Từ vụ nữ chủ tịch huyện bị lừa 100 tỷ đồng: Chuyên gia tội phạm chỉ ra lỗ hổng từ tin nhắn điện thoại
Thủ đoạn lừa đảo thông qua tin nhắn mạo danh ngân hàng lợi dụng đặc điểm tâm lý của khách hàng là luôn tin tưởng vào nội dung các tin nhắn SMS được gửi đến dưới tên ngân hàng mình mở tài khoản.
Liên quan đến trình báo của nữ Chủ tịch UBND huyện Nhơn Trạch, Đồng Nai bị lừa mở tài khoản rồi mất 100 tỷ đồng, cơ quan Cảnh sát điều tra, Công an tỉnh Đồng Nai đang vào cuộc xác minh, điều tra.
Cụ thể, một số đối tượng yêu cầu bà Nguyễn Thị Giang Hương - Chủ tịch UBND huyện Nhơn Trạch mở tài khoản để huy động người thân nộp tiền.
Sau đó, nhóm đối tượng này dùng thủ đoạn chiếm đoạt từ tài khoản của bà Hương mỗi lần vài chục tỷ đồng, tổng cộng khoảng 100 tỷ đồng.
Sự việc cho thấy, tội phạm sử dụng công nghệ cao liên quan đến lĩnh vực ngân hàng không phải là mới, thậm chí đang tiếp tục gia tăng và diễn biến phức tạp, có xu hướng thay đổi về phương thức, thủ đoạn.
Đó là các hành vi vi phạm pháp luật trong hoạt động thanh toán thẻ, tấn công khai thác lỗ hổng bảo mật, sử dụng không gian mạng lừa đảo chiếm đoạt tài sản và mua bán tài khoản ngân hàng...
Khó có thể phát hiện ra đâu là thật, đâu là giả cho đến khi mất tiền
Trao đổi với PV, Tiến sĩ, luật sư Đặng Văn Cường, Trưởng Văn phòng luật sư Chính Pháp, Đoàn Luật sư TP. Hà Nội đánh giá, tình hình tội phạm lừa đảo có sử dụng công nghệ cao đang gây nhức nhối trên không gian mạng và phát triển rộng khắp thế giới chứ không riêng gì Việt Nam.
Do đặc điểm của hoạt động trên không gian mạng là giao tiếp gián tiếp, việc mạo danh cơ quan tổ chức cá nhân khá dễ dàng. Các đối tượng lừa hoàn toàn có thể đang sinh sống ở nước ngoài, sử dụng người Việt Nam như một công cụ theo các kịch bản có sẵn để gọi điện, nhắn tin về nước phải thực hiện các phương thức thủ đoạn lừa đảo theo kịch bản mà các đối tượng đã làm việc.
Điều đáng chú ý là các đối tượng phạm tội có tổ chức phải có kịch bản rõ ràng, có phân công vai trò khiến cho nạn nhân rất khó có thể phát hiện ra đâu là thật, đâu là giả cho đến khi mất tiền.
"Để không trở thành nạn nhân của các đối tượng lừa đảo, mỗi người cần phải trang bị cho mình những kiến thức, hiểu biết nhất định khi tham gia các hoạt động trên không gian mạng. Đặc biệt, khi sử dụng dịch vụ của ngân hàng, người dùng cần phải hết sức thận trọng, xác định đúng cơ quan tổ chức cá nhân có thẩm quyền thì mới thực hiện các thao tác theo hướng dẫn.Đối với các hoạt động mua sắm, thương mại điện tử thì cần xác định rõ đối tác, đơn vị bán hàng thì mới chuyển khoản. Phải chuyển khoản đúng vào tài khoản có đăng ký của cơ quan, tổ chức, cá nhân mà mình giao dịch", luật sư Đặng Văn Cường hướng dẫn.
Theo luật sư Đặng Văn Cường, các đối tượng lừa đảo đánh cắp thông tin người dùng hoặc mua thông tin của người dùng trên mạng internet, làm căn cứ để thực hiện các hoạt động lừa đảo. Chính vì vậy, để tránh trở thành nạn nhân trong các vụ lừa đảo chiếm đoạt tài sản, việc quản lý thông tin cá nhân, bảo mật thông tin cá nhân là một trong những yếu tố có tính chất phòng ngừa tích cực.
