"Đọc vị" thủ đoạn chiếm đoạt SIM, mã OTP để chiếm đoạt tài khoản ngân hàng

Trọng Đạt Nhà báo

Xem các bài viết của tác giả

Người dùng di động rất dễ trở thành nạn nhân của muôn vàn hình thức lừa đảo nhằm chiếm đoạt SIM, mã OTP,... từ đó bị "hack" tài khoản ngân hàng.

Lừa người dùng bằng tin nhắn chứa đường link giả mạo

Gần đây, nhiều người dùng Việt Nam trở thành nạn nhân của một trò lừa đảo cũ mà mới. Nạn nhân thường là những người có nhu cầu muốn bán hoặc cho thuê một sản phẩm, dịch vụ nào đó trên môi trường mạng. 

Kẻ xấu sẽ tiếp cận bằng việc đóng giả người có nhu cầu mua hàng. Khi đến bước đặt cọc, viện lý do đang ở nước ngoài, vị khách cho biết sẽ thanh toán qua dịch vụ chuyển tiền của Western Union. 

Sau thông báo này, nạn nhân sẽ nhận được tin nhắn với đường link trỏ tới một trang web chứa cụm từ “westernunion". Nội dung tin nhắn yêu cầu họ phải truy cập vào tính năng ebanking trên website để quy đổi số tiền vừa nhận được về tài khoản nội địa. 

Với tâm lý muốn nhanh chóng chốt đơn, người bán nhanh chóng thực hiện theo yêu cầu. Tuy vậy, chỉ ít phút sau, tiền vào không thấy đâu mà tài khoản lại hao hụt đi số tiền nhiều chữ số. 

Kẻ lừa đảo lừa nạn nhân đăng nhập thông tin vào một website giả mạo nhằm chiếm đoạt tài khoản ngân hàng. Ảnh: Trọng Đạt

Tài khoản ngân hàng của nạn nhân không hề bị “hack”. Nó chỉ bị chiếm đoạt do chủ tài khoản đã vô tình cung cấp thông tin đăng nhập cho kẻ lừa đảo thông qua website giả mạo.

Sau khi nạn nhân đăng nhập vào tài khoản, kẻ gian sẽ có được thông tin về username, password của người dùng. Đây chính là công cụ giúp chúng thâm nhập vào tài khoản thật. 

Thông thường, website giả mạo sẽ bịa ra lý do nào đó yêu cầu nạn nhân nhập mã OTP mà họ vừa nhận được từ ngân hàng. Đây là mảnh ghép cuối cùng để kẻ lừa đảo thực hiện lệnh chuyển tiền ra khỏi tài khoản. 

Ở những trường hợp này, việc phong tỏa tài khoản người nhận thường không mấy tác dụng bởi số tiền bị chiếm đoạt đã được gửi sang một tài khoản thứ 3. Đó thường là các tài khoản ma hoặc tài khoản bị đánh cắp. Do vậy, dù biết danh tính chủ tài khoản nhận, cơ quan điều tra cũng rất khó tìm ra hung thủ thật. 

Giả vờ đổi SIM, lừa đánh cắp OTP tài khoản ngân hàng 

Lợi dụng chính sách chuyển đổi, nâng cấp SIM miễn phí của các nhà mạng viễn thông tại Việt Nam, một số đối tượng đã thực hiện hành vi lừa đảo để cướp quyền sử dụng SIM điện thoại, từ đó chiếm đoạt tiền trong tài khoản ngân hàng, ví điện tử… của khách hàng.

Theo đó, các đối tượng tự xưng là cán bộ công ty viễn thông, liên hệ với khách hàng qua điện thoại, tin nhắn và đề nghị hỗ trợ nâng cấp, chuyển đổi SIM 4G/5G miễn phí.

Các đối tượng yêu cầu người dùng phải cung cấp mã OTP do nhà mạng gửi về. Họ cũng có thể được hướng dẫn tự nhắn tin SMS từ chính điện thoại của mình theo cú pháp quy định của nhà mạng đi kèm dãy ký tự “SerialSIM” do kẻ gian cung cấp. 

