Thời gian qua, nhiều người dùng Sacombank, TPbank, ACB phản ánh việc nhận được những tin nhắn từ đầu số ngân hàng, thông báo việc tài khoản có đăng nhập bất thường và yêu cầu bấm vào đường dẫn để xác thực.

Khi bấm vào đường dẫn trong tin nhắn, người dùng được yêu cầu nhập tên truy cập, mật khẩu dịch vụ ngân hàng điện tử. Có trường hợp người dùng đã mất số tiền lớn sau khi cung cấp các thông tin đăng nhập, bao gồm cả mã xác thực một lần (OTP) vào trang web.

{keywords}
Tin nhắn lừa đảo từ đầu số Sacombank, với đường dẫn dễ khiến người dùng nhầm lẫn. Ảnh: Hải Tùng.

Ngày 2/2, trả lời Zing, đại diện ngân hàng Sacombank khẳng định tin nhắn chứa đường link yêu cầu người dùng đăng nhập là giả mạo, dù đến từ đầu số của chính Sacombank. ACB và TPBank cũng phát đi những thông báo khuyến cáo người dùng.

Lỗ hổng tin nhắn thương hiệu

Các thủ đoạn lừa người dùng tự nhập thông tin cá nhân được gọi chung là phishing. Trong cách lừa đảo này, kẻ thực hiện phải tạo ra sự tin tưởng cho người dùng để họ sẵn sàng cung cấp thông tin.

Trước đây, nhiều người dùng đã bị lừa bằng tin nhắn qua Facebook, các dịch vụ OTT để bấm vào đường dẫn có địa chỉ gần giống trang web của các tổ chức tài chính. Gần đây, thủ đoạn giả mạo đầu số của ngân hàng (tin nhắn thương hiệu) nâng mức độ khai thác lòng tin người dùng lên một tầm mới.

{keywords}
Hàng loạt đầu số thương hiệu (brandname) từ nhiều ngân hàng ở Việt Nam đang bị mạo danh, gửi tin nhắn lừa đảo đến người dùng.

Lỗ hổng hiện tại đang bị khai thác là dịch vụ tin nhắn thương hiệu (SMS Brandname). Đây là dịch vụ tin nhắn cho phép hiển thị tên người gửi là tổ chức, doanh nghiệp khi nhắn tin đến thuê bao di động của người dùng. Việc hiển thị thương hiệu quen thuộc trong tin nhắn khiến người dùng dễ tin vào nội dung, mất cảnh giác.

Nội dung tin nhắn thương hiệu từ ngân hàng thường liên quan đến biến động số dư, xác thực qua tin nhắn hoặc các chương trình quảng cáo. Các nội dung mang tính hù dọa hoặc kích thích lòng tham thường là những cái bẫy giả mạo ngân hàng.

Ai cung cấp dịch vụ SMS Brandname?

Để đăng ký tin nhắn thương hiệu thì cá nhân hoặc doanh nghiệp có thể làm việc trực tiếp với các nhà mạng hoặc nhà cung cấp dịch vụ bên thứ ba.

Trong trường hợp trực tiếp làm việc với nhà mạng, người làm thủ tục đăng ký cần cung cấp các giấy tờ liên quan như giấy phép kinh doanh, biểu mẫu công văn đăng ký gửi nhà mạng. Tuy vào lĩnh vực kinh doanh, nhu cầu sử dịch vụ, người đăng ký sẽ phải khai báo cũng như cung cấp thêm các thông tin khác nhau.

Đối với các bên thứ 3 cung cấp dịch vụ SMS Brandname khách hàng cũng cung cấp đầy đủ giấy tờ liên quan và khai chi tiết theo từng lĩnh vực hoạt động. Bên trung gian sẽ cung cấp thông tin khách hàng và gửi trực tiếp đến nhà mạng.

Chia sẻ với Zing, đại diện của nhà mạng VNPT, Viettel đều khẳng định nhà mạng là đơn vị trực tiếp quản lý dịch vụ được cung cấp tới khách hàng mà không thông qua bên thứ 3 nào cả. Đối với bên thứ 3, các dịch vụ hay vấn đề liên quan đến khách hàng đều thuộc sự quản lý của nhà mạng.

Vì sao có thể giả mạo đầu số ngân hàng?