Chuyên gia cảnh báo các lỗ hổng thường gặp
Trao đổi với chúng tôi, Thượng tá, Tiến sĩ tội phạm học Đào Trung Hiếu, cho hay, lừa đảo bằng thủ đoạn công nghệ cao không phải mới, chuyên gia tội phạm từng nhiều lần đưa ra cảnh báo.
Dưới đây là một số hình thức tội phạm lợi dụng để lừa đào, TS Đào Trung Hiếu từng cảnh báo trước đó.
Giả mạo SMS Brand name - độc chiêu "hack" tài khoản ngân hàng
Lo lắng, hoảng hốt là cảm giác chung của nhiều người khi nhận được tin nhắn từ tổng đài của ngân hàng mình đang sử dụng, thông báo việc tài khoản đang bị tấn công, cần truy cập ngay đường link bên dưới để tăng cường bảo mật cho tài khoản. Tuy nhiên, khi truy cập và làm theo hướng dẫn, toàn bộ số tiền trong tài khoản sẽ bị vét sạch. Thủ đoạn giả mạo tin nhắn thương hiệu của ngân hàng, đang hoành hành và danh sách nhân tiếp tục nối dài.
Khai thác thói quen
Khi mở tài khoản ngân hàng, người dân thường đăng ký số điện thoại di động cá nhân, để thiết lập chế độ nhận thông báo từ ngân hàng khi tài khoản có biến động về số dư.
Tin nhắn định danh thương hiệu (SMS Brand name) được các tổ chức ngân hàng đăng ký độc quyền tại các nhà mạng viễn thông và sử dụng làm dịch vụ gửi tin nhắn, gọi điện hàng loạt đến các khách hàng để chăm sóc, quảng bá hình ảnh, thông báo nội dung, chính sách mới… đến tệp khách hàng của mình.
Khi tin nhắn, cuộc gọi Brand name đã được đăng ký tại các nhà mạng, thì các tổ chức, cá nhân khác không được phép đăng ký trùng tên thương hiệu.
Bởi vậy mà những tin nhắn định danh thường là thông báo chính thức của cơ quan, tổ chức.
Lợi dụng đặc điểm tâm lý của khách hàng là luôn tin tưởng vào nội dung các tin nhắn định danh (SMS Brand name) của ngân hàng nơi mở tài khoản, mà thủ đoạn lừa đảo mạo danh tin nhắn ngân hàng đã xuất hiện.
Trong tin nhắn, chúng cài cắm các thông tin "giật gân", hấp dẫn như thông báo trúng thưởng, hay nâng cấp hệ thống nền tảng, nhất là báo tin tài khoản của khách hàng đang có dấu hiệu bị tấn công để tạo ra tâm lý sợ hãi…
Chẳng hạn, nhiều người đã nhận được tin nhắn có tên hiển thị giống ngân hàng đang sử dụng với nội dung: "Chúng tôi phát hiện tài khoản của bạn đang tiêu dùng ở nước ngoài. Nếu không phải bạn đang tiêu dùng vui lòng nhập vào đường link dưới đây để hủy thanh toán….".
Lý do đưa ra với người dùng rất đa dạng, nhưng dù với lý do gì thì cuối cùng vẫn là yêu cầu khách hàng truy cập vào đường link dẫn đến một website có giao diện y chang như trang web chính thức của ngân hàng, chỉ khác một hoặc một số ký tự trên đường dẫn mà phải tinh mắt và để ý lắm mới nhận ra.
Chẳng hạn, ngân hàng ngoại thương Việt Nam Vietcombank (địa chỉ trang chủ: https://portal.vietcombank.com.vn) từng đưa ra cảnh báo về các giả mạo có đường link với các ký tự bất thường như:
https://vietcombank.comvn-br.xyz;
https://vietcombank.comvn-br.top;
https://vietcombank.vn-vn.top;
http://vietcombank.vn-vc.top;
https://vietcombank.com.vn-vc.xyz;
https://vietcombank.com.vn-br.tob...