Nếu thực hiện theo các cấu trúc tin nhắn, SIM điện thoại mà người dùng đang sử dụng sẽ bị ngắt, không sử dụng được. Đồng thời, đối tượng sẽ chiếm đoạt được SIM của khách hàng và dễ dàng thực hiện các hành vi gian lận tiếp theo.

Kẻ lừa đảo sau đó sử dụng số điện thoại vừa chiếm đoạt của nạn nhân để kích hoạt các dịch vụ ngân hàng, nhận mã OTP, chuyển tiền, nạp ví, thanh toán mua hàng,… 

Để đổi SIM hoặc cập nhật thông tin chính chủ, các nhà mạng đều áp dụng quy trình rất chặt chẽ. Trong đó có yêu cầu người dùng phải đem theo căn căn công dân và kê khai lịch sử cuộc gọi. Ảnh: Trọng Đạt

Quy trình về thay SIM đổi SIM được nhà mạng đưa ra rất chặt chẽ. Muốn đổi SIM hoặc cập nhật thông tin thuê bao, bắt buộc người dùng phải ra các điểm giao dịch của nhà mạng. Bên cạnh đó, họ phải đem theo căn cước công dân và ghi nhớ lịch sử cuộc gọi nhằm đảo bảo SIM về tay chính chủ. 

Tình trạng SIM bị đánh cắp, sau đó chiếm đoạt tài khoản ngân hàng xảy ra gần đây có thể do nhiều nguyên nhân. Nguyên nhân chủ quan là nhân viên nhà mạng làm sai quy định, nguyên nhân khách quan do đối tượng lừa đảo đã sử dụng giấy tờ giả qua mặt nhân viên nhà mạng.

Các vụ án này đều đang trong quá trình điều tra để xác định nguyên nhân dẫn đến việc đánh cắp tài khoản ngân hàng. Bộ TT&TT sẽ yêu cầu các nhà mạng rà soát lại quy trình, yêu cầu nhân viên tại các cửa hàng tăng cường cảnh giác trước những thủ đoạn lừa đảo. 

Để giải quyết vấn đề mất tiền trong tài khoản khi mất SIM, các ngân hàng cần chặt chẽ hơn khi xác thực khách hàng, nên ứng dụng các hình thức eKYC (xác thực điện tử) đối với trường hợp yêu cầu cấp lại mật khẩu. Bên cạnh đó, cần có biện pháp nhận biết và xác thực bằng công nghệ trong những trường hợp có biến động số dư bất thường. 

Dùng thiết bị công nghệ cao để gửi tin nhắn lừa đảo

SMS Brand name là một hình thức tin nhắn định danh thương hiệu. Theo nguyên tắc, khi tin nhắn, cuộc gọi Brand name đã được đăng ký tại các nhà mạng thì các tổ chức, cá nhân khác không được phép đăng ký trùng tên thương hiệu. 

Tin nhắn định danh thường là thông báo chính thức của cơ quan, tổ chức, do đó người dùng thường dễ dàng tin tưởng. Lợi dụng đặc điểm trên, đã xuất hiện thủ đoạn làm giả tin nhắn Brand name của ngân hàng, gửi đến các thuê bao điện thoại di động của khách hàng để hack tài khoản, thực hiện giao dịch chiếm đoạt tiền. 

Nhiều tội phạm sử dụng công nghệ cao đã dùng các tin nhắn chứa Brandname của ngân hàng nhằm lừa đảo, chiếm đoạt tài sản người dùng. 

Các đối tượng gửi tin nhắn hàng loạt và không nhằm vào nạn nhân cụ thể nào. Để thực hiện thủ đoạn này, kẻ xấu sử dụng một thiết bị có tính năng như một trạm thu phát sóng di động (BTS). Thiết bị có thể can thiệp vào hệ thống tin nhắn liên lạc giữa ngân hàng và khách hàng, nhằm chèn vào đó những tin nhắn giả mạo dưới tên (thương hiệu) của ngân hàng. 

Nội dung tin nhắn thường được cài cắm thông tin “giật gân”, hấp dẫn như thông báo trúng thưởng, nâng cấp hệ thống. Cá biệt, nhiều trường hợp kẻ xấu báo tin tài khoản của khách hàng đang có dấu hiệu bị tấn công tạo tâm lý sợ hãi. 

