Lợi dụng nhu cầu mua sắm tiêu dùng tăng cao, kẻ gian sử dụng chiêu trò giả danh cán bộ ngân hàng để lấy cắp thông tin bảo mật thẻ, tài khoản như mật khẩu và mã số OTP, từ đó chiếm đoạt tiền của khách hàng. Một trong những hình thức mới nhất là gọi điện giả danh cán bộ nhân viên ngân hàng "mời" rút tiền qua thẻ tín dụng, hoàn phí dịch vụ thường niên, chuyển đổi hình thức sử dụng.
Giả nhân viên ngân hàng để rút 15 triệu trong thẻ VISA
Khoảng 16h chiều ngày 1/3/2022, chị N.T. T (quận Hoàn Kiếm, Hà Nội) nhận được điện thoại của một người tự giới thiệu là nhân viên ngân hàng Techcombank. Người này cho biết, ngân hàng đang có chính sách hoàn phí dịch vụ thường niên thẻ tín dụng cho những khách hàng mới sử dụng và ít dùng thẻ này. Người này sau đó yêu cầu chị T. xác nhận 3 số cuối trên thẻ tín dụng và đọc số CMND.
“Khi nhận được cuộc gọi, tôi không nghi ngờ vì trước đó, nhân viên làm thẻ tín dụng của Techcombank có thông báo sau 3 tháng, nếu chi tiêu từ 500.000 trở lên sẽ được hoàn lại phí thường niên. Tài khoản giả mạo gọi đến và tư vấn đúng nội dung này, nói tài khoản của tôi mới đăng ký, ít giao dịch nên sẽ thuộc nhóm được hoàn lại tiền. Sau đó yêu cầu xác nhận 4 số cuối trong thẻ tín dụng, kẻ này cũng tự đọc 12 số đầu trong thẻ yêu cầu tôi xác nhận đúng không và đúng như vậy”- Chị T. kể lại.
Sau khi cuộc gọi kết thúc, chị T. kiểm tra tài khoản và phát hiện bị trừ 15 triệu đồng từ tài khoản tín dụng.
Theo chị T. tin nhắn báo về cho thấy kẻ này đã thực hiện giao dịch thông qua ví điện tử ALEPAY. (Cụ thể tin nhắn thông báo: Chi tiêu: 15.000.000 VNĐ vào 1/3 tại NL-ALEPAY*bactom1…). Số điện thoại đã gọi đến cho chị là: 0366177315, số điện thoại này có đăng ký tài khoản zalo với tên Tuyết Nhung, để ảnh đại diện là quầy giao dịch Techcombank.
Chị T., cho biết, từ khi làm thẻ tín dụng, chị mới sử dụng vài lần để thanh toán tại siêu thị Vinmart. Và điều chị băn khoăn là tại sao kẻ lừa đảo lại có 12 số đầu trong thẻ tín dụng của chị, thông tin này bị lộ do những lần thanh toán tại siêu thị hay chính hệ thống ngân hàng đang có những lỗ hổng làm lộ thông tin khách hàng?
“Với hành vi lừa đảo tinh vi như trên, tôi tin rằng không chỉ riêng mình tôi mà có thể nhiều khách hàng khác cũng đang vô tình bị mất tiền một cách oan uổng”- chị T. nói.
Khách hàng phải bảo vệ được các thông tin về tài khoản và mã OTP
Ông Ngô Cao Đại, Giám đốc an ninh mạng của SecurityBox cho rằng, đây là 1 cuộc tấn công lừa đảo người dùng thông qua các kỹ thuật xã hội (Social Engineering) mà cụ thể hơn là kỹ thuật Phising.
Thông thường, với kỹ thuật tấn công ngày, hacker cần có thông số tài khoản (đôi khi là số điện thoại đối với 1 số ngân hàng), mật khẩu đăng nhập và mã OTP khi thực hiện giao dịch.
Với những thông tin đó, hacker sẽ chia ra làm 3 giai đoạn tấn công chính:
Giai đoạn 1 thu thập thông tin xã hội của nạn nhân (Gathering Information): Có thể là thông tin số điện thoại, thông tin số thẻ tín dụng mà thu thập được trên mạng xã hội hoặc trên website có thể do nạn nhận thực hiện việc mua bán online mà vô tình để lộ các thông tin về tài khoản ngân hàng này.
Giai đoạn 2, dùng các kĩ thuật xã hội để lừa nạn nhân (Phising): Sau khi có các thông tin về họ tên, số tài khoản ngân hàng và số điện thoại của nạn nhân, Hacker sẽ dựa vào các kỹ thuật khai thác tâm lý xã hội của nạn nhân để lừa nạn nhân cung cấp thông tin nhạy cảm là mật khẩu như: để đăng nhập lại tài khoản đã bị khóa hoặc để nhận một khoản tiền thưởng lớn hoặc dựa vào các vấn đề nổi cộm gần đây như là hoàn trả phí SMS Banking.
Giai đoạn 3 tiếp tục lừa lấy mã OTP để chiếm đoạt tiền trong tài khoản: Sau khi có thông tin tài khoản và mật khẩu, Hacker sẽ tiến hành gửi tiền từ tài khoản nạn nhân đến các ví điện tử hoặc tài khoản che dấu thân phận. Ở bước này, hacker sẽ yêu cầu nạn nhân gửi thông tin OTP cho hacker.
“Có 1 số thủ đoạn tinh vi hacker giả mạo nhà mạng lừa người dùng chuyển sim 3G sang sim 4G nếu không sẽ bị khóa số, đồng thời thực hiện 1 số biện pháp lừa đảo để chuyển số điện thoại sang sim của đối tượng và sau đó hacker có thể lấy được mật khẩu Ebank. Những bước tấn công trên đều sử dụng các kỹ thuật xã hội để lừa đảo và không phải là lỗ hổng từ phía ngân hàng”- ông Ngô Cao Đại lưu ý.
Để đảm bảo an toàn khi sử dụng các tài khoản ngân hàng, ví điện tử, ông Ngô Cao Đại, Giám đốc an ninh mạng của SecurityBox cho rằng, phía các đơn vị Ngân hàng luôn luôn tìm cách cải thiện 3 yếu tố là quy trình, công nghệ và con người để bảo vệ khách hàng của họ. Tuy nhiên điều quan trọng nhất là khách hàng phải bảo vệ được các thông tin về tài khoản và mã OTP của mình.
Để bảo vệ mình trước các cuộc tấn công lừa đảo ngày càng tinh vi, theo ông Đại mọi người nên chú ý các điều sau: Không truy cập các đường dẫn, website không có cơ chế bảo mật kênh truyền HTTPS. Không truy cập các đường dẫn, website lạ trực tiếp từ email, hay tin nhắn lạ. Không đăng nhập vào tài khoản ngân hàng từ các thiết bị lạ, các thiết bị công cộng.
“Tuyệt đối không cung cấp thông tin tài khoản, mật khẩu, OTP, mã PIN hay mã CVV2 cho bất kỳ ai, kể cả nhân viên ngân hàng cũng không được phép yêu cầu những thông tin này. Nâng cao cảnh giác đối với các tin nhắn, email hoặc cuộc gọi tự nhận là ngân hàng và yêu cầu cung cấp thông tin nhạy cảm. Khi có nghi vấn về lừa đảo thì liên hệ với ngân hàng chủ quản để hỏi rõ thông tin”- ông Đại nhấn mạnh.