Trang Chủ
Gia tăng chiêu trò lừa đảo mới
Giả danh cán bộ, cơ quan chức năng và lừa cài đặt ứng dụng giả mạo độc hại
Gần đây, cơ quan công an cảnh báo đã xuất hiện thủ đoạn giả danh cơ quan công an gọi điện thoại cho người dân hướng dẫn cài đặt ứng dụng (app) VNeID giả mạo, kích hoạt tài khoản định danh điện tử.
Cụ thể, lợi dụng sự nắm bắt chưa đầy đủ các thông tin liên quan đến việc cài đặt app VNeID, kích hoạt tài khoản định danh điện tử của một bộ phận người dân, kẻ xấu đã gọi điện, sau đó gửi đường link qua tin nhắn Zalo, Facebook... yêu cầu người dân truy cập và cài đặt phần mềm "VNeID" giả mạo (có giao diện giống với ứng dụng VNeID thật). Hoặc đối tượng giả danh công an phường và đề nghị người dân lên phường để cập nhật số điện thoại chính chủ cho căn cước công dân (CCCD) hoặc cập nhật thông tin cá nhân trên hệ thống VNeID. Tiếp đó, đối tượng hướng dẫn người dân truy cập vào đường link có đuôi .gov.vn để tải ứng dụng của Bộ Công an. Vì tin tưởng đường link có đuôi .gov.vn là của cơ quan nhà nước, không ít người dân đã thực hiện theo yêu cầu và tạo cơ hội cho đối tượng cài mã độc vào thiết bị.
Sau khi người dân cài đặt VNeID giả mạo được cấp quyền truy cập mức cao, bao gồm cả đọc dữ liệu cá nhân và đọc tin nhắn chứa OTP, kẻ xấu kiểm soát được ứng dụng tài khoản ngân hàng, sau đó thực hiện lệnh chuyển tiền trên điện thoại nạn nhân, thực hiện hành vi chiếm đoạt tài sản.
Không những thế, gần đây, một số ngân hàng đã cảnh báo về hình thức lừa đảo mới qua một số ứng dụng có chứa mã độc, giả mạo ứng dụng dịch vụ công. Thủ đoạn của những đối tượng lừa đảo này là tạo ra những ứng dụng có giao diện giống với những ứng dụng chính thức của Chính phủ, Tổng cục Thuế, Tổng cục Quản lý đất đai...Sau đó, để tạo uy tín thực hiện hành vi lừa đảo, chúng giả danh công chức, viên chức nhà nước, liên hệ với người dùng qua nhiều hình thức như gọi điện, nhắn tin hoặc kết bạn qua các trang mạng xã hội. Chúng lấy các lý do hỗ trợ quyết toán thuế, cập nhật thông tin khai thuế, hỗ trợ thủ tục hoàn thuế, cập nhật thông tin về đất đai... để lừa người dân cài đặt ứng dụng giả mạo về điện thoại.
Theo các chuyên gia công nghệ, hai hình thức lừa đảo là giả mạo cán bộ, cơ quan chức năng và cài đặt ứng dụng giả mạo độc hại trên thiết bị của người dùng đã được sử dụng kết hợp. Bốn bước chính trong kịch bản lừa đảo được các nhóm đối tượng sử dụng gồm: Mạo danh cán bộ, viên chức cơ quan nhà nước yêu cầu nạn nhân hợp tác phục vụ công việc; hướng dẫn nạn nhân tải và cài đặt ứng dụng giả mạo; ứng dụng giả mạo kết nối và nhận lệnh từ máy chủ của nhóm tấn công; nhóm tấn công có thể theo dõi, đánh cắp từ xa dữ liệu trên thiết bị người dùng và từ đó dễ dàng chiếm đoạt tài sản của nạn nhân.
Nói cách khác, khi người dùng cài đặt các ứng dụng giả mạo này thì điện thoại bị nhiễm mã độc, tội phạm có thể theo dõi và điều khiển, kiểm soát điện thoại của người dùng từ xa, bao gồm các hoạt động như chụp màn hình, tự động mở khóa, thậm chí tự thao tác trên màn hình, đọc tin nhắn... từ đó, thu thập trái phép thông tin cá nhân của người dùng và đánh cắp thông tin về tài khoản, mật khẩu hoặc mã OTP, từ đó chiếm đoạt tiền trong tài khoản ngân hàng trên thiết bị của nạn nhân.
Một số loại mã độc tự động hiển thị quảng cáo trên điện thoại, một số khác có thể điều khiển điện thoại từ xa, tự đăng kí các dịch vụ trả tiền hoặc cho phép tin tặc truy cập vào ứng dụng ngân hàng.
