Chỉ trong thời gian ngắn, hàng loạt ngân hàng (NH) dồn dập cảnh báo khách hàng về những chiêu lừa của tội phạm công nghệ cao nhằm đánh cắp tiền trong tài khoản nhưng thực tế vẫn có nhiều người sập bẫy. Thủ đoạn được kẻ gian sử dụng nhiều gần đây là dựng cột sóng giả, gửi tin nhắn mạo danh NH để đánh lừa người dùng.

Chiêu lừa ngày càng tinh vi

Mới đây, anh T. (ngụ TP HCM) nhận được tin nhắn từ NH TMCP Á Châu (ACB), nơi anh mở tài khoản với thông báo: "Chung toi phat hien tai khoan cua ban dang tieu dung o nuoc ngoai. Neu khong phai ban dang tieu dung vui long nhap vao https://v-acb.com de huy thanh toan...". Mất cảnh giác do lo lắng, anh truy cập vào đường link, làm theo hướng dẫn và tài khoản sau đó bị trừ 3,3 triệu đồng.

Thậm chí, nhiều người không phải khách hàng của ACB cũng nhận được tin nhắn mạo danh ACB kèm đường link giả mạo tương tự. Anh Quốc (ngụ quận Bình Thạnh, TP HCM) cho biết anh không có tài khoản ACB nhưng cũng nhận được SMS mạo danh NH này, yêu cầu truy cập vào đường link giả mạo. "Tôi không có tài khoản ACB mà cũng nhận được tin nhắn, cho thấy thủ đoạn của kẻ gian là gửi cho rất nhiều người, ai dễ tin sẽ bị lợi dụng, mất tiền" - anh Quốc nói.

Nhiều chủ tài khoản của NH TMCP Ngoại thương Việt Nam (Vietcombank), NH TMCP Kỹ Thương Việt Nam (Techcombank)... cũng nhận được tin nhắn với nội dung tương tự, kèm đường link có chứa mã độc. Khách hàng truy cập vào link và làm theo hướng dẫn, tiền trong tài khoản sẽ tự động bị "bốc hơi".

Lãnh đạo một NH thương mại kể bạn ông dù liên tục được cảnh báo nhưng vẫn bị mất tiền với chiêu lừa này, khi cung cấp thông tin tài khoản và cả mã xác thực (OTP) cho kẻ gian.

Theo ông Trương Văn Cường, Trưởng Bộ phận An ninh mạng Trung tâm Đào tạo quản trị và an ninh mạng Athena, sở dĩ vẫn có nhiều người mất tiền trong tài khoản NH là do có điều kiện thuận lợi cho giới tội phạm, như thông tin cá nhân của người dùng bị rò rỉ, vô tình cung cấp các thông tin bảo mật cho kẻ gian... "Để có thể lấy tiền của người khác trong tài khoản NH cần phải có thông tin tài khoản, mật khẩu truy cập qua các hình thức giao dịch trực tuyến như Mobile Banking, Internet Banking, OTP. Kẻ gian sẽ tìm mọi cách để có được đầy đủ những thông tin này và cách đơn giản nhất là lừa đảo người dùng" - ông Cường phân tích.

Trước đây các thủ đoạn lừa đảo chủ yếu là tạo ra các trang web giả mạo, sau đó lừa người dùng truy cập bằng các dạng tin giả trên các nền tảng mạng xã hội... Thủ đoạn này sau một thời gian không còn hiệu quả, vì người dùng bắt đầu cảnh giác. "Gần đây, giới tội phạm công nghệ cao đã đầu tư nhiều hơn trong việc xác định đối tượng, sử dụng phương thức mới hơn, cụ thể là giả các đầu số NH để gửi tin nhắn SMS vào số điện thoại của người dùng. Hình thức này khiến người dùng tin tưởng và làm theo vì chưa cập nhật kịp các thông tin về những hình thức lừa đảo cũ" - chuyên gia của Athena nói.

