đã ký”. Nhiều người mở file đính kèm vì tin tưởng Tập đoàn DocuSign, dẫn đến lây nhiễm malware trên diện rộng...

Bài học và giải pháp bảo mật toàn diện

Từ các vụ việc trên, có thể rút ra bài học chung là không nên coi chữ ký điện tử là tuyệt đối an toàn. Pháp lý công nhận chữ ký số, nhưng công nghệ luôn tiềm ẩn rủi ro. Các quốc gia cần bổ sung “vùng đệm” như xác thực đa lớp (MFA), giám sát bất thường, hạn mức giao dịch để giảm thiểu thiệt hại khi có gian lận. Việc giám sát chặt chẽ nhà cung cấp chứng thư số cũng cần phải được quan tâm hơn bởi CA là điểm yếu tập trung và ất kỳ sai sót nào cũng ảnh hưởng hệ thống toàn cầu. Bài học DigiNotar cho thấy cần có kiểm toán định kỳ, giám sát thời gian thực, quy trình thu hồi nhanh khi phát hiện bất thường. Thêm vào đó, chứng thư số gắn với danh tính. Nếu thông tin dân cư bị lộ, tội phạm dễ dàng xin cấp chứng thư giả. Các quốc gia cần liên thông cơ sở dữ liệu dân cư với cơ sở dữ liệu chứng thư, gắn cảnh báo khi phát hiện trùng lặp hoặc danh tính đáng ngờ. Khi phát hiện sự cố, cần có phản ứng nhanh để thu hồi chứng thư chỉ trong vài giờ, thay vì hàng tuần. Trong vấn đề này, Estonia đã chứng minh: tốc độ phản ứng quyết định sự sống còn của niềm tin số.

Năm 2017, Estonia vấp phải vụ lỗ hổng ROCA trong chip Infineon ảnh hưởng đến hơn 750.000 thẻ e-ID, đe dọa khả năng ký số của công dân.

Bên cạnh đó, các nước nên phối hợp theo chuẩn EU eIDAS, danh sách tin cậy EUTL, UNCITRAL hay OECD để chia sẻ cảnh báo rủi ro và xử lý sự cố xuyên biên giới và nâng cao truyền thông, giáo dục người dùng. Nhiều nạn nhân của các trò giả mạo lừa đảo ở Mexico hay Mỹ, đều vì quá tin vào chữ ký số. Chính phủ cần cung cấp cổng xác thực công khai, gửi cảnh báo phishing định kỳ, đồng thời đào tạo công chức và doanh nghiệp cách nhận diện rủi ro. Ngoài ra, cũng cần phải chú ý hơn về các vấn đề kỹ thuật như: Cấp chứng thư chỉ sau khi xác thực danh tính đa chiều (KYC cứng, kiểm chứng dân cư); Lưu khóa bí mật trong thiết bị phần cứng bảo mật (HSM, token), nâng cao Multi-Factor Authentication (MFA); CA phải chịu kiểm toán độc lập, trong khi vẫn bảo có quy trình giám sát và khả năng thu hồi chứng thư nhanh chóng (Estonia làm mẫu, thay đổi ID card khi có lỗ hổng).

Sự an toàn trên không gian mạng phụ thuộc vào từng chi tiết nhỏ nhất.

Rõ ràng, chữ ký điện tử là trụ cột của chuyển đổi số, nhưng cũng là “mảnh đất màu mỡ” cho gian lận nếu thiếu giám sát. Những sự cố ở Thổ Nhĩ Kỳ, Estonia hay Mexico… đều là lời nhắc nhở rằng niềm tin số được xây dựng khó khăn, nhưng có thể sụp đổ chỉ trong một cú nhấp chuột. Muốn tiến vào kỷ nguyên số một cách bền vững, các quốc gia phải không ngừng củng cố hạ tầng kỹ thuật, siết chặt quản lý, tăng cường hợp tác quốc tế và nâng cao nhận thức cộng đồng. Giữ gìn niềm tin số không chỉ là chuyện của kỹ sư bảo mật hay cơ quan pháp lý, mà là trách nhiệm chung của cả xã hội.

Huyền Chi