Hàng loạt khách hàng mất tiền oan vì tin nhắn định danh từ ngân hàng
Kẻ gian sử dụng tin nhắn định danh (SMS Brand Name) giả để đánh lừa người dùng, tạo niềm tin dụ họ đăng nhập vào website hòng đánh cắp thông tin tài khoản ngân hàng.
Tin nhắn định danh là tin nhắn không hiển thị số thuê bao mà chỉ hiện tên của các thương hiệu đã được đăng ký và xét duyệt từ nhà mạng. Đây là phương thức được nhiều nhãn hàng tin dùng, trong đó có ngân hàng, thương hiệu kinh doanh lớn... nhằm dễ dàng thông tin tới người dùng cũng như để định danh.
Mới đây, một số người sử dụng dịch vụ của ngân hàng Sacombank cho biết họ nhận được tin nhắn định danh từ đơn vị này thông báo về việc xác thực tài khoản để tránh bị khóa. Trong tin nhắn có kèm một đường dẫn, khi nhấn vào sẽ hiện ra trang web có giao diện y hệt với website chính thức của ngân hàng và yêu cầu người dùng nhập thông tin đăng nhập tài khoản internet banking. Do đây là tin nhắn định danh dưới tên của ngân hàng nên nạn nhân không hề nghi ngờ, thực hiện theo tuần tự các bước, kể cả khâu nhập mật khẩu dùng 1 lần (OTP).
Tin nhắn giả mạo được xếp chung luồng tin với nội dung do Sacombank gửi. ẢNH CHỤP MÀN HÌNH |
Theo phản ánh của một nữ khách hàng Sacombank tại TP.HCM, sau khi chị nhập thông tin và mã OTP như yêu cầu thì lập tức nhận tin nhắn từ ngân hàng thông báo tài khoản đã bị trừ hơn 38 triệu đồng. Một nạn nhân khác cũng cho biết mất sạch tài khoản hơn 1 triệu đồng với cùng thủ đoạn của kẻ gian.
Website giả mạo được kẻ gian tạo sẵn với giao diện giống trang chủ của ngân hàng nhằm mục đích đánh lừa thị giác nạn nhân. Các bước đăng nhập đều được công cụ đánh cắp thông tin ghi lại và chuyển về cho kẻ đứng sau thủ đoạn này để có thể truy cập được vào tài khoản của nạn nhân để thực hiện các giao dịch chuyển khoản, đăng ký vay online... Bước “khó nhất” là lấy được OTP từ ngân hàng gửi tới SIM điện thoại của chính chủ được thực hiện và cung cấp bởi nạn nhân mà họ không hề hay biết.
Ngân hàng phát đi cảnh báo và hướng dẫn người dùng phân biệt website giả mạo. ẢNH CHỤP MÀN HÌNH |
Chỉ sau khi mất tiền, nạn nhân mới nhận ra thủ đoạn và tức tốc báo cho cơ quan chức năng cũng như ngân hàng để làm rõ vụ việc. Theo đại diện Sacombank, những tin nhắn định danh thương hiệu này gửi tới người dùng yêu cầu xác thực tài khoản như trên chắc chắn không xuất phát từ phía đơn vị. Sacombank đã rà soát hệ thống nội bộ cũng như đối tác cung cấp dịch vụ viễn thông cho hãng, đồng thời yêu cầu các ngân hàng khóa tài khoản thụ hưởng từ những giao dịch bất thường trên.
Tuy nhiên không chỉ Sacombank, người dùng từ một số ngân hàng khác cũng phản ánh trường hợp tương tự. Thậm chí, có những chủ thuê bao di động còn nhận được thông báo đăng nhập và kiểm tra tài khoản tại ngân hàng mà họ không hề dùng dịch vụ của đơn vị đó. “Điều này cho thấy kẻ đứng sau chiêu trò này gửi tin lừa đảo hàng loạt không nhằm vào bất kỳ đối tượng cụ thể hay nhà băng nào, thậm chí còn không phân nhóm đối tượng gửi tin nhắn. Kẻ gian hoàn toàn trông chờ vào sự bất cẩn của nạn nhân để có cơ hội ra tay, trục lợi”, một chuyên gia viễn thông nhận định.
Một tin nhắn giả mạo được gửi đến từ ngân hàng ABC, khi truy cập vào liên kết giới thiệu cũng được chuyển sang trang giả mạo. ẢNH CHỤP MÀN HÌNH |
SMS Brand Name do nhà mạng cung cấp cho doanh nghiệp phải vượt qua quy trình xét duyệt hồ sơ gắt gao với nhiều bước. Hồ sơ xét duyệt không chỉ cần nhà mạng được doanh nghiệp nộp hồ sơ thông qua, mà còn cần có sự phối hợp với các nhà mạng khác (để khi gửi tin nhắn sẽ chỉ hiện một tên thương hiệu dù khách hàng đang sử dụng dịch vụ viễn thông di động của đơn vị nào).
