Thượng tá công an vạch mặt thủ đoạn lừa đảo tin nhắn mạo danh ngân hàng

Vừa qua, chị B.T.T.H. (ở quận Đống Đa, Hà Nội) đăng bài cảnh báo về một thủ đoạn mà các đối tượng đưa ra để lừa đảo chiếm đoạt tiền trong ngân hàng. Theo đó, chồng chị H. nhận được tin nhắn từ đầu số "VietcomBank" với nội dung: "Ứng dụng VCB Digibank của bạn được phát hiện kích hoạt trên thiết bị lạ", kèm đường link yêu cầu đăng nhập "để đổi thiết bị hoặc hủy để tránh mất tài sản".

Sau khi nhập tên tài khoản và mật khẩu ngân hàng, chuẩn bị bấm nút "đăng nhập", chồng chị H. phát hiện tên miền ngân hàng có thêm đoạn ký tự "ms.top", không giống tên miền chính thức. Khi liên lạc với nhân viên ngân hàng, chị H. được thông báo đây là một chiêu thức lừa đảo mới.

Điều đáng nói, tin nhắn từ đối tượng lừa đảo xuất hiện trong luồng tin nhắn của ngân hàng, dễ gây nhầm lẫn rằng đó là tin nhắn do nhà băng gửi.

Thủ đoạn tinh vi

Trước vụ việc trên, trao đổi với Dân trí, Thượng tá, tiến sĩ Đào Trung Hiếu (chuyên gia tội phạm học) đưa ra một số quan điểm.

Theo ông Hiếu, khi mở tài khoản ngân hàng, người dân thường đăng ký số điện thoại di động cá nhân, để thiết lập chế độ nhận thông báo từ ngân hàng khi tài khoản có biến động về số dư.

Để thực hiện việc này, các ngân hàng sẽ đăng ký độc quyền tin nhắn định danh thương hiệu (SMS Brand name) tại các nhà mạng viễn thông và sử dụng làm dịch vụ gửi tin nhắn, gọi điện hàng loạt đến các khách hàng để chăm sóc, quảng bá hình ảnh, thông báo nội dung, chính sách mới… tới tệp khách hàng của mình. 

Vì vậy, vị chuyên gia nhận định, người dân sẽ có suy nghĩ những tin nhắn định danh là thông báo chính thức của cơ quan, tổ chức.

"Lợi dụng đặc điểm tâm lý của người dân là luôn tin tưởng vào nội dung các tin nhắn định danh của ngân hàng nơi mở tài khoản, mà thủ đoạn lừa đảo mạo danh tin nhắn ngân hàng đã xuất hiện", ông Hiếu nói.

Thủ đoạn của các đối tượng lừa đảo, theo vị thượng tá, là cài cắm các thông tin "giật gân", hấp dẫn như thông báo trúng thưởng, hay nâng cấp hệ thống nền tảng, nhất là báo tin tài khoản của khách hàng đang có dấu hiệu bị tấn công để tạo ra tâm lý sợ hãi… 

Mục tiêu của chúng là yêu cầu "con mồi" truy cập vào đường link dẫn đến một website có giao diện y chang như trang web chính thức của ngân hàng, chỉ khác một hoặc một số ký tự trên đường dẫn.

"Khi làm theo yêu cầu và truy cập vào trang giả mạo, người dân sẽ khai thông tin đăng nhập, mật khẩu, mã OTP, để rồi bị chiếm đoạt quyền quản trị tài khoản ngân hàng ngay tức khắc. Sau đó, đối tượng sẽ thực hiện các giao dịch để chuyển đi toàn bộ số tiền đang có trong tài khoản của nạn nhân", ông Hiếu cho hay.

Theo vị chuyên gia, một thủ đoạn tinh vi của loại tội phạm này là gửi các tin nhắn chủ yếu vào lúc ngân hàng không hoạt động, như vào ban đêm, rạng sáng, ngày cuối tuần, hay dịp lễ, tết… Bởi, thời điểm này, người dân không thể xác thực thông tin. 

"Thời gian qua thủ đoạn tội phạm này đã xảy ra tại rất nhiều địa phương. Các đơn vị nghiệp vụ của Bộ Công an đã đưa ra cảnh báo người dân về thủ đoạn phạm tội nguy hiểm này. Nhưng hiện nay, các ngân hàng và nhà cung cấp dịch vụ chưa có giải pháp hữu hiệu nào để phòng chống, ngoài việc tăng cường cảnh báo xã hội", ông Hiếu nói.

