Đủ chiêu trò hack tài khoản ngân hàng

Tìm mọi cách để lấy thông tin cá nhân

Chị N.H (Q.4, TP.HCM) kể con gái chị đi đăng ký tập gym, trung tâm yêu cầu bố mẹ đóng tiền vì cháu chưa đủ 18 tuổi và gửi mã QR về cho chị. Sợ bị lừa đảo, chị không dám quét mà phải mất công tới tận nơi, tốn rất nhiều thời gian, công sức. "Suốt ngày đọc thấy người này, người kia vì cả tin mà mất tiền, tôi đâm ra nghi ngờ mọi thứ. Bữa trước có bên dịch vụ quen làm thẻ khách hàng thân thiết cho tôi, quyền lợi rất tốt. Nhưng đến khi chuyển tiền, tôi phải xác minh đủ kiểu mà vẫn không yên tâm. Cuối cùng tôi phải nhờ con gái chuyển tiền giúp để nếu có bị hack, thì trong tài khoản của cháu cũng không có bao nhiêu", chị N.H nói.

ẢNH: T.N

Đây cũng là tâm trạng của rất nhiều người hiện nay, khi đủ kiểu lừa đảo biến tướng tinh vi. Theo thống kê của chuyên trang Chongluadao.vn, hiện nay hình thức lừa đảo trực tuyến được người dùng báo cáo nhiều nhất là các trường hợp mạo danh, gồm giả mạo các website mua bán, giao hàng. Đơn cử như trong ngày 24.4, tổng đài của Chongluadao.vn đã nhận hàng chục tin báo về các vụ dẫn dụ nhấp vào đường link hoặc tải ứng dụng (app) để đánh cắp tài khoản. 

Chị N.T.P.Q (ngụ Q.12, TP.HCM) cho biết: "Tôi thường xuyên nhận cuộc gọi từ số tổng đài, nói rằng tôi đủ điều kiện để mở thẻ tín dụng và yêu cầu tôi chờ đợi cuộc gọi tiếp theo để đăng ký. Có lần tôi đã gửi thông tin CCCD cho một nhân viên làm việc qua Zalo và đăng ký mở thẻ tín dụng. Ngay sau đó người này yêu cầu tôi cung cấp nhiều thông tin cá nhân, tôi nghi ngờ nên đã gặng hỏi nhiều giấy tờ chứng minh đối tượng tiếp xúc với tôi là nhân viên ngân hàng nhưng họ chỉ gửi những hình chụp không có giá trị. Thấy tôi cảnh giác nên người này không tiếp tục làm phiền nữa".

Mới đây, anh N.V.H (ngụ H.Chương Mỹ, TP.Hà Nội) cũng nhận cuộc gọi của một đối tượng tự xưng là nhân viên ngân hàng và được tư vấn hỗ trợ mở thẻ tín dụng hạn mức 140 triệu đồng. Đối tượng yêu cầu anh cung cấp thông tin cá nhân gồm số CCCD, số thẻ ngân hàng, số điện thoại đăng ký với ngân hàng và xác minh bằng giọng nói, mã OTP. Sau khi thực hiện yêu cầu, anh H. phát hiện tài khoản ngân hàng bị trừ 50 triệu đồng. Biết bị lừa, anh H. đã đến cơ quan công an để trình báo sự việc.

Theo ông Ngô Minh Hiếu, chuyên gia an ninh mạng - Giám đốc dự án Chongluadao.vn, tội phạm mạng hiện nay đang có nhiều chiêu trò và cách thức móc túi người dùng khá tinh vi; từ tấn công mạng, lừa đảo trực tuyến, đánh cắp thông tin cá nhân, đến các hành vi gây hại cho hệ thống và cơ sở hạ tầng mạng… Trao đổi với PV Thanh Niên, một chuyên gia an ninh mạng cho biết: "Nếu cách đây chục năm hình thức hack tài khoản thường nhắm vào khách hàng dùng thẻ Visa, sau đó mua hàng hóa từ nước ngoài chuyển về VN thì hiện nay các hình thức đánh cắp đã tinh vi và đa dạng hơn. Sau khi Ngân hàng Nhà nước áp dụng hình thức sinh trắc học, nhận diện khuôn mặt để chuyển khoản có giá trị trên 10 triệu đồng thì các đối tượng lừa đảo lập tức lợi dụng kẽ hở tài khoản doanh nghiệp không bị áp dụng sinh trắc học để lừa đảo và che giấu tiền phi pháp dễ dàng. Bên cạnh đó, nhiều chiêu trò lừa đảo khác cũng đều hướng nạn nhân đến việc tải ứng dụng giả mạo hoặc nhấn vào đường link có chứa mã độc để chiếm quyền kiểm soát điện thoại".

