Gian kế mới - “Hack” tài khoản ngân hàng bằng tin nhắn giả mạo

12:59 09/11/2021

Với thiết bị điện tử có tính năng như một trạm BTS (thu phát sóng) di động, đối tượng có thể “hack” vào hệ thống tin nhắn của ngân hàng để gửi đến các chủ thuê bao điện thoại thông điệp yêu cầu truy cập vào đường link đính kèm.

Thấy đó là tin nhắn đến từ ngân hàng mà mình đã mở tài khoản, nhiều người đã không mảy may nghi ngờ, ngoan ngoãn làm theo hướng dẫn… để rồi toàn bộ số tiền trong tài khoản bị vét sạch. Thủ đoạn SMS Brand name - giả mạo tin nhắn thương hiệu của ngân hàng, cùng nhiều chiêu thức mới xuất hiện đã qua mắt nhiều khách hàng, cho dù đã có ý thức cảnh giác.

Kế hiểm

SMS Brand name là một hình thức tin nhắn định danh thương hiệu, được các tổ chức như ngân hàng hay các cơ quan hữu quan đăng ký độc quyền tại các nhà mạng viễn thông và sử dụng làm dịch vụ gửi tin nhắn, gọi điện hàng loạt đến các khách hàng để chăm sóc, quảng bá hình ảnh, thông báo nội dung, chính sách mới… đến tệp khách hàng của mình.

3.jpeg -0
Lực lượng An ninh mạng và phòng chống tội phạm sử dụng công nghệ cao đã lật tẩy nhiều hành vi lừa đảo của các hacker.

Theo nguyên tắc, khi tin nhắn, cuộc gọi Brand name đã được đăng ký tại các nhà mạng, thì các tổ chức, cá nhân khác không được phép đăng ký trùng tên thương hiệu. Bởi vậy mà những tin nhắn định danh thường là thông báo chính thức của cơ quan, tổ chức và người dùng luôn dễ dàng tin vào nội dung các tin nhắn đó.

 Lợi dụng đặc điểm này mà thời gian vừa qua đã xuất hiện thủ đoạn làm giả tin nhắn Brand name của ngân hàng, gửi đến các thuê bao điện thoại di động của khách hàng để hack tài khoản, thực hiện giao dịch chiếm đoạt tiền. Được biết, thời gian qua thủ đoạn tội phạm này đã xảy ra tại 39/55 tỉnh, thành phố. Công an các đơn vị địa phương đang điều tra xác minh 14 vụ phạm tội, với chiếm đoạt nhiều tỷ đồng của hàng trăm người, chủ yếu ở TP Hồ Chí Minh. Các đơn vị nghiệp vụ của Bộ Công an đã đưa ra cảnh báo người dân về thủ đoạn phạm tội nguy hiểm này.

Thượng tá Phạm Đức Hà - Phó trưởng phòng An ninh mạng và phòng chống tội phạm sử dụng công nghệ cao - Công an TP Hà Nội giải thích: “Khi mở tài khoản ngân hàng, khách hàng thường đăng ký số điện thoại di động cá nhân, để thiết lập chế độ nhận thông báo từ ngân hàng khi tài khoản có biến động về số dư. Hàng ngày, mọi người vẫn nhận được các tin nhắn điện thoại như thế và hoàn toàn tin tưởng, không chút mảy may nghi ngờ. Lợi dụng đặc điểm tâm lý này của khách hàng mà thủ đoạn Brand name đã xuất hiện. Các đối tượng gửi tin nhắn hàng loạt không nhằm vào nạn nhân cụ thể nào, mà trông chờ vào sự bất cẩn của người dùng để có cơ hội chiếm quyền kiểm soát tài khoản ngân hàng nhằm chiếm đoạt tiền”.

Để thực hiện được thủ đoạn này, bọn tội phạm cần đến thiết bị công nghệ hiện đại có tính năng như một trạm thu phát sóng di động (BTS), có thể can thiệp vào hệ thống tin nhắn liên lạc giữa ngân hàng và khách hàng, nhằm chèn vào đó những tin nhắn giả mạo dưới tên (thương hiệu) của ngân hàng bất kỳ nơi khách mở tài khoản. Trong tin nhắn, chúng cài cắm các thông tin “giật gân”, hấp dẫn như thông báo trúng thưởng, hay nâng cấp hệ thống, nhất là báo tin tài khoản của khách hàng đang có dấu hiệu bị tấn công để tạo ra tâm lý sợ hãi… Nhưng dù với lý do gì thì cuối cùng vẫn là yêu cầu khách hàng truy cập vào đường link dẫn đến một website có giao diện y chang như trang web chính thức của ngân hàng, chỉ khác một hoặc một số ký tự trên đường dẫn mà phải tinh mắt và để ý lắm mới nhận ra.

