Giải pháp nhận diện khuôn mặt khi chuyển tiền ngân hàng mới được áp dụng đã có ngay “đối thủ”: mặt nạ silicon. Các dịch vụ cần xác thực qua mã OTP gửi về điện thoại đã có dịch vụ cho thuê SIM nhận mã với giá chỉ vài ngàn đồng. Công cụ tạo cuộc gọi và tin nhắn định danh được cung cấp tràn lan có thể thuê dễ dàng.
Khi các công cụ mới chống lừa đảo như xác thực sinh trắc học, cuộc gọi định danh được đưa ra thì bọn tội phạm lừa đảo trực tuyến cũng tăng cường trang bị “vũ khí” đối phó trong thời gian gần đây. Đó là cuộc rượt đuổi không có hồi kết.
Khách hàng khó thông minh trong ma trận lừa đảo
Cách đây vài ngày, người viết bài này nhận được cuộc gọi từ số điện thoại để bàn của một người tự xưng là nhân viên bảo hiểm xã hội (BHXH)quận 8 yêu cầu đến cập nhật thông tin cá nhân. Đây là một cuộc gọi lừa đảo vì người này mạo danh BHXH quận 8 là nơi tôi cư trú nhưng hề không biết tôi lại đăng ký bảo hiểm ở nơi làm việc tại một quận khác.
Điểm đáng chú ý lần này là kẻ mạo danh áp dụng một quy trình mới để kiểm tra và “tạo uy tín”. Đầu tiên là một cuộc gọi từ số điện thoại để bàn nhá máy rồi cúp, sau đó đến cuộc gọi thật. Khi nghe xưng danh nhân viên BHXH quận 8, biết là lừa đảo tôi cúp máy.
Khác với mọi khi, lần này “nhân viên bảo hiểm quận” táo tợn dùng số điện thoại di động gọi lại chất vấn “tại sao anh chưa nghe hết mà cúp máy?”. Kẻ mạo danh này chỉ bỏ cuộc khi nghe tôi chất vấn một số thông tin và anh ta cắt ngang cuộc gọi.
Thực tế này cho thấy, nạn lừa đảo vẫn đang hoành hành và mức độ ngày càng tăng. Ngay cả khi người nghe có dấu hiệu phản ứng rõ ràng như cúp máy, kẻ lừa đảo vẫn tung chiêu dùng số di động để gọi lại nhằm tạo ra hình ảnh “đáng tin cậy” của nhân viên nhà nước thay vì bỏ cuộc.
Mới đây Bộ Công an tiếp tục đưa ra cảnh báo về tình trạng tin nhắn SMS brandname giả mạo cơ quan nhà nước, doanh nghiệp được gửi hàng loạt từ trạm phát sóng điện thoại di động (BTS) giả mạo đến người dùng với mục đích lừa đảo chiếm đoạt tài sản(1). Cảnh báo của Bộ Công an cho thấy, tình trạng lừa đảo thông qua cuộc gọi, tin nhắn định danh (voice, SMS brandname) vẫn chưa giảm.
Nạn lừa đảo vẫn đang hoành hành và mức độ ngày càng tăng. Ngay cả khi người nghe có dấu hiệu phản ứng rõ ràng như cúp máy, kẻ lừa đảo vẫn tung chiêu dùng số di động để gọi lại nhằm tạo ra hình ảnh “đáng tin cậy” của nhân viên nhà nước thay vì bỏ cuộc.
Hồi cuối năm 2023, cuộc gọi định danh được đưa ra như một vũ khí chống lừa đảo mới nhưng mục tiêu này đã không đạt được. Với vài ngàn đô la Mỹ, người ta có thể thuê một hệ thống tạo SMS, voice brandname do các công ty ở nước ngoài cung cấp. Tất nhiên, các công ty này không cần kiểm tra giấy tờ hay tuân thủ quy định như các công ty trong nước và nằm ngoài vùng phủ sóng của pháp luật Việt Nam. Từ kẽ hở này, các băng nhóm tội phạm có thể tạo ra bất kỳ thương hiệu nào cho cuộc gọi, tin nhắn mạo danh để lừa đảo.
Cũng trong tuần qua, tại một hội thảo do Hiệp hội An ninh mạng quốc gia tổ chức, Bộ Công an cho biết, nạn buôn bán dữ liệu cá nhân vẫn phổ biến, được tổ chức có hệ thống, thậm chí có cam kết “bảo hành”. Một số đường dây mua bán cả dữ liệu bí mật, nội bộ của cơ quan nhà nước. Số lượng dữ liệu cá nhân bị mua bán trái phép đã phát hiện lên tới hàng ngàn GB(2).