Cân nhắc giữa "bảo mật và tiện lợi"

Theo Cục An toàn thông tin - Bộ Thông tin và Truyền thông, kẻ gian đã sử dụng thiết bị phát sóng di động giả mạo để phát tán tin nhắn nhắm vào người dùng của các tổ chức tài chính, NH, như: TPBank, Sacombank, ACB, ZaloPay... Đây là những thiết bị có nguồn gốc từ nước ngoài, được đối tượng mua bán và sử dụng trái phép nhằm mục đích phát tán tin nhắn rác, giả mạo để lừa đảo người dùng, đặc biệt là những người sống ở khu vực đô thị.

Chuyên gia thanh toán Đặng Công Hoàn nhận định tội phạm công nghệ cao đang ngày càng tinh vi hơn do sự phát triển rất nhanh của công nghệ. Công nghệ thanh toán đã có sự phát triển vượt bậc, vượt qua nhiều giới hạn, nguyên lý cung cấp dịch vụ truyền thống. Trong quá trình đó, tội phạm đã tận dụng các "khoảng hổng" trong hoạt động cung cấp dịch vụ của các NH và trung gian thanh toán cho khách hàng để thực hiện hành vi lừa đảo.

"Việc liên tiếp xuất hiện những hình thức lừa đảo mới như giả số điện thoại tổng đài, giả trang web, giả tin nhắn thương hiệu không phải do hệ thống các NH không đủ bảo mật mà do trong quá trình triển khai NH chưa tạo ra các thiết chế, quy trình đầy đủ để kịp thời bảo vệ khách hàng. Các NH và tổ chức cung ứng dịch vụ cần nỗ lực hơn trong việc phối hợp với cơ quan quản lý nhà nước để tuyên truyền, hướng dẫn sâu rộng những kiến thức, nghiệp vụ, quy tắc phổ quát, từ đó giúp người dân tự phòng ngừa tội phạm hữu hiệu hơn" - ông Đặng Công Hoàn nói.

Lãnh đạo một số NH cho biết để ứng phó với tội phạm công nghệ cao, NH phải thường xuyên rà soát và yêu cầu gỡ bỏ những website lừa đảo, mạo danh NH. Dù vậy, cứ gỡ trang web này lại mọc ra trang web khác với máy chủ thường đặt ở nước ngoài.

Phó tổng giám đốc một NH cổ phần quy mô lớn cho hay đầu tư công nghệ là nhiệm vụ thường xuyên, liên tục của NH để sớm phát hiện, ngăn chặn những cuộc tấn công vào dữ liệu, hệ thống của các hacker. Trong khi thủ đoạn lừa đảo của tội phạm công nghệ cao chủ yếu là đánh trực tiếp vào người dùng. "Tâm lý sợ mất tiền nên làm theo yêu cầu của kẻ gian là một trong những nguyên nhân khiến khách hàng bị đánh cắp tiền trong tài khoản" - vị phó tổng giám đốc NH cổ phần trên nói.

Về giải pháp ngăn chặn lừa đảo, chuyên gia Trương Văn Cường cho rằng nếu bảo mật quá cao, sự tiện dụng sẽ giảm xuống. Như người dùng có thể lựa chọn thiết bị "OTP-token" - mã OTP sẽ sinh ra trên thiết bị riêng chứ không gửi về email hay SMS nhưng lúc này người dùng phải luôn mang theo thiết bị bên người. Tuy nhiên, trong trường hợp người dùng bị lừa gạt để nhập OTP vào trang web giả mạo vẫn bị mất tiền, vì nguy cơ xuất phát từ người dùng chứ không phải từ phía NH.

Theo ông Cường, SMS OTP hiện nay vẫn là giải pháp xác thực lớp thứ 2 tiện dụng và bảo mật. Tuy nhiên, SMS lại có giới hạn về mặt công nghệ, khi cho phép những kẻ khác làm giả được thông tin người gửi. Hiện một số NH đã ưu tiên sử dụng giải pháp khác là dùng SmartOTP trên các ứng dụng của NH, chỉ khi đăng nhập vào ứng dụng mã OTP mới được gửi về và an toàn hơn rất nhiều.