'Giải mã' chiêu giả danh ngân hàng nhắn tin lừa đảo

Dù liên tục có những cảnh báo trong 1 năm qua, tuy nhiên, từ đầu tháng 1/2022 đến nay, thủ đoạn giả danh ngân hàng thông qua SMS Brand name (tin nhắn định danh thương hiệu) để lừa đảo lại tiếp tục nóng lên, khiến hàng nghìn tài khoản của khách hàng ở khắp các nhà băng từ lớn đến nhỏ “bốc hơi”.

“Lách luật” dễ như đi chợ

Tối ngày 12/1, khi vừa ăn tối xong, tài khoản ngân hàng online của chị Phạm Quỳnh Trang (Cầu Giấy, Hà Nội) hiện thông báo mới, nội dung cảnh báo phát hiện có thanh toán bất thường, yêu cầu chị đăng nhập và huỷ giao dịch.

Dù đã đọc được nhiều thông tin về lừa đảo qua tin nhắn, nhưng khi chị Trang kiểm tra lại tin nhắn thì đây đúng là tin nhắn chính danh của ngân hàng, nơi hàng ngày chị vẫn nhận các thông báo về biến động số dư, tin khuyến mại… khiến chị buộc phải gọi điện đến ngân hàng xác nhận.

“Chỉ đến khi gọi điện cho ngân hàng xác nhận đó là tin nhắn giả mạo, và phía ngân hàng cho biết đã thông báo cho Bộ Thông tin Truyền thông để xử lý chặn địa chỉ url (shbank.vn-unc.top) tôi mới thực sự yên tâm. Đấy là vì tôi đã nhiều lần đọc về chiêu thức lừa đảo này, còn với những người không biết thì thực sự lo ngại. Và, cũng thật khó trách những người đã lỡ “sập bẫy” khi thủ đoạn này mới được tung ra”, chị Trang nói.

Người mở tài khoản ngân hàng cần tuyệt đối thận trọng với các chiêu trò lừa đảo qua tin nhắn, cuộc gọi vào cuối năm.

Theo các chuyên gia bảo mật, việc giả mạo ngân hàng gửi thông báo hù dọa, đánh vào tâm lý người dùng đã diễn ra trong hơn 1 năm qua. Đặc biệt, các chiêu thức ngày càng biến ảo khiến ngân hàng “lực bất tòng tâm”, còn khách hàng thì hoang mang, lo sợ.

Anh Lê Hoàng, CEO của một công ty làm Brand Name SMS từ năm 2010, chia sẻ trước đây, một tin nhắn giả gửi đến điện thoại của người dùng sẽ hiển thị một dãy số, ví dụ +8435XXXXXXX. Song, trong vài năm gần đây, các đối tượng lừa đảo đã có thể gửi bằng một chuỗi ký tự (chữ) thay vì số.

Brand Name SMS vốn là một hình thức tin nhắn định danh thương hiệu, được các tổ chức như ngân hàng hay các cơ quan hữu quan đăng ký độc quyền tại các nhà mạng viễn thông nhằm gửi tin nhắn, gọi điện đến các khách hàng để chăm sóc, quảng bá hình ảnh, thông báo nội dung, chính sách mới…

Theo nguyên tắc, một Brand name đã được đăng ký tại các nhà mạng, thì các tổ chức, cá nhân khác không được phép đăng ký trùng tên thương hiệu. Bởi vậy, thông thường những tin nhắn định danh là thông báo chính thức và đáng tin cậy với khách hàng.

Tuy nhiên, theo anh Lê Hoàng, các quy định này khá dễ để “lách” với vài chiêu thức đơn giản. Đơn cử, để đăng ký một Brand name có tên trùng với tên một thương hiệu khác ví dụ như ABC, người dùng chỉ cần chứng minh sở hữu một domain (tên miền) đại loại như abc.xyz là được chấp nhận.

“Đáng lo ngại là hiện tại, chỉ cần bỏ ra vài trăm nghìn đồng là sở hữu được một domain. Một công ty ma, mua domain abc.xyz là có thể đăng ký Brand Name ABC, giả danh ngân hàng cùng tên đi lừa đảo. Kẻ gian tung ra ma trận tin nhắn, ai không may hoặc cả tin thì dính bẫy”, anh Lê Hoàng cho hay.