Trên các trang mạng giao dịch “đen” gần đây còn có cả những công cụ mới để qua mặt việc nhận diện khuôn mặt hay chống dò truy vết qua số điện thoại di động. Để chống truy vết qua số điện thoại di động, bọn tội phạm có thể dùng dịch vụ cho thuê SIM ảo để nhận mã OTP kích hoạt dịch vụ chẳng hạn như e-mail, trình nhắn tin, tài khoản mạng xã hội, tài khoản sàn thương mại điện tử. Giá dịch vụ được rao trên mạng từ 1.200-3.700 đồng cho một lần nhận mã OTP.
Mặt nạ silicon hiện được bán rộng rãi qua các sàn giao dịch trực tuyến ở Trung Quốc và có thể đặt với số lượng không hạn chế. Người mua cung cấp các chi tiết cần thiết để tạo ra mặt nạ như ảnh chụp, các số đo hay bản quét 3D để nhà sản xuất in ra. Giá mặt nạ silicon chất lượng cao đến vài chục triệu đồng và phải mất vài tuần để sản xuất. Tại Trung Quốc đã có những vụ tội phạm mở khóa điện thoại bằng nhận dạng khuôn mặt thông qua mặt nạ silicon tạo ra từ ảnh chụp chủ nhân.
Với hàng loạt vũ khí như vậy của bọn lừa đảo và cộng thêm tình trạng lộ thông tin cá nhân hàng loạt, việc người tiêu dùng muốn thông minh để tự bảo vệ mình chẳng phải là điều dễ dàng.
Doanh nghiệp phải tăng cường gác cửa
Trong bối cảnh lừa đảo trực tuyến lộng hành, việc nâng cấp hệ thống quản lý ID là điều rất quan trọng đối với những doanh nghiệp có lượng khách hàng lớn như nhà mạng di động, chứng khoán hay ngân hàng. Hệ thống càng lớn, đa dạng chức năng và người dùng càng nhiều thì việc quản lý ID càng phức tạp. Đây cũng chính là một trong những con đường giúp hacker xâm nhập.
Nói một cách đơn giản, lỗ hổng từ quản lý ID sẽ giúp hacker có thể xâm nhập hệ thống tương tự như việc có chìa khóa mở dù cánh cửa có được trang bị ổ khóa tốt đến đâu đi nữa.
Tại Việt Nam đã từng xảy ra trường hợp hacker xâm nhập, nằm vùng hàng nửa năm trời trong hệ thống một ngân hàng. Sau khi nghiên cứu quy trình nghiệp vụ, hacker đã âm thầm tạo ra một loạt ID đủ các cấp từ thấp đến cao trong hệ thống để chuyển tiền ra ngoài. Thông tin này được một chuyên gia chia sẻ tại một sự kiện an ninh mạng vài tuần trước đây.
Điều này tương tự như hacker có một bộ đầy đủ chìa khóa để mở các cửa đi vào, mở két sắt rồi dùng chính xe chở tiền của ngân hàng ung dung lái đi công khai qua cổng bảo vệ trót lọt.
Bao trùm lên quản lý ID là hệ thống bảo mật công nghệ thông tin và quản lý dữ liệu của doanh nghiệp. Một hệ thống đúng chuẩn phải quản lý được trọn một vòng đời từ khi tạo tài khoản đến khi đóng tài khoản, không chỉ tài khoản khách hàng mà cả tài khoản nhân viên.
Muốn ngăn chặn xâm nhập tài khoản trái phép thì hệ thống quản lý ID phải nhận diện kịp thời những dấu hiệu đáng nghi ngờ trong quá trình đăng nhập, chẳng hạn như tốc độ gõ bàn phím để nhập thông tin, vị trí địa lý nơi tài khoản đăng nhập khác lạ so với các địa điểm đăng nhập hàng ngày.
Việc phát hiện kịp thời các dấu hiệu bất thường sẽ giúp hệ thống quản lý ID đưa ra quyết định yêu cầu bổ sung thêm biện pháp xác thực để bảo đảm người đăng nhập là chính chủ, không phải một ai khác đang mạo danh sử dụng định danh của họ.
Dưới góc độ của cả khách hàng lẫn các chuyên gia an ninh mạng, không thể đổ hết lỗi cho việc khách hàng nhấn vào link lạ, cài app lạ mà cả ngân hàng và nhà mạng viễn thông cũng phải liên đới trách nhiệm.
Đây cũng là lập luận mà hồi cuối năm 2023, Cơ quan Tiền tệ Singapore (MAS) cho rằng khi khách hàng bị lừa mất tiền, trách nhiệm bắt đầu từ các ngân hàng, rồi đến các công ty viễn thông và cuối cùng mới đến người tiêu dùng. Tiếc rằng ở Việt Nam, cho đến nay vẫn chưa có quy định này nên chỉ có khách hàng là người mất tiền khi chẳng may bị lừa.
Nghi Đồng
