“Đau đầu” vì tin nhắn giả mạo brandname
Càng về gần cuối năm tình trạng lừa đảo qua mạng lại bùng phát. Ngân hàng Vietcombank cho biết thời điểm cận Tết luôn là thời điểm các hoạt động gian lận, lừa đảo tài chính diễn ra phức tạp với các thủ đoạn ngày càng tinh vi. Đặc biệt, thời gian gần đây, xuất hiện hình thức mạo danh tin nhắn của ngân hàng để lừa khách hàng bấm vào đường link trong tin nhắn, từ đó đánh cắp thông tin dịch vụ ngân hàng điện tử và chiếm đoạt tiền trong tài khoản của khách hàng.
“Đây là thủ đoạn không mới, đã được ngân hàng và các cơ quan báo chí liên tục cảnh báo trong nhiều năm qua. Tuy nhiên, các đối tượng lừa đảo thường xuyên thay đổi nội dung tin nhắn SMS giả mạo để thực hiện hành vi lừa đảo. Vietcombank vẫn đang tích cực phối hợp với các cơ quan chức năng để ngăn chặn các đường link giả mạo, hạn chế tối đa các rủi ro, thiệt hại về tài chính cho khách hàng”, Vietcombank cho biết.
Cũng là đích nhắm của các đối tượng tội phạm mạng, một số ngân hàng khác cũng liên tục cảnh báo tới khách hàng về việc mao danh tin nhắn ngân hàng lừa đảo. Đại diện VPB cho biết lợi dụng kẽ hở của đơn vị cung cấp dịch vụ tin nhắn viễn thông (SMS), hiện đang có hiện tượng kẻ gian giả mạo thương hiệu VPBank và các ngân hàng khác (SHB, ACB, TPB...) để gửi đi các tin nhắn có nội dung phát hiện khách hàng sử dụng dịch vụ tại nước ngoài hoặc dịch vụ toàn cầu và yêu cầu click vào đường link để hủy.
Nội dung thường gặp là: "Tài khoản của Quý khách vừa mở dịch vụ tài chính toàn cầu với phí dịch vụ hằng tháng là xxx VND sẽ bị trừ trong xxx giờ. Nếu không phải bạn mở dịch vụ, vui lòng nhấn vào link có định dạng ví dụ như vpbank.abc-tp.abclmn để hủy". Phía VPBank khẳng định những tin nhắn có nội dung thông báo về những sản phẩm, dịch vụ mà khách hàng không đăng ký đều là tin nhắn giả mạo, nhằm mục đích lừa khách hàng bấm vào link đính kèm tin nhắn và chiếm đoạt tiền trong tài khoản của khách hàng.
Tương tự, Ngân hàng Techcombank đã phát thông tin cảnh báo về tin nhắn mạo danh gửi chèn brandname của ngân hàng. Techcombank khuyến nghị đây là tin nhắn giả mạo và kẻ gian sẽ chiếm dụng tài khoản, nếu khách hàng cả tin truy cập vào đường link lừa đảo và nhập OTP, password. “Ngân hàng tuyệt đối không gửi tin nhắn kèm đường link yêu cầu nhập các thông tin cá nhân bảo mật như password, OTP. Rất mong Quý khách hàng nâng cao cảnh giác, không truy cập vào các đường link lạ để quan trị rủi ro và bảo vệ tài sản của chính mình” – thông tin từ Techcombank cho hay.
Anh Nguyễn Hoàng - một khách hàng của Vietcombank cho biết ngày 30/11, anh nhận được tin nhắn thông báo tài khoản ngân hàng của anh đang đăng nhập tại một thiết bị khác, yêu cầu anh vào xác nhận để bảo vệ tài khoản.
“Lúc đó, tôi cũng hơi hoảng, nhưng rồi bình tĩnh mở tin nhắn cảnh báo trên app của ngân hàng, tôi mới nhận ra mình đang là đối tượng nhắm đến của bọn lừa đảo nên đã không mắc bẫy”, anh Hoàng nói. Tuy nhiên, không phải ai cũng may mắn như anh Hoàng, chị H, khách hàng của một ngân hàng khác cũng bị lừa với thủ đoạn tương tự; sau khi chị nhập thông tin và mã OTP như yêu cầu thì lập tức nhận tin nhắn từ ngân hàng thông báo tài khoản đã bị trừ hơn 38 triệu đồng.