Thanh toán tại quầy cũng có thể bị tráo chip

Mới đây, Ngân hàng TMCP Kỹ thương VN (Techcombank) đã cảnh báo một số phương thức lừa đảo phổ biến. Trong đó, kẻ gian có thể lợi dụng sơ hở trong quá trình thanh toán tại quầy để tráo chip thật của thẻ bằng chip giả. Sau đó, chúng sử dụng chip bị đánh cắp để thực hiện các giao dịch gian lận. Cách thức này thường được tiến hành rất nhanh và tinh vi, khiến khách hàng khó phát hiện nếu không để ý kỹ trong quá trình thanh toán. 

Bên cạnh đó, các đối tượng lừa đảo còn giả danh nhân viên ngân hàng, gọi điện hoặc nhắn tin yêu cầu cung cấp thông tin cá nhân như số thẻ, ngày hết hạn, mã CVV, mã OTP… với các lý do như nâng hạng thẻ, nâng hạn mức thẻ, miễn phí thường niên, xác minh tài khoản, nhận quà tặng hoặc ưu đãi. Sau khi có được các thông tin này, chúng tiến hành chiếm đoạt tiền trong tài khoản của khách hàng. Một số đối tượng còn giả danh nhân viên bưu điện hoặc ngân hàng, gọi điện yêu cầu khách hàng nộp phí phát hành thẻ hoặc phí giao thẻ. Chúng hù dọa rằng nếu không nộp phí, thẻ sẽ bị hủy hoặc giao dịch sẽ bị gián đoạn.

Ngân hàng ACB cũng vừa phát đi cảnh báo tình trạng mạo danh các tổ chức tín dụng uy tín để lừa đảo ngày càng bùng phát. Một trong những nguyên tắc hàng đầu là không bao giờ cung cấp thông tin bảo mật cho bất kỳ ai, dù họ tự xưng là nhân viên ngân hàng, cán bộ nhà nước hay bất kỳ tổ chức nào khác. Các thông tin bảo mật bao gồm mật khẩu đăng nhập, mã OTP, số thẻ tín dụng, mã CVV/CVC và dữ liệu sinh trắc học.

Bên cạnh đó, người dùng tuyệt đối không nhấp vào các đường link lạ hoặc cài đặt ứng dụng không rõ nguồn gốc, luôn kiểm tra kỹ thông tin người gửi và nội dung tin nhắn trước khi thực hiện bất kỳ thao tác nào. Nếu nhận được các tin nhắn có dấu hiệu đáng ngờ, hãy chủ động liên hệ trực tiếp với ngân hàng hoặc các cơ quan chức năng để xác minh thông tin.

Ông Vũ Ngọc Sơn, Trưởng ban phát triển công nghệ (Hiệp hội An ninh mạng quốc gia), phân tích: "Hiện nay nhiều đối tượng xấu sử dụng mã QR để lừa đảo và dẫn dụ người dùng quét để chuyển tiền, hoặc có thể phát tán mã độc để sau đó xâm nhập điện thoại. Về bản chất, mã QR là cách thức để nén một hoặc nhiều nội dung dữ liệu về một dạng ảnh, giúp máy móc có cảm biến hình ảnh (như máy quét, camera điện thoại) có thể ánh xạ ngược từ ảnh sang nội dung ban đầu. QR code có nhiều ứng dụng, nhưng phổ biến nhất hiện nay là để chứa các đường link hoặc số tài khoản ngân hàng trong các giao dịch chuyển khoản. 

Lợi dụng sự phổ biến của QR code, các đối tượng lừa đảo có thể mã hóa đường link lừa đảo hoặc các số tài khoản giả mạo thành các mã QR để lừa người dùng. Tuy nhiên, bản chất QR code không phải mã độc tấn công trực tiếp mà chỉ là trung gian để chuyển tải nội dung. Vì vậy, người dùng có bị tấn công hay không phụ thuộc vào cách xử lý nội dung sau khi máy quét ánh xạ từ QR code ra nội dung ban đầu. Cụ thể hơn là nếu sau khi quét mã QR ra đường link hay số tài khoản thì người dùng chưa bị mất tiền hay bị tấn công, chiếm quyền điều khiển. Nhưng nếu người dùng bấm vào link, cài đặt phần mềm hay chuyển khoản theo số tài khoản quét ra từ mã QR thì lúc này sẽ bị mất tiền và bị tấn công".