Thực tế, hình thức lừa đảo, chiếm đoạt tài sản của người dùng bằng cách dụ cài App giả mạo có chứa mã độc là hình thức tấn công không mới. Tin tặc thường mạo danh một cơ quan, tổ chức để lừa người dùng cài ứng dụng giả mạo lên điện thoại. Ngoài ra, các ứng dụng giả mạo chủ yếu hoạt động trên hệ điều hành Android, đường link tải phần mềm nằm ngoài chợ ứng dụng CHPlay. Các điện thoại iPhone hiện không cho phép cài từ nguồn bên ngoài chợ ứng dụng Apple Store nên chưa bị tấn công theo dạng này.
Lừa đảo qua quét mã QR
Mã QR về mặt hiển thị có dạng hình vuông, chứa nhiều ô vuông nhỏ bên trong, được sắp xếp không theo quy tắc, nhằm "chứa" một nội dung nào đó, thường là đường link trang web hoặc đoạn mã dưới dạng văn bản. Mã QR xuất hiện cách đây nhiều năm và trở nên phổ biến từ dau đại dịch Covid-19 do nhu cầu tương tác không chạm.
Theo các chuyên gia, mã QR chỉ có thể được giải mã và hiển thị nội dung thông qua các máy quét chuyên dụng, hoặc phổ thông hơn là qua camera điện thoại thông minh. Mắt người không thể đọc được nội dung của mã và khó phân biệt được các QR khác nhau. Mã QR cũng giúp việc truy cập một đường link dễ dàng hơn việc phải gõ lại địa chỉ.
Tuy nhiên, lợi dụng yếu tố về mặt hiển thị nói trên và việc mã QR ngày càng trở lên phổ biến, các đối tượng tội phạm công nghệ cao đã tìm cách mã hóa các đường link hoặc số tài khoản giả mạo thành mã QR để lừa đảo người dùng. Nếu không để ý, khi thực hiện thao tác quét mã QR, người dùng có thể sẽ vô tình truy cập vào các đường link xấu, hoặc tự động chuyển tiền tới số tài khoản giả mạo mà không hay biết. Bởi so với đường link độc hại thông thường, mã QR có lợi thế là có thể chèn trực tiếp vào email, tin nhắn mà không bị các bộ lọc chặn lại, từ đó dễ dàng tiếp cận người dùng hơn.
Bên cạnh các hình thức lừa đảo bằng mã QR như: gửi link đăng nhập website giả mạo để lừa đảo nhằm chiếm đoạt tài khoản đăng nhập (username/password) ngân hàng điện tử hoặc thu thập các thông tin liên quan tới thẻ tín dụng; gửi mã QR qua mạng xã hội (Zalo, Facebook, Viber…) hòng chiếm đoạt tài sản của khách hàng; mã QR thanh toán tại các cửa hàng bị dán đè khiến tiền chuyển về tài khoản kẻ gian thì trong thời gian vừa qua còn xuất hiện hiện tượng mã QR độc hại bị phát tán dễ dàng trong các bài viết, hình ảnh thông qua các ứng dụng nhắn tin, diễn đàn, hội nhóm trên mạng xã hội. Khi người xem quét mã QR này, sẽ bị chuyển hướng đến các trang quảng cáo cờ bạc kèm mã độc có thể bị cài đặt vào điện thoại…Cụ thể, kẻ gian sau khi kết bạn qua mạng xã hội để trao đổi với nạn nhân sẽ gửi mã QR để người dùng quét. Mã này dẫn tới các website giả mạo ngân hàng, trong đó yêu cầu người dùng nhập thông tin như họ tên, số căn cước công dân, tài khoản, mã bí mật hoặc OTP, từ đó, người dùng bị chiếm tài khoản.
Ngoài các hình thức lừa đảo trên, mới đây, tình trạng gửi bưu phẩm tới nhà thông qua shipper, bên trong có thông báo trúng thưởng chứa mã QR. Người nhận sẽ được yêu cầu phải truy cập đường link trên mã QR và cung cấp thông tin cá nhân. Từ đó các đối tượng chiếm quyền điều khiển thiết bị, đánh cắp thông tin và chiếm đoạt tài sản.
Phối hợp các giải pháp ngăn chặn, xử lý tội phạm công nghệ cao
Về phía ngành Ngân hàng, việc đảm bảo an toàn thông tin, dữ liệu và tài khoản của khách hàng là nhiệm vụ quan trọng được ngành ngân hàng triển khai thường xuyên, liên tục, qua đó đảm bảo an toàn cho khách hàng, cho chính ngân hàng và vì mục tiêu an ninh tiền tệ quốc gia.