Tuy nhiên theo chuyên gia, SMS Brand Name được đăng ký sẽ độc quyền trên đầu số và thương hiệu đăng ký đi kèm, không độc quyền trên tất cả đầu số. Điều này tạo ra sơ hở cho kẻ gian giả mạo Brand Name bằng một đầu số khác cùng hoặc khác nhà mạng với đơn vị đã đăng ký trước đó. Khi xin duyệt thành công, gói tin sẽ vẫn được gửi đi tới thuê bao nạn nhân bằng chính Brand Name đó.
Một yếu tố “tiếp tay” cho những vụ lừa đảo kể trên thành công chính là tính năng nhóm tin nhắn thành từng đầu mục trên điện thoại hiện nay mà không phân biệt đầu số. Lúc này, chỉ cần tin nhắn gửi tới có cùng Brand Name với tin cũ đã có trong máy, lập tức được hiển thị trong danh mục đó. Cụ thể trong trường hợp này là Brand Name “Sacombank”. Kẻ gian sử dụng đúng tên thương hiệu này gửi tin nhắn định danh từ một đầu số khác (không do Sacombank đăng ký) nhưng điện thoại tự động gộp vào cùng luồng với các tin nhắn do chính ngân hàng gửi trước đó. Quy trình này tương tự với việc lưu hai hay nhiều số điện thoại cho cùng một người trong danh bạ, khi nhắn tin dù từ bất kỳ số điện thoại nào hệ thống cũng gộp vào cùng luồng trò chuyện đã có với người này.
Chia sẻ với Thanh Niên, ông Ngô Trần Vũ - Giám đốc Công ty Bảo mật Nam Trường Sơn - hình thức lừa đảo trên là một biến thể kịch bản lừa tiền nạn nhân của tin tặc, lợi dụng sự tin tưởng của họ với thương hiệu lớn để lấy thông tin đăng nhập vào tài khoản ngân hàng trực tuyến hòng chiếm đoạt tiền qua hình thức chuyển khoản sang tài khoản khác. “Tuy không phải là phương thức mới tinh vi hay sử dụng công nghệ cao, biến thể này vẫn rất nguy hiểm vì đánh vào lòng tin của người dùng thông qua SMS Brand Name của ngân hàng”, ông Vũ chia sẻ.
Để tăng cường an toàn cho thông tin cũng như tài sản cá nhân, ông Ngô Trần Vũ khuyến cáo người dùng cần lưu ý 2 điểm chính. Đầu tiên, trong máy tính hay điện thoại cần cài phần mềm bảo mật để quét virus, phát hiện các đường link khả nghi để tránh mã độc lây lan vào thiết bị. Điểm thứ 2 là luôn cảnh giác với mọi hình thức lừa đảo, đặc biệt là những lời mời gọi đăng nhập tài khoản ngân hàng từ các đường link gửi sẵn. Người dùng cần kiểm tra xem website có đúng là trang chủ của doanh nghiệp hay không. “Khi cung cấp, gõ OTP lên trang web cần cân nhắc kỹ bởi đây là thông tin nhạy cảm, nếu kẻ xấu có được sẽ rất dễ đánh cắp tài khoản”, vị chuyên gia nhấn mạnh.
Để phòng tránh các hình thức lừa đảo và đảm bảo an toàn khi giao dịch ngân hàng, người dùng cần lưu ý các vấn đề sau.
1. Tuyệt đối không truy cập các đường link, liên kết trong tin nhắn/email lạ hoặc không rõ nguồn gốc.
2. Chỉ đăng nhập vào dịch vụ ngân hàng điện tử thông qua website chính thức của ngân hàng đang sử dụng, có thể liên hệ với tổng đài ngân hàng để lấy thông tin trang chính thức.
3. Hạn chế dùng máy tính công cộng, mạng không dây công cộng khi truy cập vào hệ thống ngân hàng điện tử.
4. Không cung cấp tên, mật khẩu đăng nhập ngân hàng trực tuyến, mã xác thực OTP, số thẻ ngân hàng qua điện thoại, email, mạng xã hội và các trang web.
5. Đặt mật khẩu khó đoán, thực hiện thay đổi mật khẩu thường xuyên hoặc khi nghi ngờ bị lộ. Không sử dụng các tính năng lưu mật khẩu để đăng nhập tự động, không sử dụng chung một mật khẩu để đăng nhập ngân hàng trực tuyến và mật khẩu thư điện tử hoặc mật khẩu đăng nhập vào các mạng xã hội.
6. Đăng ký nhận thông báo thay đổi số dư giao dịch.
7. Đăng ký sử dụng phương thức xác thực Smart OTP khi giao dịch trực tuyến.
Theo Thanh niên.vn