Cách nào lập lại trật tự?

Ở trường hợp thông báo giả nằm lẫn trong thông báo thật, theo các chuyên gia an ninh mạng, có 3 trường hợp phổ biến nhất. Thứ nhất là SMS bị hack trên đường đi từ công ty SMS đến nhà mạng hoặc từ nhà mạng xuống thuê bao, tuy nhiên đây là kịch bản khó xảy ra.

Cách đơn giản hơn đến từ trường hợp thứ hai, khi hacker xâm nhập vào đơn vị cung cấp dịch vụ SMS Brandname của các ngân hàng, từ đó gửi ồ ạt tin nhắn đến hàng triệu người dùng.

Và thứ ba là kẻ xấu đăng ký tin nhắn thương hiệu từ nước ngoài, trùng với tên của các ngân hàng bị ảnh hưởng vừa qua. Khi gửi tin nhắn, đầu số thương hiệu giống nhau có thể bị gộp lại cùng một luồng. Đây là trường hợp nếu xảy ra sẽ là lỗ hổng bảo mật nghiêm trọng, đòi hỏi các nhà mạng cần khắc phục ngay.

Ông Nguyễn Quốc Hùng, Tổng thư ký Hiệp hội Ngân hàng, thừa nhận tình trạng lừa đảo này vẫn chưa có giải pháp ngăn chặn triệt để dù các nhà băng đang phải trả các khoản phí đắt đỏ gấp 3 lần tin nhắn thường cho các nhà mạng. Thông thường, một ngân hàng nhỏ sẽ gửi 15 - 20 triệu tin nhắn/tháng, các ngân hàng tầm trung trở lên là 50 - 80 triệu tin nhắn/tháng.

Sau nhiều tháng với đủ diễn biến xảy ra, thật khó để xác định trách nhiệm thuộc về ai khi tình trạng tin nhắn giả mạo ngân hàng vẫn đang “đua nở”. Song, nạn nhân thì đã rất rõ ràng.

Trước hết là các ngân hàng, vì sự yếu kém trong chính sách Brand Name SMS của nhà mạng khiến nhiều đơn vị chịu thiệt hại không ít, cả về uy tín lẫn tiền bạc. Sau đó là người dùng thẻ, không chỉ mất tiền mà còn đủ các phiền toái khác nhau.

Để giảm thiểu tổn thất cho khách hàng, vào cuối năm 2021, Ngân hàng nhà nước đã có Công văn số 7611 yêu cầu các tổ chức cung ứng dịch vụ thanh toán tăng cường các biện pháp đảm bảo an ninh, an toàn hoạt động thanh toán.

Để phòng ngừa, giảm thiểu rủi ro gian lận, lừa đảo trong cung ứng, sử dụng dịch vụ thanh toán, Ngân hàng nhà nước đề nghị các tổ chức cung ứng dịch vụ thanh toán đối với việc xác minh thông tin nhận biết khách hàng khi thực hiện giao dịch.

Tuy nhiên, trong thời đại công nghệ thông tin, bảo mật chỉ là một phạm trù tương đối. Đến những gã khổng lồ lắm tiền nhiều của như Google, Facebook, Microsoft… cũng không ít lần bị hacker xâm nhập thì không thể đòi hỏi quá nhiều vào các ngân hàng, doanh nghiệp trong nước.

Vì vậy, cách thức hiệu quả nhất là bản thân người dùng hãy thật cẩn trọng, giữ “ví” cho chặt. Nếu nhận được những tin nhắn “lạ” như vậy, người dùng nên tham vấn ý kiến từ những người hiểu biết về công nghệ thông tin. Tuyệt đối không bấm vào bất cứ đường link nếu không chắc về độ tin cậy.

Người dùng luôn tuân thủ nguyên tắc bảo mật hai lớp, gọi cho tổng đài ngân hàng hay các đơn vị được đề cập trong SMS để “double check”. Không chia sẻ thông tin trong SMS đó cho người khác. Không cài đặt các ứng dụng chưa được xác thực trên kho ứng dụng đặc biệt là theo yêu cầu của đối tượng lạ. Không cho mượn hoặc cho thuê thông tin cá nhân để mở thẻ, tài khoản ngân hàng.