Thời quan qua, NHNN đã ban hành nhiều văn bản chỉ đạo các đơn vị trong ngành triển khai công tác bảo đảm an ninh an toàn thông tin, an toàn tài khoản khách hàng, đảm bảo quyền và lợi ích hợp pháp của người tiêu dung dịch vụ tài chính như: Ban hành Quyết định số 2345/QĐ-NHNN ngày 18/12/2023 về triển khai các giải pháp an toàn, bảo mật trong thanh toán trực tuyến và thanh toán thẻ ngân hàng có hiệu lực từ 01/7/2024, trong đó quy định yêu cầu đối chiếu xác thực sinh trắc học khách hàng với dữ liệu căn cước công dân gắn chíp, tài khoản VNeID... theo các hạn mức giao dịch quy định.
Bên cạnh đó, NHNN cũng chỉ đạo hệ thống ngân hàng đẩy mạnh công tác truyền thông nhằm nâng cao kiến thức, kỹ năng cho công chúng trong tiếp cận và sử dụng dịch vụ ngân hàng trên nền tảng số. NHNN đã phối hợp với Truyền hình Việt Nam (VTV) tổ chức các chương trình giáo dục tài chính (Tiền khéo tiền khôn, Tay hòm chìa khóa; Đồng tiền thông thái…), đồng thời phối hợp các đơn vị liên quan, cơ quan báo chí đẩy mạnh truyền thông với nhiều hình thức đa dạng, phong phú, trong đó có các kỹ năng về an toàn thông tin, dữ liệu cho người dân khi sử dụng các dịch vụ ngân hàng điện tử, trong sử dụng thẻ, nhận diện các hình thức lừa đảo của tội phạm công nghệ cao…
Ngoài ra, các ngân hàng thương mại cũng chú trọng đầu tư hạ tầng công nghệ bảo mật hiện đại, thường xuyên cập nhật, nắm bắt các thủ đoạn tấn công, lừa đảo; đồng thời tăng cường các biện pháp giám sát, theo dõi hoạt động của các hệ thống quan trọng để kịp thời phát hiện và chủ động xử lý; thường xuyên thực hiện công tác truyền thông về an toàn thông tin, kỹ năng khi sử dụng các dịch vụ ngân hàng điện tử. Các đơn vị trong ngành Ngân hàng đã phối hợp tích cực với các cơ quan chức năng Bộ Công an trong công tác điều tra, truy bắt tội phạm công nghệ cao, lừa đảo.
Thời gian tới, tình hình tội phạm công nghệ, lừa đảo diễn biến ngày càng tinh vi, phức tạp, trên quy mô toàn cầu đặt ra thách thức không nhỏ không chỉ với ngành Ngân hàng mà cả hệ thống tài chính-tiền tệ quốc gia. Do đó, cần sự phối hợp của các Bộ ngành liên quan trong việc bảo vệ dữ liệu cá nhân, trong điều tra và xử lý tội phạm nhằm đảm bảo an toàn thông tin, dữ liệu, tài khoản và quyền lợi hợp pháp của người tiêu dùng tài chính.
NHNN cũng tiếp tục hoàn thiện hành lang pháp lý nhằm tạo điều kiện cho phát triển thanh toán không dùng tiền mặt, số hóa ngân hàng và an ninh, an toàn thông tin. Bên cạnh đó, triển khai Đề án Phát triển ứng dụng dữ liệu về dân cư, định danh và xác thực điện tử phục vụ chuyển đổi số quốc gia giai đoạn 2022 - 2025, tầm nhìn đến năm 2030 (Đề án 06), Kế hoạch triển khai Đề án 06 giữa Bộ Công an và NHNN, từ đó làm sạch dữ liệu khách hàng, khai thác hiệu quả dữ liệu căn cước công dân gắn chip trong xác minh thông tin nhận biết khách hàng… đối với hoạt động mở, sử dụng tài khoản thanh toán/thẻ ngân hàng.
Về phía các ngân hàng thương mại, tổ chức cung ứng dịch vụ trung gian thanh toán cần tăng cường triển khai các biện pháp đảm bảo an ninh, an toàn, bảo mật dữ liệu thông tin, ngăn ngừa hành vi sử dụng, lợi dụng tài khoản thanh toán, thẻ ngân hàng... cho mục đích bất hợp pháp. Một việc không kém phần quan trọng là các ngân hàng phải đầu tư nhiều hơn nữa cho hạ tầng tài chính, đảm bảo giao dịch không bị gián đoạn và có khả năng phục hồi nhanh nhất ngay cả khi có sự cố xảy ra. Bên cạnh đó, các ngân hàng cần rà soát quy trình mở tài khoản thanh toán, phát hành thẻ ngân hàng, ví điện tử, ngăn ngừa nguy cơ lộ lọt thông tin, dữ liệu khách hàng. Sau nữa, cần tăng cường truyền thông tới khách hàng về các biện pháp bảo mật dữ liệu cá nhân, tránh rủi ro lộ lọt thông tin cá nhân khi thực hiện giao dịch trực tuyến.
