Nhận diện các hình thức lừa đảo trên không gian mạng

Lừa đảo bằng cuộc gọi video Deepfake

Thời gian gần đây, các ngân hàng cảnh báo về tình trạng các đối tượng lừa đảo sử dụng công nghệ giả mạo cuộc gọi video Deepfake tinh vi mà nếu không cảnh giác, rất có thể mọi người sẽ trở thành “nạn nhân” tiếp theo của chiêu trò lừa đảo này.

Theo đó, ngày 14/7, Ngân hàng Techcombank đã phát đi thông báo cảnh báo về hình thức lừa đảo này, đồng thời đưa ra cách phòng tránh và bảo vệ bản thân: luôn cảnh giác với yêu cầu từ cuộc gọi/SMS/email không xác thực, đặc biệt là các yêu cầu chuyển tiền, cài đặt/kích hoạt/nâng cấp dịch vụ.

Để kiểm tra tính xác thực của các yêu cầu, người dân nên liên hệ trực tiếp đến các kênh chính thức của công ty viễn thông, ngân hàng, cơ quan nhà nước. Techcombank cũng cho biết, các ngân hàng không bao giờ yêu cầu khách hàng cung cấp mã OTP/CVV, mã pin, số thẻ qua điện thoại, SMS hay bất cứ website/mạng xã hội nào. Vì thế, mọi người không nên cung cấp thông tin cá nhân cho bất kỳ ai qua hình thức trên.

Lừa đảo bằng email, điện thoại, tin nhắn

Theo Ngân hàng Standard Chartered, một email, cuộc điện thoại hay tin nhắn SMS từ người lạ tưởng chừng như vô hại, lại hoàn toàn có thể trở thành công cụ mà đối tượng lừa đảo sử dụng để bẫy nạn nhân. Phương thức lừa đảo bằng cách thu thập thông tin qua các hình thức trên được gọi là tấn công phi kỹ thuật.

Cụ thể, các đối tượng lừa đảo sẽ liên tục gửi những email có chứa các đường dẫn yêu cầu “Quý khách phải cung cấp hoặc đăng nhập bằng thông tin cá nhân khi truy cập”. Đối với các cuộc gọi mạo danh ngân hàng, tổng đài dịch vụ hoặc công ty giao hàng, các đối tượng sẽ yêu cầu người nhận điện thoại chia sẻ thông tin cá nhân. Trong khi đó, tin nhắn văn bản SMS được gửi từ số lạ, các đối tượng lừa đảo sẽ chèn các đường link dẫn đáng ngờ.

Mặc dù các ngân hàng đã liên tục gửi đi thông báo nhưng nhiều khách hàng vẫn bị lừa đảo mất tiền. Để hạn chế nguy cơ lừa đảo trực tuyến, các ngân hàng khuyến cáo: Không bao giờ phản hồi yêu cầu cung cấp mật khẩu hoặc mã PIN; luôn cảnh giác trước những địa chỉ email đáng ngờ bằng cách kiểm tra và phát hiện những ký tự sai khác với thông thường, ví dụ johndoe@wahoo.com thay vì johndoe@yahoo.com, đồng thời không nhấp vào các email hoặc website chứa các liên kết không rõ nguồn; không phản hồi các tin nhắn văn bản SMS vì chúng có thể ẩn chứa các liên kết đáng ngờ hoặc yêu cầu mọi người phải cung cấp thông tin cá nhân.

Lừa đảo chiếm đoạt tiền qua QR code

Hiện nay, các đối tượng lừa đảo luôn cập nhật, thay đổi cách thức để tiếp cận, chiếm đoạt tiền từ nhiều khách hàng nhất có thể. Theo đó, thay vì sử dụng hình thức gửi đường link website giả mạo dễ bị nhận diện thì gần đây, các đối tượng lừa đảo gửi mã QR code.

Theo cảnh báo của Ngân hàng SMB, nếu scan mã QR code của đối tượng lừa đảo, khách hàng sẽ được dẫn đến các đường link giả mạo nhằm chiếm quyền sử dụng tài khoản ngân hàng điện tử hoặc bị thu thập các thông tin liên quan đến thẻ tín dụng.

Phương thức lừa đảo của kẻ gian thường là mạo danh nhân viên ngân hàng gọi điện để tư vấn dịch vụ rút tiền mặt từ thẻ tín dụng/hỗ trợ nâng hạn mức thẻ tín dụng hoặc các dịch vụ tài chính khác.

Nếu khách hàng đồng ý, đối tượng sẽ yêu cầu khách hàng quét mã QR Code. Sau khi khách hàng quét mã QR Code sẽ được chuyển đến đường link website giả mạo, yêu cầu nhập các thông tin như: Họ và tên, chụp hình hai mặt CMT/CCCD, chụp hình hai mặt thẻ tín dụng, mã CVV, ngày hết hạn thẻ và OTP gửi về số điện thoại hoặc thông tin đăng nhập tài khoản ngân hàng điện tử.

Để giao dịch ngân hàng an toàn, các ngân hàng khuyến cáo khách hàng nên ưu tiên sử dụng ứng dụng của các ngân hàng của mình trên điện thoại để thực hiện giao dịch ngân hàng điện tử hoặc sử dụng dịch vụ internet Banking trên trang web chính thức của ngân hàng.

Tuyệt đối không cung cấp thông tin bảo mật như số CMT/CCCD, tên đăng nhập, mật khẩu đăng nhập dịch vụ ngân hàng điện tử, mã OTP, số thẻ, mã CVV, Soft Token qua các đường link lạ chưa xác thực trong bất kỳ trường hợp nào, kể cả cung cấp cho nhân viên ngân hàng.