Khi làm theo yêu cầu và truy cập vào trang giả mạo, khách hàng sẽ khai thông tin đăng nhập, mật khẩu, mã OTP, để rồi bị chiếm đoạt quyền quản trị tài khoản ngân hàng ngay tức khắc. Sau đó, đối tượng sẽ thực hiện các giao dịch để chuyển đi toàn bộ số tiền đang có trong tài khoản của khách hàng.
Thời điểm bọn tội phạm gửi đi các tin nhắn bằng thủ đoạn Brand name chủ yếu vào lúc ngân hàng không hoạt động, như vào ban đêm, rạng sáng, ngày cuối tuần, hay dịp lễ, tết…
Lý do chúng chọn các thời điểm này để người dùng không thể xác thực thông tin. Chỉ cần làm theo hướng dẫn của chúng là tiền trong tài khoản ngân hàng của người dùng sẽ bị chiếm đoạt hoàn toàn.
Hàng ngày, mọi người vẫn nhận được các tin nhắn điện thoại từ ngân hàng và hoàn toàn tin tưởng, không chút mảy may nghi ngờ.
Các đối tượng gửi tin nhắn hàng loạt không nhằm vào nạn nhân cụ thể nào, mà trông chờ vào sự bất cẩn của người dùng để có cơ hội chiếm quyền kiểm soát tài khoản ngân hàng nhằm chiếm đoạt tiền.
Thời gian qua thủ đoạn tội phạm này đã xảy ra tại rất nhiều địa phương. Các đơn vị nghiệp vụ của Bộ Công an đã đưa ra cảnh báo người dân về thủ đoạn phạm tội nguy hiểm này.
Hiện nay các ngân hàng và nhà cung cấp dịch vụ chưa có giải pháp hữu hiệu nào để phòng chống thủ đoạn này, ngoài việc tăng cường cảnh báo xã hội.
Thủ thuật hiểm ác
Để thực hiện được thủ đoạn giả mạo SMS Brandname, cơ quan chức năng nhận định nhiều khả năng bọn tội phạm sử dụng thiết bị công nghệ hiện đại có tính năng như một trạm thu phát sóng di động (BTS), có thể can thiệp vào hệ thống tin nhắn liên lạc giữa ngân hàng và khách hàng, nhằm chèn vào đó những tin nhắn giả mạo dưới tên (thương hiệu) của ngân hàng bất kỳ nơi khách mở tài khoản.
Còn trên các diễn đàn công nghệ và under ground (diễn đàn ngầm của hacker), có nhiều bài viết của "dân" IT chia sẻ về các thủ đoạn giả mạo tin nhắn định danh thương hiệu.
Theo đó, có những khả năng sau khiến hệ thống SMS Brandname của ngân hàng bị xâm nhập:
Một là, hacker sẽ dùng thiết bị, thủ thuật đó để chen vào giữa quá trình gửi/nhận SMS, lấy được các gói tin nhắn từ nhà mạng gửi tới, chỉnh sửa nội dung rồi mới tiếp tục gửi đến khách hàng. Tuy nhiên, đây lại là cách ít khả thi nhất.
Hai là, hacker sẽ tấn công trực tiếp vào hệ thống của đơn vị cung cấp SMS OTP cho ngân hàng, sau đó kiểm soát và thay đổi nội dung gửi đến người dùng.
Ba là, hacker sử dụng giấy tờ giả, đăng ký một tổng đài khác cũng có tên giống với các ngân hàng ở Việt Nam, được đăng ký tại Việt Nam hoặc nước ngoài để gửi tin nhắn đến người dùng. Lúc này, tin nhắn lừa đảo sẽ được điện thoại gom chung vào một luồng tin nhắn dưới tên ngân hàng, khiến nạn nhân không thể phân biệt được đâu là thật, giả.
Một hacker đã đánh giá thủ thuật giả mạo tin nhắn định danh thương hiệu (brand name) ở hiện nay không quá phức tạp. Bởi vì có những nhà cung cấp tin nhắn xác thực 2FA có tính năng cho phép chỉnh sửa brand name, họ làm việc với nhà mạng viễn thông để có thể tùy chỉnh tên thương hiệu (custom brand name).