Khi làm theo yêu cầu và truy cập vào trang giả mạo, khách hàng sẽ khai thông tin đăng nhập, mật khẩu, mã OTP, để rồi bị chiếm đoạt quyền quản trị tài khoản ngân hàng ngay tức khắc. Sau đó, đối tượng sẽ thực hiện các giao dịch để chuyển đi toàn bộ số tiền đang có trong tài khoản của khách hàng. Thời điểm bọn tội phạm gửi đi các tin nhắn bằng thủ đoạn Brand name chủ yếu vào lúc ngân hàng không hoạt động, như vào ban đêm, rạng sáng, ngày cuối tuần, hay dịp lễ, tết…Lý do chúng chọn các thời điểm này để người dùng không thể xác thực thông tin. Chỉ cần làm theo hướng dẫn của chúng là tiền trong tài khoản ngân hàng của người dùng sẽ bị chiếm đoạt hoàn toàn.

Muôn nẻo đường gian

Ngoài thủ đoạn trên, vào tháng 1-2021, Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao đã phối hợp với các cục nghiệp vụ của Bộ Công an khám phá chuyên án, bắt quả tang 4 đối tượng, gồm 3 nam giới là người Trung Quốc và 1 nữ người Việt Nam đang có hành vi sử dụng thẻ ngân hàng giả thanh toán khống qua máy POS (máy chấp nhận thanh toán thẻ) để chiếm đoạt tài sản tại phường Bồ Đề, quận Long Biên, TP. Hà Nội, thu giữ 36 máy POS, mPOS của các ngân hàng, 4 thiết bị làm giả thẻ ngân hàng, 9 thẻ ngân hàng giả; hơn 1 nghìn hóa đơn POS của các ngân hàng; 26 thẻ ngân hàng trong và ngoài nước cùng nhiều vật chứng có liên quan. Kết quả điều tra xác định từ tháng 10-2020 đến khi bị bắt, các đối tượng này đã chiếm đoạt thành công hàng chục tỷ đồng.

4.jpeg -0
Hỏi cung đối tượng phạm tội công nghệ cao.

Đáng chú ý là thủ đoạn làm giả thẻ chip để thanh toán theo phương thức không tiếp xúc (Contactless) của các đối tượng lần đầu tiên xuất hiện tại Việt Nam, trên thế giới cũng chưa ghi nhận vụ việc nào tương tự. Ông Nguyễn Văn Thành (chuyên viên pháp chế Ngân hàng Vietcombank) cho biết, hiện nay các ngân hàng thương mại đang thực hiện chuyển đổi thẻ công nghệ từ sang công nghệ chip (theo tiêu chuẩn VCCS) nhằm tăng cường bảo mật, đảm bảo an toàn giao dịch. Việc các đối tượng làm giả thẻ chip thanh toán thành công, chiếm đoạt được số tiền lớn là thủ đoạn đặc biệt nguy hiểm, cho thấy nguy cơ hiện hữu của loại tội phạm sử dụng công nghệ cao này đối với hệ thống thanh toán thẻ của Việt Nam.

Trung tá Phạm Văn Thịnh (Phòng An ninh mạng và phòng chống tội phạm sử dụng công nghệ cao – Công an TP Hà Nội) cho biết, bên cạnh những chiêu trò nguy hiểm mới xuất hiện, thì những thủ đoạn cũ vẫn gây ra những thiệt hại lớn mà người dân rất nên cảnh giác. Chẳng hạn như việc đối tượng lừa đảo mạo danh ngân hàng, công ty, đối tác gửi email đề nghị khách hàng cung cấp thông tin cá nhân, thông tin tài khoản gồm tên đăng nhập, mật khẩu… để đăng nhập lại tài khoản đã bị khoá, hoặc để nhận một khoản tiền thưởng lớn, hoặc đề nghị nộp phí để nhận thưởng… từ đó đánh cắp thông tin cá nhân, chiếm quyền truy cập tài khoản và chiếm đoạt tiền trong tài khoản của khách hàng. Thông qua các cuộc gọi điện thoại, đối tượng sử dụng các dịch vụ có chức năng giả mạo đầu số điện thoại, giả mạo số điện thoại để mạo danh cán bộ của cơ quan thực thi pháp luật như Công an, Viện Kiểm sát, Tòa án… gọi điện cho người dân để thực hiện hành vi lừa đảo, gây sức ép, đe dọa rằng họ có dính líu đến đường dây tội phạm, yêu cầu phải chuyển một số tiền lớn vào tài khoản do các đối tượng này cung cấp.

Mới đây, nổi lên thủ đoạn các đối tượng sử dụng công nghệ VoIP giả danh cơ quan Công an yêu cầu người dân cài ứng dụng "Bộ Công an" lên điện thoại để phục vụ công tác điều tra, thực chất đây là phần mềm gián điệp nhằm mục đích chiếm quyền điều khiển toàn bộ điện thoại của bị hại, từ đó các đối tượng lấy thông tin tài khoản ngân hàng, mật khẩu, mã OTP để chiếm đoạt tài sản.

