Gần đây, các cơ quan chức năng đã phát hiện một thủ đoạn lừa đảo mới, trong đó kẻ gian giả mạo nhân viên ngân hàng để chiếm đoạt tài sản của người dân.

Thủ đoạn lừa đảo tinh vi

Cảnh báo lừa đảo gọi điện thông báo mở tài khoản ngân hàng bị khóa (Ảnh: VTV)

Ngân hàng TMCP Hàng Hải Việt Nam (MSB) vừa đưa ra cảnh báo về thủ đoạn lừa đảo hỗ trợ mở mật mã tài khoản thanh toán trên ngân hàng điện tử. Theo đó, thủ đoạn nhằm chiếm đoạt tài sản của khách hàng và lợi dụng Quy định Xác thực giao dịch bằng khuôn mặt (Face ID) sẽ được các đối tượng xấu thực hiện như sau: Chúng cố tình nhập sai mật khẩu nhiều lần (quá 5 lần) để khóa tài khoản ngân hàng bị khóa. Sau đó, các đối tượng xấu sẽ giả danh nhân viên ngân hàng, liên hệ để “hỗ trợ” mở khóa.

Tiếp đó, các đối tượng này sẽ dụ dỗ khách hàng truy cập link giả, tải app độc hại để chiếm quyền kiểm soát điện thoại, OTP và tin nhắn SMS. Lợi dụng sinh trắc học (khuôn mặt) để xác nhận giao dịch trái phép.

Năm 2023, nhóm điều tra CyProtek thuộc dự án Chống Lừa Đảo nhận được hàng loạt phản ánh từ người dùng về việc tài khoản ngân hàng bị khóa đột ngột mà không rõ lý do. Các nạn nhân đều kể một câu chuyện tương tự nhau: Sau khi tài khoản bị khóa, họ nhận được cuộc gọi từ một "nhân viên ngân hàng", yêu cầu cung cấp mã OTP để khôi phục. Chỉ vài phút sau, tài sản trong tài khoản "bốc hơi".

Một tài khoản ngân hàng bị tạm khoá trong 30 phút do nhập sai mật khẩu 5 lần (dù đang trên một thiết bị mới hoàn toàn). (Ảnh: CyProtek)

Phân tích ban đầu cho thấy, đây không phải là những sự cố đơn lẻ. Nó nằm trong một chiến dịch lừa đảo có quy mô lớn, nhắm đến các ngân hàng tại Việt Nam. Nhóm CyProtek quyết định vào cuộc, đặt mã hiệu điều tra là 23xPH03NIX, một phần của chiến dịch tấn công mạng quốc tế mang tên GoldFactory.

Theo điều tra, hacker bắt đầu bằng việc thu thập thông tin của nạn nhân từ các nguồn dữ liệu bị rò rỉ hoặc chợ đen trực tuyến bao gồm số điện thoại, email, tên đăng nhập, thậm chí cả mật khẩu. Đáng nói, nhiều dữ liệu được chính nạn nhân vô tình để lộ qua mạng xã hội hoặc các nền tảng trực tuyến thiếu bảo mật.

Khi có đủ thông tin, hacker đăng nhập vào tài khoản ngân hàng của nạn nhân. Chúng cố tình nhập sai nhiều lần để tài khoản bị khóa. Đây chính là "nút thắt" hoàn hảo để bắt đầu kịch bản lừa đảo.

Khi tài khoản bị khóa, nạn nhân sẽ nhận được một cuộc gọi từ người tự xưng là nhân viên ngân hàng. Người này thông báo rằng tài khoản bị khóa do nghi ngờ có hoạt động bất thường. Họ nhanh chóng cung cấp thông tin chính xác về tài khoản của nạn nhân - từ số tài khoản, giao dịch gần đây - để tạo lòng tin.

Sau đó, hacker yêu cầu nạn nhân cung cấp mã OTP để “xác minh và mở lại tài khoản” thông qua một trang web giả mạo nhằm chiếm đoạt tài khoản ngân hàng. Trong trạng thái hoang mang, phần lớn nạn nhân không hề nghi ngờ và làm theo. Nhưng khi mã OTP được gửi đi, hacker ngay lập tức thực hiện các giao dịch chuyển tiền hoặc chiếm đoạt tài sản.