Khi đó, chỉ cần có tài khoản và số tiền rất nhỏ là đã có thể fake (làm giả) một brand name, nhắn đến điện thoại bằng cách sử dụng dịch vụ tin nhắn khuyến mãi (Promotion SMS) - một tính năng trong dịch vụ mạng xã hội (Social Networking Service).
Mặt khác, bản thân hệ điều hành cũng cho phép gom các brand name giống nhau vào cùng nhóm nên cực kì dễ giả mạo, trà trộn giữa tin nhắn SMS Brandname thật và tin giả mạo.
Như vậy, tin nhắn với nội dung giả mạo đã có thể gửi đến số điện thoại dưới tên của ngân hàng.
Bảo vệ ví tiền bằng cách nào
Để không bị dẫn dụ truy cập vào các đường link dẫn đến các trang web giả mạo ngân hàng nơi mở tài khoản, trước tiên người dùng cần nắm rõ địa chỉ trang web chính thức của ngân hàng đó.
Chỉ nên truy cập Internet Banking của ngân hàng theo đường dẫn chính thức hoặc sử dụng ứng dụng Mobile Banking của ngân hàng để thực hiện các giao dịch qua tài khoản.
Bên cạnh đó, người dùng cần hiểu rằng các ngân hàng không gửi tin nhắn SMS đi kèm các đường link đăng nhập dịch vụ Digibank. Do đó, các tin nhắn có đường link đăng nhập dịch vụ đều là giả mạo.
Hai là, trước khi truy cập và điền thông tin cần kiểm tra kỹ đường dẫn (link) của trang web. Nếu thấy có các ký tự bất thường trên đường link thì cần hiểu rằng đó là trang giả mạo, tuyệt đối không truy cập vào các đường link các trang không được xác thực, nên tham khảo thêm các phương thức bảo mật khi giao dịch online.
Đồng thời, có thể dùng các kênh khác liên lạc ngay với đường dây nóng của ngân hàng đang quản lý tài khoản của mình.
Ba là, người dân cần lưu ý không cung cấp thông tin về các dịch vụ ngân hàng số gồm tài khoản đăng nhập, mật khẩu, mã xác thực (OTP), hoặc số thẻ tín dụng, cho bất kỳ ai; không truy cập, hoặc đăng nhập thông tin tên truy cập, mật khẩu đăng nhập Internet Banking hay Mobile Banking, mã xác thực (OTP), số tài khoản…của mình vào trang web hay liên kết khác với trang web hoặc đường dẫn Internet Banking của ngân hàng; không truy cập vào các đường link, liên kết trong tin nhắn hay email lạ hoặc không rõ nguồn gốc; không thực hiện giao dịch theo yêu cầu của các đối tượng lạ khi nhận được điện thoại, tin nhắn có nội dung liên quan đến giao dịch ngân hàng (truy cập vào link lạ, chuyển tiền qua ngân hàng, nạp thẻ, rút tiền, …); không cài đặt các ứng dụng chưa được xác thực trên kho ứng dụng, đặc biệt là theo yêu cầu của đối tượng lạ; không cho mượn hoặc cho thuê thông tin cá nhân để mở thẻ, tài khoản ngân hàng.
Bốn là, trường hợp khách hàng trót bấm vào đường link và tiết lộ thông tin, khách hàng cần khóa dịch vụ Digibank khẩn cấp bằng tin nhắn với cú pháp do bộ phận chăm sóc khách hàng của ngân hàng đó cung cấp, hoặc đến các điểm giao dịch (trong giờ hành chính) để được hỗ trợ.
Năm là, khi xảy ra rủi ro mất tiền hoặc trong tình huống nghi ngờ bị lừa đảo, người dân cần chủ động khóa tài khoản, thay đổi mật khẩu đăng nhập Internet Banking, Mobile Banking, hoặc liên hệ ngay với ngân hàng hoặc đến điểm giao dịch gần nhất yêu cầu tạm khóa dịch vụ thẻ ngân hàng điện tử nếu đã xảy ra, đồng thời liên hệ, trình báo ngay với Công an địa phương khi phát hiện mất tiền trong tài khoản để kịp thời điều tra.