Nhận diện 4 hình thức lừa đảo
Báo cáo tổng kết từ chương trình nghiên cứu, phân tích về tình hình an ninh mạng 2022 và dự báo về 2023, được tiến hành bởi Công ty Công nghệ An ninh mạng Quốc Gia Việt Nam NCS cho thấy năm 2022 chứng kiến sự bùng phát của các hình thức lừa đảo, chiếm đoạt tiền của người dùng. Có 4 hình thức phổ biến nhất mà các đối tượng lừa đảo đã sử dụng để tấn công người dùng tại Việt Nam. Thứ nhất là gọi điện mạo danh các cơ quan, tổ chức để uy hiếp, đe dọa người dùng về một vấn đề nghiêm trọng như đòi nợ, vi phạm giao thông, vi phạm hình sự.
Kẻ lừa đảo sẽ đọc các thông tin cá nhân như họ tên, địa chỉ nhà, số CMND/CCCD… khiến cho nạn nhân dễ bị mắc lừa. Chúng liên tiếp đưa ra các yêu cầu như chuyển tiền, nộp phạt, thậm chí bắt nạn nhân cung cấp cả mã OTP để chiếm đoạt cả tài khoản ngân hàng.
Hình thức thứ hai cũng là gọi điện, nhưng giả mạo nhà mạng để hướng dẫn kích hoạt esim hoặc mở khoá sim, thực chất qua đó lừa để chiếm mã OTP và chiếm được sim nạn nhân. Khi có sim trong tay, kẻ xấu tiếp tục chiếm tài khoản ngân hàng và ăn trộm tiền của nạn nhân. Hình thức thứ ba là dùng các thiết bị giả trạm phát sóng BTS, kích thước nhỏ để phát tán tin nhắn giả mạo brandname. Các đối tượng đem thiết bị lên ôtô hoặc xe máy để di chuyển đến những nơi đông người, sau đó phát tán tin nhắn tới các thuê bao lọt vào vùng phủ sóng của trạm BTS giả.
Mỗi thiết bị như vậy có thể phát tán tới 70.000 tin nhắn/ngày. Nguy hiểm ở chỗ, tin nhắn giả brandname không khác gì tin nhắn thật, khiến cho điện thoại tự động xếp chung với các tin nhắn thật, người dùng rất khó phân biệt. Nạn nhân khi bị mắc lừa, làm theo các kịch bản được chuẩn bị sẵn, từ đó bị chiếm đoạt tiền.
Hiện nay, đa số các mẫu điện thoại thông minh hiện nay đều sẽ gộp chung các tin nhắn có tên giống nhau vào cùng một mục, chính vì điều này, kẻ gian đã mua dịch vụ SMS Brandname trùng với tên của ngân hàng nhằm giả mạo tin nhắn ngân hàng, đánh cắp thông tin và chiếm đoạt tiền của người dùng. Rất nhiều người đã tin tưởng và làm theo tin nhắn dẫn dụ, dẫn đến bị chiếm quyền truy cập tài khoản ngân hàng và bị chiếm đoạt toàn bộ số tiền trong tài khoản, ước tính thiệt hại đến hàng trăm tỷ đồng, gây hoang mang, bức xúc trong dư luận xã hội. Hình thức thứ tư là kẻ xấu sẽ hack tài khoản email, tài khoản mạng xã hội của người dùng. Chúng sử dụng tài khoản hack được, nhập vai nạn nhân để chat với bạn bè, người thân của họ, sau đó vay tiền hoặc nhờ nạp thẻ điện thoại.
Để tránh bị lừa đảo, NCS khuyến nghị người dùng cần nâng cao cảnh giác, áp dụng triệt để nguyên tắc: “Không tin tưởng, luôn xác minh lại”. Mỗi khi nhận được 1 tin nhắn hay cuộc gọi thì không vội tin ngay. Nên xác minh lại trực tiếp với các thông tin liên lạc công khai của các tổ chức có liên quan.
Tháng 7/2022, dữ liệu của 30 triệu hồ sơ người dùng được cho là thu thập từ các website về giáo dục, bao gồm thông tin giáo viên và học sinh ở Việt Nam bị rao bán với giá chỉ 3.500USD. Gần đây nhất, cuối tháng 11/2022 Công an Quảng Bình vừa triệt phá đường dây tội phạm thu thập trái phép hơn 17 triệu thông tin dữ liệu cá nhân để bán nhằm thu lợi bất chính. Hậu quả trước mắt của tình trạng lộ lọt dữ liệu là các đối tượng xấu sẽ lợi dụng để dựng lên kịch bản lừa đảo, đe doạ, khống chế, chiếm đoạt tiền người dùng. Xa hơn, nếu tiếp tục không được kiểm soát, có thể bị ảnh hưởng đến nền kinh tế số đang trên đà phát triển.