Chúng còn giả mạo cán bộ ngân hàng gọi điện đến chủ thuê bao, tạo lý do hợp lý để yêu cầu người dân cung cấp tên đăng nhập, mật khẩu truy cập, mã xác thực OTP để xử lý sự cố liên quan đến các giao dịch, sau khi có thông tin này, đối tượng thực hiện chuyển toàn bộ tiền từ tài khoản của người dùng đến tài khoản của chúng. Thủ đoạn mạo danh nhà mạng liên lạc với chủ thuê bao yêu cầu chuyển đổi sim 3G sang 4G nếu không sẽ bị khóa 2 chiều. Khi làm theo hướng dẫn, chủ thuê bao sẽ bị chiếm quyền sử dụng số điện thoại. Từ đó chúng có thể lấy được mật khẩu Ebank, chiếm đoạt tài khoản giao dịch, mã OTP và chuyển tiền đi khỏi tài khoản.

1.jpeg -0
Những tin nhắn giả mạo Brand name.

Qua theo dõi tình hình tội phạm công nghệ cao trong lĩnh vực ngân hàng, Trung tá Thịnh cho biết thủ đoạn tạo lập website giả mạo có giao diện gần giống như website ngân hàng đã lừa được khá nhiều người khi thực hiện các giao dịch qua Internet Banking, Mobile Banking. Nếu không kiểm tra kỹ đường link mà truy cập các trang giả mạo này và điền các thông tin tài khoản, mật khẩu, OTP giao dịch, khách hàng sẽ bị “hack” toàn bộ số tiền trong tài khoản. Bên cạnh đó, thủ đoạn giả mạo người thân, bạn bè, đối tác gửi đường link giả mạo dịch vụ chuyển tiền quốc tế WesternUnion nhờ khách hàng nhận hộ một món tiền, hoặc nhận tiền đặt cọc bán hàng hóa, dịch vụ.

Khi khách truy cập và gõ thông tin đăng nhập, mật khẩu Ebank và OTP kích hoạt dịch vụ (Mobile Banking hoặc SmartOTP) vào đường link giả mạo, đối tượng sẽ nắm được toàn bộ thông tin của khách và tự cài đặt Smart OTP để giao dịch chuyển tiền. Thời gian dịch bệnh COVID-19 bùng phát trên thế giới, các nhóm tội phạm sử dụng công nghệ cao sử dụng trái phép thông tin cá nhân của người nước ngoài để nhận các khoản tiền an sinh xã hội của chính phủ nước ngoài  (Mỹ, Úc...), sau đó, qua các cổng thanh toán quốc tế, ví điện tử quốc tế chuyển tiền về Việt Nam chiếm hưởng.

Giữ “ví” cho chặt

Để bảo đảm an toàn cho tài khoản ngân hàng của mình, theo Thượng tá Hà, người dân cần lưu ý không cung cấp thông tin về các dịch vụ ngân hàng số gồm tài khoản đăng nhập, mật khẩu, mã xác thực (OTP), hoặc số thẻ tín dụng, cho bất kỳ ai; không truy cập các đường link, liên kết trong tin nhắn hay email lạ hoặc không rõ nguồn gốc; không thực hiện giao dịch theo yêu cầu của các đối tượng lạ khi nhận được điện thoại, tin nhắn có nội dung liên quan đến giao dịch ngân hàng (truy cập vào link lạ, chuyển tiền qua ngân hàng, nạp thẻ, rút tiền, …); không truy cập, hoặc đăng nhập thông tin tên truy cập, mật khẩu đăng nhập Internet Banking hay Mobile Banking, mã xác thực OTP, số tài khoản… của mình vào trang web hay liên kết khác với trang web hoặc đường dẫn Internet Banking của ngân hàng; không cài đặt các ứng dụng chưa được xác thực trên kho ứng dụng đặc biệt là theo yêu cầu của đối tượng lạ; không cho mượn hoặc cho thuê thông tin cá nhân để mở thẻ, tài khoản ngân hàng.

Bên cạnh đó, người dân chỉ nên truy cập Internet Banking của ngân hàng theo đường dẫn chính thức hoặc sử dụng ứng dụng Mobile Banking của ngân hàng để thực hiện các giao dịch qua tài khoản; nên xác thực thông tin (qua điện thoại di động hoặc trực tiếp) trước khi thực hiện thanh toán, chuyển tiền khi nhận được yêu cầu từ Facebook, Zalo hay Messenger từ người thân, bạn bè.

“Khi xảy ra rủi ro mất tiền hoặc trong tình huống nghi ngờ bị lừa đảo, người dân cần chủ động khoá tài khoản, thay đổi mật khẩu đăng nhập Internet Banking, Mobile Banking, hoặc liên hệ ngay với ngân hàng hoặc đến điểm giao dịch gần nhất yêu cầu tạm khóa dịch vụ thẻ ngân hàng điện tử nếu đã xảy ra, đồng thời liên hệ, trình báo ngay với Công an địa phương khi phát hiện mất tiền trong tài khoản để kịp thời điều tra” – Thượng tá Hà cho biết.

Đào Trung Hiếu