Đối với bộ ngành liên quan: Bộ Công an tiếp tục phối hợp NHNN trong triển khai Đề án 06, trong phòng chống và xử lý tội phạm công nghệ cao. Bộ Thông tin và truyền thông tiếp tục chỉ đạo các cơ quan báo chí truyền thông nhằm nâng cao kỹ năng cho người dân trong sử dụng dịch vụ tài chính ngân hàng, cảnh báo các hình thức lừa đảo trực tuyến; phối hợp các Bộ ngành liên quan có giải pháp ngăn chặn, xử lý tình trạng lộ lọt thông tin và dữ liệu.
Kỹ năng an toàn thông tin và tài khoản cho người sử dụng dịch vụ ngân hàng
Khách hàng sử dụng dịch vụ ngân hàng trực tuyến cần lưu ý các khuyến cáo của cơ quan chức năng, của ngân hàng về các hình thức lừa đảo mới; tuân thủ các quy định, hướng dẫn của ngân hàng cung cấp dịch vụ giao dịch trực tuyến về an toàn bảo mật trong thanh toán trực tuyến.
Đối với mật khẩu truy cập dịch vụ giao dịch trực tuyến cần đặt mật khẩu khó đoán, đảm bảo quy tắc an toàn, thay đổi mật khẩu thường xuyên và không sử dụng các tính năng lưu mật khẩu để đăng nhập tự động. Không cung cấp tên, mật khẩu đăng nhập ngân hàng trực tuyến, mã xác thực (mã OTP) qua điện thoại, email, mạng xã hội, web… cho bất cứ ai, kể cả nhân viên ngân hàng. Các ngân hàng cho biết không yêu cầu khách hàng cung cấp thông tin số thẻ, số CVV2/CVC2 (3 số bảo mật ở mặt sau của thẻ tín dụng) hoặc bất kì thông tin bảo mật cá nhân nào khác của khách hàng qua zalo, số điện thoại không định danh. Trong trường hợp bị lộ hoặc nghi ngờ bị lộ tên đăng nhập/mật khẩu, khách hàng cần nhanh chóng thông báo tới ngân hàng để được hỗ trợ kịp thời. Trường hợp mất thẻ cần khóa thẻ trên ứng dụng ngân hàng điện tử hoặc thông báo tới ngân hàng càng sớm càng tốt, tránh nguy cơ mất tiền trong thẻ.
Để hạn chế bị lừa đảo cài các ứng dụng chứa mã độc, bị tin tặc tấn công lấy cắp thông tin và tiền trong tài khoản, người dân lưu ý: chỉ cài đặt ứng dụng VNeID từ nguồn chính thống trên App Store (đối với hệ điều hành iOS cho điện thoại iPhone) và CH Play (đối với hệ điều hành Android). Tuyệt đối không cài đặt VNeID từ nguồn ngoài, từ các đường link lạ; không bật chế độ cài đặt ứng dụng từ nguồn không xác định trên điện thoại, nguy cơ mất an toàn cho thiết bị; không cung cấp thông tin cá nhân của bản thân qua điện thoại.
Thực tế, cơ quan công an chỉ hỗ trợ kích hoạt định danh điện tử trực tiếp cho người dân, không hướng dẫn kích hoạt qua gọi điện thoại. Người dùng cần cảnh giác với những yêu cầu cài đặt phần mềm, đặc biệt là phần mềm trên Android. Tuyệt đối không cấp quyền hỗ trợ (Accessibility), bởi tất cả các ứng dụng của ngân hàng, thuế hay bất kì cơ quan nào khác đều không yêu cầu người dùng quyền này. Trường hợp nghi vấn, phải kiểm chứng thông tin bằng cách liên lạc lại với cơ quan chức năng thông qua số điện thoại chính thức được công bố.
Để hạn chế bị lừa đảo quét mã QR, người dùng cần hết sức cảnh giác, khi thực hiện các thao tác quét QR, cần phải kiểm tra rõ liên kết hoặc địa chỉ website; phải đảm bảo chắc chắn đấy là địa chỉ chúng ta muốn truy cập hay là tài khoản sẽ chuyển tiền thì mới thực hiện các thao tác tiếp theo. Người dùng cần đặc biệt cảnh giác với các mã QR được dán hoặc chia sẻ ở nơi công cộng hoặc gửi qua mạng xã hội, email; kiểm tra đường link xem có bắt đầu với “https” và tên miền quen thuộc hay không. Tuyệt đối không cung cấp thông tin cá nhân như tài khoản đăng nhập ngân hàng, tài khoản mạng xã hội. Sử dụng quy trình quản lý mật khẩu, xác thực 2 yếu tố và các phương thức bảo vệ khác cho tài khoản.
Hà Linh
.jfif)
.jpg)