Trong trường hợp nhận được thông tin giả mạo hoặc nghi ngờ bị lừa đảo, người dân cần liên hệ ngay tới Hotline khách hàng cá nhân của ngân hàng mình sử dụng để khóa dịch vụ; đổi mật khẩu đăng nhập trên ứng dụng mobile Banking bằng chức năng “Đổi mật khẩu” tại mục “Cài đặt”; thực hiện tạm khóa thẻ trên ứng dụng mobile Banking, chọn “Khóa thẻ” tại mục “Dịch vụ thẻ” hoặc đăng nhập tài khoản trên website chính thức của ngân hàng chọn "Mở khóa/Khóa/Kích hoạt thẻ" tại mục "Cài đặt”.

Lừa đảo bằng ứng dụng giả mạo app của Chính phủ, Tổng cục Thuế

Theo thông tin từ Cục An toàn thông tin, Bộ Thông tin và truyền thông, khoảng hơn 3 tuần trở lại đây, trên không gian mạng Việt Nam đang rộ lên chiến dịch lừa người dân cài các ứng dụng giả mạo app của Chính phủ, Tổng cục Thuế.

Ban đầu đối tượng lừa đảo sẽ gọi hoặc liên hệ với các nạn nhân qua điện thoại, Zalo, Facebook… để mời nạn nhân lên cơ quan thuế hoặc công an để định danh điện tử. Sau đó, các đối tượng thuyết phục người dùng tải ứng dụng giả mạo app của Chính phủ, Tổng cục Thuế trên các trang web giả mạo, ngụy trang là truy cập vào kho ứng dụng Google Play Store (CHPlay).

Tiếp đó, khi đã lừa được nạn nhân bấm vào link để tải ứng dụng giả mạo dạng “.apk” về, đối tượng lừa đảo sẽ hướng dẫn nạn nhân cài đặt app và chấp nhận toàn bộ quyền cho ứng dụng để hoạt động.

Liên quan đến kiểu lừa đảo này, ông Vũ Ngọc Sơn, Giám đốc Công nghệ Công ty An ninh mạng NCS cho biết, đây là hình thức tấn công không mới khi hacker mạo danh một cơ quan hoặc tổ chức để lừa người dùng cài ứng dụng giả mạo lên điện thoại. Hiện tại, các ứng dụng giả mạo chỉ hoạt động trên hệ điều hành Android, đường link tải phần mềm nằm ngoài chợ ứng dụng CH Play. Các điện thoại iPhone hiện tại không cho phép cài từ nguồn bên ngoài chợ ứng dụng Apple Store nên không bị tấn công theo dạng này.

Ngoài ra, các ứng dụng giả mạo thường sẽ yêu cầu rất nhiều quyền, trong đó có quyền truy cập dữ liệu, quyền chụp ảnh màn hình, thậm chí là quyền trợ năng để điều khiển được điện thoại từ xa. Để phòng tránh, ông Vũ Ngọc Sơn khuyến cáo người dùng cần chú ý các nguyên tắc sau:

Với điện thoại Android, chỉ cài ứng dụng bằng cách vào trực tiếp CH Play và tìm phần mềm tương ứng trên đó. Với điện thoại iPhone thì chỉ cài từ Apple Store. Không bấm vào các đường link nhận được qua tin nhắn. Nếu có nghi vấn, cần xác thực lại với cơ quan hoặc tổ chức liên quan thông qua số điện thoại chính thức được công bố.

Ngân hàng cần khẩn trương kết nối với Cơ sở dữ liệu quốc gia về dân cư

Ông Vũ Ngọc Sơn cũng cho hay, hiện nay các ngân hàng đều cho mở tài khoản online và xác thực người dùng thông qua các ứng dụng eKYC (định danh điện tử). Điểm yếu của cách làm này là một số ngân hàng chưa kết nối được hệ thống Cơ sở dữ liệu quốc gia về dân cư nên không có cơ chế xác minh được thông tin trên căn cước công dân hoặc chứng minh nhân dân là thật hay giả.

Trên thực tế, cách này chỉ xác nhận được người đang giao dịch với ảnh trên giấy tờ là một nhưng không xác nhận được thông tin có đúng hay không. Vì vậy, có hiện tượng một người có thể dùng giấy tờ giả (ảnh thì đúng nhưng thông tin thì không đúng) để đăng ký tài khoản ngân hàng và vượt qua eKYC bình thường.

Để khắc phục lỗ hổng này, theo ông Vũ Ngọc Sơn, các ngân hàng cần khẩn trương kết nối với Cơ sở dữ liệu quốc gia về dân cư. Theo đó, khi xác thực thông tin sẽ đối chiếu với thông tin đã có trong Cơ sở dữ liệu quốc gia về dân cư, từ đó phát hiện các trường hợp giả mạo.

Về phía người dùng, để hạn chế bị kẻ xấu lợi dụng thông tin, người dân tuyệt đối không cung cấp thông tin cá nhân cho các cơ sở không uy tín, không bấm vào các đường link lạ nhận được qua email, qua chat. Chỉ cung cấp thông tin tối thiểu phục vụ giao dịch trực tuyến và yêu cầu cơ sở xử lý giao dịch xóa thông tin theo yêu cầu của nghị định bảo vệ dữ liệu cá nhân mới được ban hành.

"Trường hợp cơ sở xử lý giao dịch không đáp ứng yêu cầu về việc xóa thông tin cá nhân, người dân có thể báo cho cơ quan chức năng để tiến hành kiểm tra, xử lý theo quy định của pháp luật", Vũ Ngọc Sơn lưu ý.