Giả mạo SMS Brand name - độc chiêu "hack" tài khoản ngân hàng

Trao đổi với PV, chuyên gia tội phạm học TS Đào Trung Hiếu, cho hay, thủ đoạn giả mạo tin nhắn thương hiệu của ngân hàng, đang hoành hành và danh sách nhân tiếp tục nối dài. Khi mở tài khoản ngân hàng, người dân thường đăng ký số điện thoại di động cá nhân, để thiết lập chế độ nhận thông báo từ ngân hàng khi tài khoản có biến động về số dư.

Chuyên gia tội phạm học chỉ ra độc chiêu “hack” tài khoản ngân hàng mà ai cũng cần biết - Ảnh 1.

Chuyên gia tội phạm chỉ ra độc chiêu “hack” tài khoản ngân hàng - Ảnh 1.

Chuyên gia tội phạm học TS Đào Trung Hiếu

Theo TS Hiếu, tin nhắn định danh thương hiệu (SMS Brand name) được các tổ chức ngân hàng đăng ký độc quyền tại các nhà mạng viễn thông và sử dụng làm dịch vụ gửi tin nhắn, gọi điện hàng loạt đến các khách hàng để chăm sóc, quảng bá hình ảnh, thông báo nội dung, chính sách mới… đến tệp khách hàng của mình.

Khi tin nhắn, cuộc gọi Brand name đã được đăng ký tại các nhà mạng, thì các tổ chức, cá nhân khác không được phép đăng ký trùng tên thương hiệu. Bởi vậy mà những tin nhắn định danh thường là thông báo chính thức của cơ quan, tổ chức.

Lợi dụng đặc điểm tâm lý của khách hàng là luôn tin tưởng vào nội dung các tin nhắn định danh (SMS Brand name) của ngân hàng nơi mở tài khoản, mà thủ đoạn lừa đảo mạo danh tin nhắn ngân hàng đã xuất hiện.

Trong tin nhắn, chúng cài cắm các thông tin “giật gân”, hấp dẫn như thông báo trúng thưởng, hay nâng cấp hệ thống nền tảng, nhất là báo tin tài khoản của khách hàng đang có dấu hiệu bị tấn công để tạo ra tâm lý sợ hãi…Chẳng hạn, nhiều người đã nhận được tin nhắn có tên hiển thị giống ngân hàng đang sử dụng với nội dung: "Chúng tôi phát hiện tài khoản của bạn đang tiêu dùng ở nước ngoài. Nếu không phải bạn đang tiêu dùng vui lòng nhập vào đường link dưới đây để hủy thanh toán….".

Chuyên gia tội phạm chỉ ra độc chiêu “hack” tài khoản ngân hàng - Ảnh 2.

Đối tượng giả mạo trang website (lưu ý tên miền đuôi .com là máy chủ ở nước ngoài)

Giao diện trang website giống "y hệt" của ngân hàng, nhưng tên miền có đuôi .top/.xyz (không phải máy chủ ở Việt Nam)

Cũng theo TS Hiếu lý do đối tượng đưa ra với người dùng rất đa dạng, nhưng dù với lý do gì thì cuối cùng vẫn là yêu cầu khách hàng truy cập vào đường link dẫn đến một website có giao diện y chang như trang web chính thức của ngân hàng, chỉ khác một hoặc một số ký tự trên đường dẫn mà phải tinh mắt và để ý lắm mới nhận ra. Chẳng hạn, ngân hàng ngoại thương Việt Nam Vietcombank (địa chỉ trang chủ: https://portal.vietcombank.com.vn) từng đưa ra cảnh báo về các giả mạo có đường link với các ký tự bất thường như: https://vietcombank.comvn-br.xyz; https://vietcombank.comvn-br.top; https://vietcombank.vn-vn.top; http://vietcombank.vn-vc.top; https://vietcombank.com.vn-vc.xyz; https://vietcombank.com.vn-br.tob...

Khi làm theo yêu cầu và truy cập vào trang giả mạo, khách hàng sẽ khai thông tin đăng nhập, mật khẩu, mã OTP, để rồi bị chiếm đoạt quyền quản trị tài khoản ngân hàng ngay tức khắc. Sau đó, đối tượng sẽ thực hiện các giao dịch để chuyển đi toàn bộ số tiền đang có trong tài khoản của khách hàng.