Tại Hà Nội, chị T.D, một khách hàng của VietinBank cho biết, mới đây chị nhận được một cuộc gọi tự xưng nhân viên Tổng đài 24/7 của VietinBank, thông báo tài khoản của chị đã bị khóa và yêu cầu làm theo hướng dẫn để mở lại tài khoản. Nghĩ là lừa đảo nên chị Dung tắt máy.

Tuy nhiên, khi cần giao dịch, mở app ngân hàng thì chị phát hiện đúng là tài khoản của mình bị khóa thật. Nghĩ cuộc gọi trước đúng là của nhân viên ngân hàng nên chị gọi lại số điện thoại đó để nghe hướng dẫn. Sau khi truy cập link và làm theo hướng dẫn của đối tượng, chị nhận được tin nhắn SMS của VietinBank, thông báo đổi mật khẩu. Sau đó đối tượng yêu cầu cung cấp số điện thoại và xác thực căn cước công dân.

Rất may, đến bước này chị Dung đã kịp thời dừng lại, do nhớ rằng trước đó đã đọc được thông tin ngân hàng cảnh báo không cung cấp mã OTP cho bất kỳ ai.

Đối tượng lừa đảo cố tình nhập khẩu sai mật khẩu khiến tài khoản ngân hàng điện tử của khách hàng bị khóa. (Ảnh: ANTĐ)

Tương tự, chị N.A.H (Hà Nội) cũng chia sẻ mới đây, chị bỗng nhận được thông báo tài khoản ngân hàng bị khóa. Khi tra mã lỗi thì được biết tài khoản bị khóa do có người đã dùng khuôn mặt của chị để đăng nhập tài khoản nhiều lần nhưng không thành công. Tá hỏa, chị vội gọi lên tổng đài thì được cho biết tài khoản chị không có vấn đề gì và chị được nhân viên ngân hàng thực hiện cấp lại mật khẩu mới.

Theo ông Ngô Minh Hiếu, đồng sáng lập dự án Chongluadao.vn, đây là một trong nhiều kịch bản được hacker sử dụng để lừa nạn nhân tải về các ứng dụng giả mạo chứa mã độc. Cụ thể, hacker thu thập và mua thông tin trên các chợ đen giao dịch dữ liệu hoặc tìm kiếm dữ liệu công khai bị lộ do chính người dùng đăng tải trên các mạng xã hội. Tiếp đó, hacker sử dụng tên đăng nhập và mật khẩu từ tệp dữ liệu lộ lọt để thử đăng nhập các tài khoản liên quan. Trong một số trường hợp, chúng có thể truy cập thành công, cho phép xem số dư tài khoản và thu thập thêm thông tin cá nhân của nạn nhân (tất nhiên là không chuyển tiền ra được vì cần mã OTP hoặc sinh trắc học).

Kẻ lừa đảo vào ứng dụng ngân hàng bằng tên đăng nhập của nạn nhân, cố tình nhiều lần nhập sai mật khẩu để khiến tài khoản bị khóa. Sau đó, hacker và các đồng phạm sẽ giả danh nhân viên ngân hàng gọi điện trực tiếp, yêu cầu nạn nhân làm một số thao tác như tải ứng dụng hoặc quét mã để mở lại tài khoản. Việc biết số điện thoại của người sở hữu tài khoản không có gì khó khăn đối với nhóm lừa đảo bởi thông tin cá nhân, bao gồm số điện thoại, thường bị giao dịch tràn lan trên thị trường chợ đen. Khi thao túng thành công tâm lý của nạn nhân bằng các kịch bản được chuẩn bị kỹ lưỡng, nhóm lừa đảo sẽ bắt đầu dẫn dụ nạn nhân tải ứng dụng độc hại thông qua đường link giả hoặc quét mã QR chứa mã độc và chiếm quyền kiểm soát thiết bị, tài khoản để lấy tiền.