Thủ thuật nguy hiểm

Đưa ra nhận định về phương thức giúp các tin nhắn lừa đảo "trà trộn" vào luồng tin nhắn "chính chủ", ông Hiếu cho rằng, tội phạm có khả năng sử dụng thiết bị công nghệ hiện đại, có tính năng như một trạm thu phát sóng di động.

Thiết bị này có thể can thiệp vào hệ thống tin nhắn liên lạc giữa ngân hàng và khách hàng, nhằm chèn vào đó những tin nhắn giả mạo dưới tên của ngân hàng bất kỳ, nơi khách mở tài khoản. 

Theo tìm hiểu của Thượng tá Đào Trung Hiếu trên các diễn đàn công nghệ, có 3 phương thức để "hacker" xâm nhập vào hệ thống SMS Brandname của ngân hàng.

Một là, hacker sẽ dùng thiết bị, thủ thuật đó để chen vào giữa quá trình gửi/nhận SMS, lấy được các gói tin nhắn từ nhà mạng gửi tới, chỉnh sửa nội dung rồi mới tiếp tục gửi đến khách hàng. Tuy nhiên, đây lại là cách ít khả thi nhất.

Hai là, hacker sẽ tấn công trực tiếp vào hệ thống của đơn vị cung cấp SMS OTP cho ngân hàng, sau đó kiểm soát và thay đổi nội dung gửi đến người dùng.

Ba là, hacker sử dụng giấy tờ giả, đăng ký một tổng đài khác cũng có tên giống với các ngân hàng ở Việt Nam, được đăng ký tại Việt Nam hoặc nước ngoài để gửi tin nhắn đến người dùng. Lúc này, tin nhắn lừa đảo sẽ được điện thoại gom chung vào một luồng tin nhắn dưới tên ngân hàng, khiến nạn nhân không thể phân biệt được đâu là thật, giả.

Đưa ra lời khuyên, chuyên gia tội phạm học nhấn mạnh, trước hết, người dân cần nắm rõ địa chỉ trang web chính thức của ngân hàng và chỉ nên truy cập Internet Banking của ngân hàng theo đường dẫn chính thức hoặc sử dụng ứng dụng Mobile Banking của ngân hàng để thực hiện các giao dịch qua tài khoản. 

Bên cạnh đó, ông Hiếu lưu ý, các ngân hàng sẽ không gửi tin nhắn SMS đi kèm các đường link đăng nhập dịch vụ Digibank. Do đó, các tin nhắn có đường link đăng nhập dịch vụ đều là giả mạo.

"Trước khi truy cập và điền thông tin, cần kiểm tra kỹ đường dẫn (link) của trang web. Nếu thấy có các ký tự bất thường trên đường link thì cần hiểu rằng đó là trang giả mạo", vị thượng tá nói.

Một số chi tiết đặc biệt quan trọng mà ông Hiếu khuyến cáo đó là mã OTP, số tài khoản, số thẻ tín dụng... không được để lộ hoặc cung cấp, điền vào những website lạ, không rõ nguồn gốc. Ngoài ra, người dân cũng không nên cài đặt các ứng dụng chưa được xác thực; không cho mượn hoặc cho thuê thông tin cá nhân để mở thẻ, tài khoản ngân hàng.

Trường hợp trót bấm vào đường link và bị lộ thông tin, ông Hiếu cho biết, người dân cần khóa dịch vụ Digibank khẩn cấp bằng tin nhắn với cú pháp do bộ phận chăm sóc khách hàng của ngân hàng đó cung cấp, hoặc đến các điểm giao dịch (trong giờ hành chính) để được hỗ trợ.

"Khi xảy ra rủi ro mất tiền hoặc trong tình huống nghi ngờ bị lừa đảo, người dân cần chủ động khóa tài khoản, thay đổi mật khẩu đăng nhập Internet Banking, Mobile Banking; liên hệ ngay với ngân hàng hoặc đến điểm giao dịch gần nhất yêu cầu tạm khóa dịch vụ thẻ ngân hàng điện tử, đồng thời liên hệ, trình báo ngay với công an địa phương để kịp thời điều tra", Thượng tá Đào Trung Hiếu đưa ra lời khuyên.