Lo lắng, hoảng hốt là cảm giác chung của nhiều người khi nhận được tin nhắn từ tổng đài của ngân hàng mình đang sử dụng, thông báo việc tài khoản đang bị tấn công, cần truy cập ngay đường link bên dưới để tăng cường bảo mật cho tài khoản.
Tuy nhiên, khi truy cập và làm theo hướng dẫn, toàn bộ số tiền trong tài khoản sẽ bị vét sạch.
Lợi dụng tâm lý tin tưởng của khách hàng
Theo Thượng tá Đào Trung Hiếu, chuyên gia tội phạm học, Bộ Công an, thủ đoạn giả mạo tin nhắn thương hiệu của ngân hàng đang hoành hành và danh sách nạn nhân tiếp tục nối dài.
 |
Thượng tá Đào Trung Hiếu, chuyên gia tội phạm học, Bộ Công an. Ảnh NVCC |
Khi mở tài khoản ngân hàng, người dân thường đăng ký số điện thoại di động cá nhân, để thiết lập chế độ nhận thông báo từ ngân hàng khi tài khoản có biến động về số dư.
Tin nhắn định danh thương hiệu (SMS Brand name) được các tổ chức ngân hàng đăng ký độc quyền tại các nhà mạng viễn thông và sử dụng làm dịch vụ gửi tin nhắn, gọi điện hàng loạt đến các khách hàng để chăm sóc, quảng bá hình ảnh, thông báo nội dung, chính sách mới… đến tệp khách hàng của mình.
Tội phạm có thể yêu cầu khách hàng truy cập vào đường link dẫn đến một website có giao diện y chang như trang web chính thức của ngân hàng, chỉ khác một hoặc một số ký tự trên đường dẫn mà phải tinh mắt và để ý lắm mới nhận ra.
Chẳng hạn, ngân hàng Ngoại thương Việt Nam Vietcombank (địa chỉ trang chủ: https://portal.vietcombank.com.vn) từng đưa ra cảnh báo về các giả mạo có đường link với các ký tự bất thường như: https://vietcombank.comvn-br.xyz; https://vietcombank.comvn-br.top; https://vietcombank.vn-vn.top; ...
Khi làm theo yêu cầu và truy cập vào trang giả mạo, khách hàng sẽ khai thông tin đăng nhập, mật khẩu, mã OTP, để rồi bị chiếm đoạt quyền quản trị tài khoản ngân hàng ngay tức khắc.
Sau đó, đối tượng sẽ thực hiện các giao dịch để chuyển đi toàn bộ số tiền đang có trong tài khoản của khách hàng.
Thời điểm tội phạm gửi đi các tin nhắn bằng thủ đoạn Brand name chủ yếu vào lúc ngân hàng không hoạt động, như vào ban đêm, rạng sáng, ngày cuối tuần, hay dịp lễ, tết…
"Hàng ngày, mọi người vẫn nhận được các tin nhắn điện thoại từ ngân hàng và hoàn toàn tin tưởng, không chút mảy may nghi ngờ.
Thời gian qua, thủ đoạn tội phạm này đã xảy ra tại rất nhiều địa phương. Các đơn vị nghiệp vụ của Bộ Công an đã đưa ra cảnh báo người dân về thủ đoạn phạm tội nguy hiểm này" - ông Hiếu nói.
Những mánh khóe xâm nhập của hacker
Theo ông Hiếu, trên các diễn đàn công nghệ và under ground (diễn đàn ngầm của hacker), có nhiều bài viết của “dân” IT chia sẻ về các thủ đoạn giả mạo tin nhắn định danh thương hiệu.
Theo đó, những khả năng khiến hệ thống SMS Brandname của ngân hàng bị xâm nhập:
Một, hacker sẽ dùng thiết bị, thủ thuật để chen vào giữa quá trình gửi/nhận SMS, lấy được các gói tin nhắn từ nhà mạng gửi tới, chỉnh sửa nội dung rồi mới tiếp tục gửi đến khách hàng. Tuy nhiên, đây lại là cách ít khả thi nhất.
Hai, hacker sẽ tấn công trực tiếp vào hệ thống của đơn vị cung cấp SMS OTP cho ngân hàng, sau đó kiểm soát và thay đổi nội dung gửi đến người dùng.
Ba, hacker sử dụng giấy tờ giả, đăng ký một tổng đài khác cũng có tên giống với các ngân hàng ở Việt Nam, được đăng ký tại Việt Nam hoặc nước ngoài để gửi tin nhắn đến người dùng.
Người dân cần lưu ý không cung cấp thông tin về các dịch vụ ngân hàng số gồm tài khoản đăng nhập, mật khẩu, mã xác thực (OTP), hoặc số thẻ tín dụng, cho bất kỳ ai; không truy cập vào các đường link, liên kết trong tin nhắn hay email lạ hoặc không rõ nguồn gốc…
Trường hợp khách hàng trót bấm vào đường link và tiết lộ thông tin, khách hàng cần khóa dịch vụ Digibank khẩn cấp bằng tin nhắn với cú pháp do bộ phận chăm sóc khách hàng của ngân hàng đó cung cấp, hoặc đến các điểm giao dịch (trong giờ hành chính) để được hỗ trợ.
Khi xảy ra rủi ro mất tiền hoặc trong tình huống nghi ngờ bị lừa đảo, người dân cần chủ động khóa tài khoản, thay đổi mật khẩu đăng nhập, trình báo ngay với công an...