Việc biết số điện thoại của bạn không phải là trở ngại lớn, bởi thông tin cá nhân thường được giao dịch tràn lan trên thị trường chợ đen. (Ảnh: CyProtek)

Hiện các nhóm tội phạm công nghệ cao thường chuyển tiền khỏi tài khoản của nạn nhân qua các giao dịch nhỏ dưới 10 triệu đồng/lần, đảm bảo tổng số giao dịch trong ngày không vượt quá 20 triệu đồng để tránh các bước xác minh sinh trắc học hoặc bảo mật nâng cao. Để làm được điều này, hacker gửi cho nạn nhân đường link dẫn đến trang web giả mạo, thiết kế giống hệt website chính thức của ngân hàng hoặc tổ chức tài chính. Khi nạn nhân nhập thông tin tài khoản, hacker sử dụng kỹ thuật theo dõi thời gian thực để nắm bắt dữ liệu, bao gồm: Tên đăng nhập và mật khẩu, mã OTP được gửi qua tin nhắn văn bản SMS hoặc email, mã PIN dùng cho SmartOTP, ảnh chụp mặt trước và sau của thẻ tín dụng, hình ảnh CCCD hoặc giấy tờ tùy thân khác. Hacker tiếp tục điều hướng các thao tác trên website giả mạo, thực hiện các hành động chuyển khoản hoặc lấy thêm thông tin cần thiết cho các giao dịch tiếp theo.

Chưa hết, hacker còn có thể sử dụng các kịch bản tinh vi hơn để lừa đảo chiếm đoạt số tiền lớn, nhắm vào người dùng Android bằng cách giả mạo các tổ chức uy tín và dẫn dụ nạn nhân tải ứng dụng độc hại. Chẳng hạn như giả danh Công an (VNEID), Bảo hiểm xã hội (VSSID), Điện lực (EVN), Cục Thuế (ETax Mobile), Dịch vụ công trực tuyến…và thông qua điện thoại, Zalo, các app OTT, email, hoặc tin nhắn, tạo cảm giác cấp bách, yêu cầu nạn nhân cài ứng dụng giả mạo hoặc yêu cầu tải ứng dụng có đuôi .apk (dành cho hệ điều hành Android). Sau khi nạn nhân cài đặt ứng dụng, hacker sẽ theo dõi toàn bộ hoạt động trên thiết bị, thu thập thông tin nhạy cảm, bao gồm mật khẩu, OTP, hoặc mã PIN, thực hiện các giao dịch lớn hoặc chiếm đoạt tài khoản.

Lời khuyên từ các chuyên gia và cơ quan chức năng

Đề phòng ngừa với thủ đoạn trên, Phòng An ninh mạng và phòng chống tội phạm sử dụng công nghệ cao, Công an thành phố Hà Nội đề nghị người dân cảnh giác, tuyệt đối không cung cấp thông tin cá nhân như: Căn cước công dân, mật khẩu tài khoản ngân hàng, mã OTP,... cho người lạ, đối tượng không quen biết. Trường hợp phát hiện có dấu hiệu lừa đảo, người dân cần liên hệ ngay với cơ quan Công an để kịp thời giải quyết theo quy định.

Người dân tuyệt đối không cung cấp thông tin cá nhân như: Căn cước công dân, mật khẩu tài khoản ngân hàng, mã OTP,... cho người lạ, đối tượng không quen biết.

Ngân hàng TMCP Hàng Hải Việt Nam (MSB) khuyến cáo khách hàng cần cẩn trọng bảo vệ thông tin cá nhân và tài khoản như sau:

- Chỉ tải ứng dụng MSB mBank từ Google Play (Android) hoặc App Store (iOS).

- Tuyệt đối không cung cấp OTP, mã PIN Soft Token, mật khẩu cho bất kỳ ai.

- Không chia sẻ giấy tờ tùy thân, hình ảnh gương mặt hoặc gọi video với người lạ.

- Cẩn trọng với các cuộc gọi lạ, chỉ nhận hướng dẫn từ kênh chính thức.

Trao đổi với PV Báo Tri thức và Cuộc sống, luật sư Nguyễn Ngọc Hùng - Trưởng Văn phòng luật sư Kết Nối (Đoàn luật sư TP Hà Nội) cho biết, trong thời gian gần đây, mạng xã hội lan truyền thông tin cho rằng khi các đối tượng tội phạm có thể biết số tài khoản ngân hàng và cố tình đăng nhập sai mật khẩu nhiều lần để làm khóa tài khoản. Sau đó, gọi điện tự xưng là nhân viên ngân hàng thông báo tài khoản bị khóa và yêu cầu làm theo hướng dẫn để cấp lại mật khẩu. Và bằng các này, các đối tượng tội phạm sẽ gửi cho nạn nhân một đường link giả mạo, yêu cầu nạn nhân truy cập để “mở khóa” tài khoản. Thực chất, đường link này chứa mã độc, đánh cắp mọi thông tin cá nhân, mật khẩu... của nạn nhân khi truy cập. Sau khi chiếm được thông tin, chúng nhanh chóng chuyển toàn bộ số tiền trong tài khoản của nạn nhân về tài khoản của mình.

