Giao diện trang website giống "y hệt" của ngân hàng, nhưng tên miền có đuôi .top/.xyz (không phải máy chủ ở Việt Nam)

Cũng theo TS Hiếu lý do đối tượng đưa ra với người dùng rất đa dạng, nhưng dù với lý do gì thì cuối cùng vẫn là yêu cầu khách hàng truy cập vào đường link dẫn đến một website có giao diện y chang như trang web chính thức của ngân hàng, chỉ khác một hoặc một số ký tự trên đường dẫn mà phải tinh mắt và để ý lắm mới nhận ra. Chẳng hạn, ngân hàng ngoại thương Việt Nam Vietcombank (địa chỉ trang chủ: https://portal.vietcombank.com.vn) từng đưa ra cảnh báo về các giả mạo có đường link với các ký tự bất thường như: https://vietcombank.comvn-br.xyz ; https://vietcombank.comvn-br.top; https://vietcombank.vn-vn.top; http://vietcombank.vn-vc.top; https://vietcombank.com.vn-vc.xyz; https://vietcombank.com.vn-br.tob...

Khi làm theo yêu cầu và truy cập vào trang giả mạo, khách hàng sẽ khai thông tin đăng nhập, mật khẩu, mã OTP, để rồi bị chiếm đoạt quyền quản trị tài khoản ngân hàng ngay tức khắc. Sau đó, đối tượng sẽ thực hiện các giao dịch để chuyển đi toàn bộ số tiền đang có trong tài khoản của khách hàng.

Thời điểm bọn tội phạm gửi đi các tin nhắn bằng thủ đoạn Brand name chủ yếu vào lúc ngân hàng không hoạt động, như vào ban đêm, rạng sáng, ngày cuối tuần, hay dịp lễ, tết…Lý do chúng chọn các thời điểm này để người dùng không thể xác thực thông tin. Chỉ cần làm theo hướng dẫn của chúng là tiền trong tài khoản ngân hàng của người dùng sẽ bị chiếm đoạt hoàn toàn.

Hàng ngày, mọi người vẫn nhận được các tin nhắn điện thoại từ ngân hàng và hoàn toàn tin tưởng, không chút mảy may nghi ngờ. Các đối tượng gửi tin nhắn hàng loạt không nhằm vào nạn nhân cụ thể nào, mà trông chờ vào sự bất cẩn của người dùng để có cơ hội chiếm quyền kiểm soát tài khoản ngân hàng nhằm chiếm đoạt tiền.

Thời gian qua thủ đoạn tội phạm này đã xảy ra tại rất nhiều địa phương. Các đơn vị nghiệp vụ của Bộ Công an đã đưa ra cảnh báo người dân về thủ đoạn phạm tội nguy hiểm này. Hiện nay các ngân hàng và nhà cung cấp dịch vụ chưa có giải pháp hữu hiệu nào để phòng chống thủ đoạn này, ngoài việc tăng cường cảnh báo xã hội.

Thủ thuật hiểm ácĐể thực hiện được thủ đoạn giả mạo SMS Brandname, cơ quan chức năng nhận định nhiều khả năng bọn tội phạm sử dụng thiết bị công nghệ hiện đại có tính năng như một trạm thu phát sóng di động (BTS), có thể can thiệp vào hệ thống tin nhắn liên lạc giữa ngân hàng và khách hàng, nhằm chèn vào đó những tin nhắn giả mạo dưới tên (thương hiệu) của ngân hàng bất kỳ nơi khách mở tài khoản.

Có những khả năng sau khiến hệ thống SMS Brandname của ngân hàng bị xâm nhập:

Một là, hacker sẽ dùng thiết bị, thủ thuật đó để chen vào giữa quá trình gửi/nhận SMS, lấy được các gói tin nhắn từ nhà mạng gửi tới, chỉnh sửa nội dung rồi mới tiếp tục gửi đến khách hàng. Tuy nhiên, đây lại là cách ít khả thi nhất.

Hai là, hacker sẽ tấn công trực tiếp vào hệ thống của đơn vị cung cấp SMS OTP cho ngân hàng, sau đó kiểm soát và thay đổi nội dung gửi đến người dùng.