Trao đổi với Zing, chuyên gia bảo mật Ngô Minh Hiếu, hiện làm việc tại TP.HCM nhận định cách tấn công, lừa đảo này khá tinh vi.

{keywords}
Giao diện đăng nhập của trang web giả mạo sao chép trang web thật. Phần địa chỉ cũng có tên ngân hàng, nhưng nếu nhìn kỹ sẽ nhận ra không phải địa chỉ đúng. Ảnh: CyRadar.

Theo ông Hiếu, có 3 kịch bản chính khiến người dùng nhận tin nhắn giả mạo từ đầu số thương hiệu.

Ở kịch bản đầu tiên, hacker sẽ tạo ra một trạm BTS (trạm phát sóng) bằng các thiết bị chuyên dụng. Từ đó, hacker sẽ gửi đi những gói tin nhắn đã được sửa đổi nội dung đến nạn nhân.

Với kịch bản thứ 2, hacker sẽ tấn công vào đơn vị cung cấp dịch vụ SMS brandname của các ngân hàng. Nếu làm được việc này, quy mô lừa đảo sẽ rất lớn bởi hacker sẽ gửi ồ ạt tin nhắn đến hàng triệu người dùng.

Ở kịch bản thứ 3, hacker sẽ đăng ký tin nhắn thương hiệu từ các quốc gia khác bên ngoài lãnh thổ Việt Nam trùng với tên của các ngân hàng bị ảnh hưởng vừa qua. Khi gửi tin nhắn, đầu số thương hiệu giống nhau có thể bị gộp lại cùng một luồng. Kịch bản này khả thi nhất so với hai kịch bản trên.

Vụ việc hiện vẫn đang trong quá trình điều tra, do vậy chưa thể kết luận kẻ gian đã sử dụng kịch bản nào để tấn công người dùng.

Làm gì khi nhận tin nhắn lừa đảo?

Trong trường hợp này, đối tượng lừa đảo đã giả mạo đầu số nhắn tin của ngân hàng, khiến người dùng dễ mất cảnh giác.

Nội dung tin nhắn đánh vào tâm lý lo sợ mất tài khoản, khi thông báo có người lạ đăng nhập cũng khiến người dùng dễ lo lắng, bấm vào đường dẫn hơn.

{keywords}
Bạn có thể nghi ngờ khi có tin nhắn với nội dung khác hẳn các tin nhắn thông thường từ đầu số của ngân hàng. Ảnh: MT.

Tuy nhiên, vẫn có một số dấu hiệu để người dùng có thể nhận biết tin nhắn là giả mạo. Dưới đây là các bước kiểm tra tin nhắn từ ngân hàng:

Đầu tiên, khi nhận tin nhắn từ một ngân hàng, người dùng có thể kiểm tra lại xem mình có phải khách hàng, dùng dịch vụ của ngân hàng đó hay không.

Kiểm tra kỹ nội dung tin nhắn đến từ đầu số ngân hàng xem có giống cách trình bày của các tin nhắn phía trên, đã từng nhận của ngân hàng hay không.

Ghi nhớ website giao dịch chuẩn của ngân hàng mà mình sử dụng. Nên kiểm tra kỹ địa chỉ website trong tin nhắn, nhất là các ký tự đặc biệt.

Chỉ thực hiện giao dịch bằng ứng dụng, website chính thức của ngân hàng. Không nhấp vào đường link bên trong tin nhắn SMS lúc này.

Cài đặt xác thực hai lớp. Xác thực hai lớp giúp giảm thiệt hại nếu người dùng lộ mật khẩu. Lớp xác thực thứ hai có thể là SMS, token, soft token, xác thực sinh trắc học trong ứng dụng ngân hàng.

Tuyệt đối không chia sẻ, cung cấp thông tin đăng nhập cho bất kỳ ai, qua bất kỳ hình thức giao tiếp nào.

Khi nghi ngờ bị mất thông tin, hoặc nghi ngờ một tin nhắn là giả mạo, bạn cần gọi ngay tới đường dây nóng của các ngân hàng, được đăng tải trên các website.

Các nội dung mang tính hù dọa mất tiền hoặc kích thích lòng tham bằng lợi nhuận cao thường là những cái bẫy.

(Theo Zing)