Sự phát triển mạnh mẽ của cuộc cách mạng 4.0, khoa học công nghệ và chuyển đổi số toàn diện mang lại nhiều tiện ích với cuộc sống nhưng đồng thời cũng là cơ hội để tội phạm công nghệ cao lợi dụng, thực hiện các hành vi lừa đảo, chiếm đoạt tài sản.

Luật sư Nguyễn Ngọc Hùng - Trưởng Văn phòng luật sư Kết Nối (Đoàn luật sư TP Hà Nội).

Hành vi phạm tội trên đã dùng các thủ đoạn công nghệ, kỹ thuật để lừa đảo đánh cắp, chiếm đoạt thông tin, tài sản của người khác. Theo khoản 1 Điều 3 Nghị định 25/2014/NĐ-CP, tội phạm có sử dụng công nghệ cao là hành vi nguy hiểm cho xã hội được quy định trong Bộ luật Hình sự có sử dụng công nghệ cao. Tội phạm công nghệ cao hiện nay được xếp vào nhóm các tội phạm trong lĩnh vực công nghệ thông tin, mạng viễn thông từ Điều 285 đến Điều 294 Bộ luật Hình sự 2015 (sửa đổi, bổ sung 2017). Cụ thể, tại Điều 290 Bộ luật Hình sự 2015 (sửa đổi, bổ sung 2017) quy định Tội sử dụng mạng máy tính, mạng viễn thông, phương tiện điện tử thực hiện hành vi chiếm đoạt tài sản có thể bị phạt cải tạo không giam giữ đến 03 năm hoặc phạt tù từ 06 tháng đến 20 năm. Đồng thời, người phạm tội còn có thể bị phạt tiền từ 20.000.000 đồng đến 100.000.000 đồng, cấm đảm nhiệm chức vụ, cấm hành nghề hoặc làm công việc nhất định từ 01 năm đến 05 năm hoặc tịch thu một phần hoặc toàn bộ tài sản.

Bên cạnh đó, Nghị định 25/2014/NĐ-CP cũng định nghĩa vi phạm pháp luật khác có sử dụng công nghệ cao là hành vi vi phạm pháp luật có sử dụng công nghệ cao nhưng chưa đến mức truy cứu trách nhiệm hình sự. Người vi phạm quy định về sử dụng mạng nhằm chiếm đoạt tài sản có thể bị xử phạt hành chính theo Điều 81 Nghị định 15/2020/NĐ-CP từ từ 30.000.000 đồng đến 100.000.000 đồng. Ngoài phạt tiền, người vi phạm còn có thể bi áp dụng phạt bổ sung là tịch thu tang vật, phương tiện vi phạm hành chính đối với hành vi vi phạm quy định tại khoản 2 Điều 81 Nghị định 15/2020/NĐ-CP.

Trước việc một số đối tượng tội phạm sử dụng công nghệ cao, mạng xã hội, hoạt động tinh vi, xảo quyệt để lừa đảo, chiếm đoạt tài sản khuyến cáo mọi người cần phải nâng cao tinh thần cảnh giác, tự bảo vệ bản thân trước tội phạm mạng bằng cách đặt mật khẩu, khóa mật khẩu, cơ sở dữ liệu, thông tin cá nhân, thông tin tài khoản và hệ thống thiết bị công nghệ cao của mình. Đồng thời, tuyệt đối không cung cấp tên đăng nhập, mật khẩu, mã OTP… cho bất kỳ ai, kể cả người tự xưng là nhân viên ngân hàng, cơ quan chức năng qua điện thoại và mạng Internet. Không truy cập, đăng nhập, tải các web, đường link được gửi từ người lạ, không rõ nguồn gốc…