Thời điểm bọn tội phạm gửi đi các tin nhắn bằng thủ đoạn Brand name chủ yếu vào lúc ngân hàng không hoạt động, như vào ban đêm, rạng sáng, ngày cuối tuần, hay dịp lễ, tết… Lý do chúng chọn các thời điểm này để người dùng không thể xác thực thông tin. Chỉ cần làm theo hướng dẫn của chúng là tiền trong tài khoản ngân hàng của người dùng sẽ bị chiếm đoạt hoàn toàn.

Hàng ngày, mọi người vẫn nhận được các tin nhắn điện thoại từ ngân hàng và hoàn toàn tin tưởng, không chút mảy may nghi ngờ. Các đối tượng gửi tin nhắn hàng loạt không nhằm vào nạn nhân cụ thể nào, mà trông chờ vào sự bất cẩn của người dùng để có cơ hội chiếm quyền kiểm soát tài khoản ngân hàng nhằm chiếm đoạt tiền.

Thời gian qua thủ đoạn tội phạm này đã xảy ra tại rất nhiều địa phương. Các đơn vị nghiệp vụ của Bộ Công an đã đưa ra cảnh báo người dân về thủ đoạn phạm tội nguy hiểm này. Hiện nay các ngân hàng và nhà cung cấp dịch vụ chưa có giải pháp hữu hiệu nào để phòng chống thủ đoạn này, ngoài việc tăng cường cảnh báo xã hội.

Thủ thuật hiểm ác

Để thực hiện được thủ đoạn giả mạo SMS Brandname, cơ quan chức năng nhận định nhiều khả năng bọn tội phạm sử dụng thiết bị công nghệ hiện đại có tính năng như một trạm thu phát sóng di động (BTS), có thể can thiệp vào hệ thống tin nhắn liên lạc giữa ngân hàng và khách hàng, nhằm chèn vào đó những tin nhắn giả mạo dưới tên (thương hiệu) của ngân hàng bất kỳ nơi khách mở tài khoản.

Còn trên các diễn đàn công nghệ và under ground (diễn đàn ngầm của hacker), có nhiều bài viết của “dân” IT chia sẻ về các thủ đoạn giả mạo tin nhắn định danh thương hiệu.

Tin nhắn giả mạo

Tin nhắn giả mạo

Có những khả năng sau khiến hệ thống SMS Brandname của ngân hàng bị xâm nhập:

Một là, hacker sẽ dùng thiết bị, thủ thuật đó để chen vào giữa quá trình gửi/nhận SMS, lấy được các gói tin nhắn từ nhà mạng gửi tới, chỉnh sửa nội dung rồi mới tiếp tục gửi đến khách hàng. Tuy nhiên, đây lại là cách ít khả thi nhất.

Hai là, hacker sẽ tấn công trực tiếp vào hệ thống của đơn vị cung cấp SMS OTP cho ngân hàng, sau đó kiểm soát và thay đổi nội dung gửi đến người dùng.

Ba là, hacker sử dụng giấy tờ giả, đăng ký một tổng đài khác cũng có tên giống với các ngân hàng ở Việt Nam, được đăng ký tại Việt Nam hoặc nước ngoài để gửi tin nhắn đến người dùng. Lúc này, tin nhắn lừa đảo sẽ được điện thoại gom chung vào một luồng tin nhắn dưới tên ngân hàng, khiến nạn nhân không thể phân biệt được đâu là thật, giả.

Một hacker đã đánh giá thủ thuật giả mạo tin nhắn định danh thương hiệu (brand name) hiện nay không quá phức tạp. Bởi vì có những nhà cung cấp tin nhắn xác thực 2FA có tính năng cho phép chỉnh sửa brand name, họ làm việc với nhà mạng viễn thông để có thể tùy chỉnh tên thương hiệu (custom brand name). Khi đó, chỉ cần có tài khoản và số tiền rất nhỏ là đã có thể fake (làm giả) một brand name, nhắn đến điện thoại bằng cách sử dụng dịch vụ tin nhắn khuyến mãi (Promotion SMS) - một tính năng trong dịch vụ mạng xã hội (Social Networking Service). Mặt khác, bản thân hệ điều hành cũng cho phép gom các brand name giống nhau vào cùng nhóm nên cực kì dễ giả mạo, trà trộn giữa tin nhắn SMS Brandname thật và tin giả mạo.

