Cài đặt ứng dụng giả, tài khoản ngân hàng bốc hơi
Trong thời gian qua, lừa đảo chiếm đoạt tài sản trên không gian mạng sử dụng công nghệ cao diễn ra vô cùng phức tạp với nhiều thủ đoạn cực tinh vi. Đặc biệt, trong những ngày qua, trên không gian mạng nở rộ hình thức lừa đảo người dân cài các ứng dụng giả mạo app của Chính phủ, Tổng cục Thuế… Hình thức lừa đảo này tuy không mới nhưng vẫn khiến nhiều người dân sập bẫy.
Để lừa đảo người dùng, kẻ gian mạo danh cán bộ thuế liên hệ với người dùng qua nhiều hình thức như gọi điện, nhắn tin hoặc kết bạn qua các mạng xã hội với các lý do hỗ trợ quyết toán thuế, đề nghị cập nhật thông tin khai thuế, hỗ trợ thủ tục hoàn thuế... Sau đó, các đối tượng thuyết phục người dùng tải ứng dụng giả mạo app của Chính phủ, Tổng cục Thuế trên các trang web giả mạo, ngụy trang là truy cập vào kho ứng dụng Google Play Store (CH Play).
Tiếp đó, các đối tượng này lừa nạn nhân bấm vào link để tải ứng dụng giả mạo dạng “.apk” về máy. Thực chất các ứng dụng này có chứa mã độc với gần 195 hệ thống khác nhau nhằm chiếm quyền điều khiển thiết bị thông qua cấp quyền Trợ năng (Accessibility) cho ứng dụng giả mạo; từ đó kẻ gian thu thập thông tin, thậm chí điều khiển thiết bị truy cập các ứng dụng ngân hàng để thực hiện lệnh chuyển tiền trên chính điện thoại của nạn nhân.
Theo ông Vũ Ngọc Sơn, Giám đốc Kỹ thuật của Công ty Công nghệ an ninh mạng Việt Nam – NCS, cho biết, hiện tại các ứng dụng giả mạo chỉ hoạt động trên hệ điều hành Android, đường link tải phần mềm “nằm ngoài” chợ ứng dụng CH Play. Các điện thoại iPhone hiện tại không cho phép cài từ nguồn bên ngoài chợ ứng dụng Apple Store nên không bị tấn công theo dạng này.
Khuyến cáo người dùng
Trước những thủ đoạn tinh vi đó, nhiều ngân hàng đồng loạt đưa ra cảnh báo về hình thức lừa đảo này, đặc biệt đối với những người dùng sử dụng phương tiện có hệ điều hành Android.
Ngân hàng VietinBank đề nghị khách hàng đang sử dụng điện thoại có hệ điều hành Android nhanh chóng cập nhật ứng dụng VietinBank iPay Mobile phiên bản 5.5.1 từ ngày 11/7/2023 để tiếp tục sử dụng. Phiên bản này sẽ áp dụng các biện pháp bảo mật trên các thiết bị cài đặt ứng dụng cấp quyền Hỗ trợ (Accessibility) như sau:
- Trường hợp thiết bị di động của người dùng cài đặt ứng dụng cấp quyền Hỗ trợ (Accessibility) có nguy cơ lộ thông tin cao, VietinBank sẽ khóa dịch vụ iPay cho đến khi thiết bị di động của người dùng được đảm bảo an toàn.
- Trường hợp thiết bị di động của người dùng cài đặt ứng dụng cấp quyền Hỗ trợ (Accessibility) có nguy cơ lộ thông tin, VietinBank sẽ cảnh báo & yêu cầu KH cài đặt, xác thực giao dịch bằng Sinh trắc học khuôn mặt (FacePay) với các giao dịch giá trị từ 10.000.000 VND trở lên song song với các lớp xác thực SMS OTP/Soft OTP thông thường.
VietinBank cũng khuyến cáo thêm, quyền Hỗ trợ (Accessibility) có thể làm lộ thông tin của người dùng trên thiết bị di động. Do vậy khuyến cáo người dùng gỡ bỏ các ứng dụng cấp quyền Hỗ trợ (Accessibility) nếu không có nhu cầu sử dụng hoặc tắt quyền Hỗ trợ (Accessibility) trên điện thoại.
Một ngân hàng khác là Agribank cũng cảnh báo thủ đoạn lừa đảo mới liên quan đến cài đặt các ứng dụng Chính phủ giả mạo này.
Để đảm bảo an toàn thông tin trên điện thoại, qua đó có thể ngăn chặn kịp thời và hạn chế tối đa các đối tượng lừa đảo chiếm quyền truy cập điện thoại, người dùng cần thực hiện ngay tắt quyền trợ năng các ứng dụng.
Khách hàng có thể thực hiện quyền tắt trợ năng các ứng dụng theo các bước:
- Bước 1: Truy cập vào phần Cài đặt/ Setting của thiết bị
- Bước 2: Thực hiện các tắt quyền trợ năng cho từng ứng dụng đang mở quyền trợ năng/ Accessibility.
Đồng thời, ứng dụng Agribank E-Mobile Banking đã tiến hành cập nhật phiên bản mới vào ngày 12/7/2023 với chức năng hiển thị cảnh báo thiết bị có ứng dụng đang bật quyền trợ năng và ẩn chứa rủi ro, yêu cầu tắt quyền trợ năng trên ứng dụng đã cài đặt và điều hướng cài đặt phân quyền bật/ tắt trợ năng với các ứng dụng bình thường.
Các chuyên gia an ninh mạng cũng khuyến cáo người dùng cần chú ý các nguyên tắc sau:
- Chỉ cài đặt ứng dụng bằng cách vào trực tiếp chợ ứng dụng CH Play (điện thoại hệ điều hành Android) hoặc Apple Store (điện thoại iPhone). Tuyệt đối không cài đặt ứng dụng không rõ nguồn gốc nhận được qua tin nhắn hoặc file apk.
Nếu có nghi vấn, cần xác thực lại với cơ quan/tổ chức liên quan thông qua số điện thoại chính thức được công bố.
- Sử dụng các phương thức bảo vệ tài khoản sinh trắc học như vân tay, FaceID… để đăng nhập ứng dụng ngân hàng và các ứng dụng thanh toán khác.
- Không lưu thông tin bảo mật dịch vụ ngân hàng trên các phần mềm ứng dụng trên điện thoại.