Dù với lý do gì, đích đến của kẻ xấu là yêu cầu khách hàng truy cập vào đường link dẫn đến một website có giao diện giống với trang web chính thức của ngân hàng, chỉ khác một hoặc một số ký tự.

Các đối tượng xấu thường lừa người dùng truy cập vào các website có tên gần giống trang web của ngân hàng. Ảnh: Trọng Đạt

Khi làm theo yêu cầu và truy cập vào trang giả mạo, khách hàng sẽ khai thông tin đăng nhập, mật khẩu, mã OTP, để rồi bị chiếm đoạt quyền quản trị tài khoản ngân hàng ngay tức khắc. Sau đó, đối tượng sẽ thực hiện các giao dịch chuyển đi toàn bộ số tiền đang có trong tài khoản của khách hàng. 

Thời điểm bọn tội phạm gửi đi các tin nhắn bằng thủ đoạn Brand name chủ yếu vào lúc ngân hàng không hoạt động như vào ban đêm, rạng sáng, ngày cuối tuần, hay dịp lễ, Tết… Đây đều là những thời điểm người dùng gặp khó khăn trong việc xác thực thông tin. 

Trọng Đạt

Twitter kiểm duyệt tự động nhiều hơn

Quan chức Twitter cho biết công ty sẽ dựa chủ yếu vào tự động hóa khi kiểm duyệt nội dung, hơn là đánh giá thủ công.

Trò đùa ‘Messi đâu rồi’ phản tác dụng

Messi ghi bàn chỉ 12 giây sau khi bị cổ động viên Australia chế giễu bằng trò đùa "Where is Messi". Đoạn clip ghi lại sự kiện nhận nhiều quan tâm trên các diễn đàn.

Xem trực tiếp World Cup 2022, Brazil vs Hàn Quốc, 2h00 ngày 6/12

Kênh VTV3 để xem trận đấu giữa Brazil và Hàn Quốc hôm nay có trên những hệ thống truyền hình trực tuyến như VTV News, VTV Go, VTVcab ON, hay cả FPT Play, TV360...

Bản lĩnh giúp Tim Cook ‘bỏ bùa’ Elon Musk

Chỉ trong 2 ngày, thái độ của Elon Musk đối với Apple đã thay đổi 180 độ, từ thù địch sang hợp tác, biết ơn. Tất cả nhờ vào Tim Cook.

Cách Facebook gây nghiện người dùng bằng nút like

Ý tưởng nút like trên Facebook đã mất 2 năm để thai nghén và từng bị Mark Zuckerberg bác bỏ.

Vai trò đặc biệt của Việt Nam trong kế hoạch của Apple

Sắp tới, Việt Nam có thể sản xuất nhiều AirPods, Apple Watch và MacBook hơn cho Apple.

Xem trực tiếp World Cup 2022, Anh vs Senegal, 2h00 ngày 5/12

Kênh VTV3 để xem trận đấu giữa Anh và Senegal hôm nay có trên những hệ thống truyền hình trực tuyến như VTV News, VTV Go, VTVcab ON, hay cả FPT Play, TV360...

Xem trực tiếp World Cup 2022, Pháp vs Ba Lan, 22h00 ngày 4/12

Kênh VTV2 để xem trận đấu giữa Pháp và Ba Lan hôm nay có trên những hệ thống truyền hình trực tuyến như VTV News, VTV Go, VTVcab ON, hay cả FPT Play, TV360...

Đống hoang tàn ở lại sau thảm họa FTX

Cựu CEO 30 tuổi đổ lỗi cho sự thiếu may mắn và quyết định mạo hiểm khiến khách hàng mất hàng tỷ USD tiền gửi trên sàn FTX.

Startup giải mã gen dựa trên dữ liệu lớn của người Việt thắng giải VietChallenge

Dịch vụ xét nghiệm gen dựa trên bộ dữ liệu lớn dành riêng cho người Việt của GeneStory đã giành chiến thắng tại VietChallenge 2022.

Đang cập nhật dữ liệu !