Như vậy, tin nhắn với nội dung giả mạo đã có thể gửi đến số điện thoại dưới tên của ngân hàng.

Ngân hàng từng cảnh báo

Ngân hàng từng cảnh báo

Bảo vệ ví tiền bằng cách nào?

Để không bị dẫn dụ truy cập vào các đường link dẫn đến các trang web giả mạo ngân hàng nơi mở tài khoản.

Trước tiên người dùng cần nắm rõ địa chỉ trang web chính thức của ngân hàng đó. Chỉ nên truy cập Internet Banking của ngân hàng theo đường dẫn chính thức hoặc sử dụng ứng dụng Mobile Banking của ngân hàng để thực hiện các giao dịch qua tài khoản. Bên cạnh đó, người dùng cần hiểu rằng các ngân hàng không gửi tin nhắn SMS đi kèm các đường link đăng nhập dịch vụ Digibank. Do đó, các tin nhắn có đường link đăng nhập dịch vụ đều là giả mạo.

Hai là, trước khi truy cập và điền thông tin cần kiểm tra kỹ đường dẫn (link) của trang web.

Nếu thấy có các ký tự bất thường trên đường link thì cần hiểu rằng đó là trang giả mạo, tuyệt đối không truy cập vào các đường link các trang không được xác thực, nên tham khảo thêm các phương thức bảo mật khi giao dịch online. Đồng thời, có thể dùng các kênh khác liên lạc ngay với đường dây nóng của ngân hàng đang quản lý tài khoản của mình.

Ba là, người dân cần lưu ý không cung cấp thông tin về các dịch vụ ngân hàng số gồm tài khoản đăng nhập, mật khẩu, mã xác thực (OTP), hoặc số thẻ tín dụng, cho bất kỳ ai; không truy cập, hoặc đăng nhập thông tin tên truy cập, mật khẩu đăng nhập Internet Banking hay Mobile Banking, mã xác thực (OTP), số tài khoản… của mình vào trang web hay liên kết khác với trang web hoặc đường dẫn Internet Banking của ngân hàng; không truy cập vào các đường link, liên kết trong tin nhắn hay email lạ hoặc không rõ nguồn gốc; không thực hiện giao dịch theo yêu cầu của các đối tượng lạ khi nhận được điện thoại, tin nhắn có nội dung liên quan đến giao dịch ngân hàng (truy cập vào link lạ, chuyển tiền qua ngân hàng, nạp thẻ, rút tiền, …); không cài đặt các ứng dụng chưa được xác thực trên kho ứng dụng, đặc biệt là theo yêu cầu của đối tượng lạ; không cho mượn hoặc cho thuê thông tin cá nhân để mở thẻ, tài khoản ngân hàng.

Bốn là, trường hợp khách hàng trót bấm vào đường link và tiết lộ thông tin, khách hàng cần khóa dịch vụ Digibank khẩn cấp bằng tin nhắn với cú pháp do bộ phận chăm sóc khách hàng của ngân hàng đó cung cấp, hoặc đến các điểm giao dịch (trong giờ hành chính) để được hỗ trợ.

Năm là, khi xảy ra rủi ro mất tiền hoặc trong tình huống nghi ngờ bị lừa đảo, người dân cần chủ động khóa tài khoản, thay đổi mật khẩu đăng nhập Internet Banking, Mobile Banking, hoặc liên hệ ngay với ngân hàng hoặc đến điểm giao dịch gần nhất yêu cầu tạm khóa dịch vụ thẻ ngân hàng điện tử nếu đã xảy ra, đồng thời liên hệ, trình báo ngay với Công an địa phương khi phát hiện mất tiền trong tài khoản để kịp thời điều tra.