Ba là, hacker sử dụng giấy tờ giả, đăng ký một tổng đài khác cũng có tên giống với các ngân hàng ở Việt Nam, được đăng ký tại Việt Nam hoặc nước ngoài để gửi tin nhắn đến người dùng. Lúc này, tin nhắn lừa đảo sẽ được điện thoại gom chung vào một luồng tin nhắn dưới tên ngân hàng, khiến nạn nhân không thể phân biệt được đâu là thật, giả.

Một hacker đã đánh giá thủ thuật giả mạo tin nhắn định danh thương hiệu (brand name) ở hiện nay không quá phức tạp. Bởi vì có những nhà cung cấp tin nhắn xác thực 2FA có tính năng cho phép chỉnh sửa brand name, họ làm việc với nhà mạng viễn thông để có thể tùy chỉnh tên thương hiệu (custom brand name). Khi đó, chỉ cần có tài khoản và số tiền rất nhỏ là đã có thể fake (làm giả) một brand name, nhắn đến điện thoại bằng cách sử dụng dịch vụ tin nhắn khuyến mãi (Promotion SMS) - một tính năng trong dịch vụ mạng xã hội (Social Networking Service). Mặt khác, bản thân hệ điều hành cũng cho phép gom các brand name giống nhau vào cùng nhóm nên cực kì dễ giả mạo, trà trộn giữa tin nhắn SMS Brandname thật và tin giả mạo.

Như vậy, tin nhắn với nội dung giả mạo đã có thể gửi đến số điện thoại dưới tên của ngân hàng.
Bảo vệ ví tiền bằng cách nào?

Để không bị dẫn dụ truy cập vào các đường link dẫn đến các trang web giả mạo ngân hàng nơi mở tài khoản.

Trước tiên người dùng cần nắm rõ địa chỉ trang web chính thức của ngân hàng đó. Chỉ nên truy cập Internet Banking của ngân hàng theo đường dẫn chính thức hoặc sử dụng ứng dụng Mobile Banking của ngân hàng để thực hiện các giao dịch qua tài khoản.Bên cạnh đó, người dùng cần hiểu rằng các ngân hàng không gửi tin nhắn SMS đi kèm các đường link đăng nhập dịch vụ Digibank. Do đó, các tin nhắn có đường link đăng nhập dịch vụ đều là giả mạo.

Hai là, trước khi truy cập và điền thông tin cần kiểm tra kỹ đường dẫn (link) của trang web.

Nếu thấy có các ký tự bất thường trên đường link thì cần hiểu rằng đó là trang giả mạo, tuyệt đối không truy cập vào các đường link các trang không được xác thực, nên tham khảo thêm các phương thức bảo mật khi giao dịch online. Đồng thời, có thể dùng các kênh khác liên lạc ngay với đường dây nóng của ngân hàng đang quản lý tài khoản của mình.

Ba là, người dân cần lưu ý không cung cấp thông tin về các dịch vụ ngân hàng số gồm tài khoản đăng nhập, mật khẩu, mã xác thực (OTP), hoặc số thẻ tín dụng, cho bất kỳ ai; không truy cập, hoặc đăng nhập thông tin tên truy cập, mật khẩu đăng nhập Internet Banking hay Mobile Banking, mã xác thực (OTP), số tài khoản…của mình vào trang web hay liên kết khác với trang web hoặc đường dẫn Internet Banking của ngân hàng; không truy cập vào các đường link, liên kết trong tin nhắn hay email lạ hoặc không rõ nguồn gốc; không thực hiện giao dịch theo yêu cầu của các đối tượng lạ khi nhận được điện thoại, tin nhắn có nội dung liên quan đến giao dịch ngân hàng (truy cập vào link lạ, chuyển tiền qua ngân hàng, nạp thẻ, rút tiền, …); không cài đặt các ứng dụng chưa được xác thực trên kho ứng dụng, đặc biệt là theo yêu cầu của đối tượng lạ; không cho mượn hoặc cho thuê thông tin cá nhân để mở thẻ, tài khoản ngân hàng.

Bốn là, trường hợp khách hàng trót bấm vào đường link và tiết lộ thông tin, khách hàng cần khóa dịch vụ Digibank khẩn cấp bằng tin nhắn với cú pháp do bộ phận chăm sóc khách hàng của ngân hàng đó cung cấp, hoặc đến các điểm giao dịch (trong giờ hành chính) để được hỗ trợ.