Thủ đoạn của hacker khi lừa tiền bằng tin nhắn định danh từ ngân hàng

Thời gian gần đây, rất nhiều người cho biết liên tục nhận được tin nhắn lừa đảo từ các đầu số thương hiệu của các ngân hàng như ACB, Sacombank, TPbank...

Hàng loạt khách hàng mất tiền oan vì tin nhắn định danh từ ngân hàng

Thủ đoạn chung của những kẻ lừa đảo là 'đánh' vào sự sợ hãi hoặc sự cả tin của khách hàng. Hacker sẽ lợi dụng lỗ hổng công nghệ để xâm nhập luồng tin nhắn thương hiệu của các ngân hàng và gửi tin nhắn cho người dùng bằng chính những đầu số đó.

Nội dung của tin nhắn thường có dạng cảnh báo khách hàng về một giao dịch nào đó theo kiểu: 'Chúng tôi phát hiện tài khoản của bạn đang tiêu dùng ở nước ngoài. Nếu không phải bạn đang tiêu dùng vui lòng nhấp vào link (liên kết) để hủy thanh toán" hoặc "Tài khoản ngân hàng của bạn có dấu hiệu bất thường, vui lòng đổi mật khẩu tại đây…'.

Bởi là tin nhắn của các thương hiệu lớn nên nhiều người đã làm theo chỉ dẫn, nhấp vào đường link trong đó. Lúc này, trên thiết bị sẽ hiện lên một website giả mạo tương tự website chính thức của các ngân hàng. Để tạo lòng tin, thậm chí các đề mục trên website giả khi click vào sẽ được chuyển thẳng đến nhánh của website từ phía ngân hàng. Người dùng được yêu cập nhật tài khoản ngân hàng, mật khẩu và cả mã OTP gửi về điện thoại. Tuy nhiên, khi nhập xong mã OTP thì khách hàng sẽ phát hiện mình bị lừa và mất tiền.

Ảnh minh họa

Như trường hợp của anh T. sống ở thành phố Hồ Chí Minh vào tối 3/2 có nhận được tin nhắn với dòng thông báo: 'Chung tôi phat hien tai khoan cua ban dang tieu dung o nuoc ngoai. Neu khong phai ban dang tieu dung vui long nhap vao https://v-acb.com de huy thanh toan...'. Do lo lắng vì sự an toàn của tài khoản, anh truy cập vào đường link và mất 3,3 triệu đồng.

Không chỉ có trường hợp của anh T. mà rất nhiều người khác đã nhận được tin nhắn của đầu số mạo danh của ACB, Sacombank, TPbank... với nội dung tương tự.

Phương thức lừa đảo kể trên của hacker đã có từ lâu. Ở đó, những kẻ lừa đảo sẽ gửi cho nạn nhân một thông báo có kèm đường link giả mạo. Khi khách hàng làm theo hướng dẫn, các thông tin về tài khoản ngân hàng sẽ bị hacker đánh cắp để đăng nhập vào tài khoản chủ thẻ và tiến hành chuyển tiền của nạn nhân sang tài khoản đối tượng đã chuẩn bị để chiếm đoạt.

Tuy nhiên, cái mới của phương thức này chính là từ việc hacker đã xâm nhập được vào các luồng tin nhắn của những ngân hàng lớn để gửi tin nhắn mạo danh. Khi đọc được những tin nhắn từ luồng có uy tín và lại đúng ngân hàng mình đang sử dụng, nạn nhân sẽ làm theo chỉ dẫn và rồi bị lừa.

Các ngân hàng đều khẳng định các tin nhắn giả mạo và lừa đảo kể trên đều không được gửi từ họ hay các đơn vị cung cấp dịch vụ tin nhắn thương hiệu. Như vậy, có thể hiểu rằng hacker đã có thể chen vào các luồng tin nhắn thương hiệu của các ngân hàng để gửi nội dung lừa đảo đến khách hàng.

Ông Ngô Minh Hiếu - chuyên gia an ninh mạng tại TP.HCM trả lời trên Zing cho biết có 3 kịch bản để khiến hệ thống SMS brandname của ngân hàng bị thao túng. Kịch bản đầu tiên, kẻ xấu sẽ dùng kỹ thuật riêng để chen vào giữa quá trình gửi/nhận SMS, 'bắt' các gói tin nhắn từ nhà mạng gửi đến nạn nhân, chỉnh sửa nội dung và tiếp tục gửi đến khách hàng. Kịch bản thứ hai là hacker tấn công trực tiếp vào hệ thống của đơn vị cung cấp SMS OTP cho ngân hàng và thao túng nội dung gửi đến người dùng. Kịch bản thứ 3 là hacker sử dụng giấy tờ giả, đăng ký một tổng đài SMS khác cũng có tên giống với các ngân hàng ở Việt Nam, đăng ký tại Việt Nam hoặc nước ngoài để gửi tin nhắn đến người dùng. Lúc này, tin nhắn lừa đảo sẽ được điện thoại gom chung vào một luồng tin nhắn dưới tên ngân hàng, khiến nạn nhân không thể phân biệt được đâu là thật, giả.

Đến hiện tại, các ngân hàng vẫn chưa công bố lý do vì sao xuất hiện các tin nhắn với nội dung lừa đảo từ luồng tin nhắn thương hiệu của mình. Tuy nhiên, nhiều đơn vị cũng đã gửi email cảnh báo tới từng khách hàng với nội dung khuyến nghị tuyệt đối không truy cập các đường link, liên kết trong tin nhắn/email lạ hoặc không rõ nguồn gốc. Đồng thời, các ngân hàng cũng gửi cho khách hàng địa chỉ giao dịch ngân hàng điện tử chính thức của mình.

Ngoài ra, các ngân hàng cũng lưu ý người dùng nên hạn chế dùng máy tính công cộng, mạng không dây công cộng để truy cập vào hệ thống ngân hàng điện tử; không cung cấp tên đăng nhập, mật khẩu, OTP, số thẻ... qua điện thoại, email, mạng xã hội, webiste giả; thường xuyên theo dõi, cập nhật các cảnh báo về bảo mật trong thanh toán trực tuyến...

T.T