Đến lượt khách hàng Vietcombank nhận tin nhắn lừa đảo
Sau ACB, TPbank, Sacombank, đến lượt ngân hàng Vietcombank bị giả mạo tin nhắn nhằm lừa đảo khách hàng.
Ngày 12/3, tài khoản Facebook Duong Vi Khoa đăng tải bài viết phản ánh tình trạng nhận được tin nhắn giả mạo ngân hàng Vietcombank.
“Chúng tôi phát hiện tài khoản của bạn đang tiêu dùng ở nước ngoài. Nếu không phải bạn đang tiêu dùng vui lòng nhấp vào https://i-vietcombank.com”, nội dung tin nhắn có brandname của Vietcombank đính kèm đường dẫn.
Tính đến sáng ngày 12/3, đường dẫn này đã không còn hoạt động khi truy cập. Khi truy cập, người dùng sẽ nhận được thông báo: “Do số lượng người dùng truy cập trang lớn nên web cần được nâng cấp, thời gian nâng cấp ước tính là 2 giờ, vui lòng thử lại sau”.
Tin nhắn được gửi tới thuê bao của nạn nhân.
Theo ghi nhận của Zing , trường hợp người dùng Việt Nam bị các tin nhắn giả mạo ngân hàng tấn công không hề hiếm. Trước Vietcombank, nhiều khách hàng của TPbank, ACB, Sacombank cũng thường xuyên phản ánh tình trạng này.
Thậm chí, một số người dùng vì lầm tưởng tài khoản ngân hàng cá nhân gặp vấn đề đã cả tin bấm vào đường dẫn, bị kẻ xấu khai thác thông tin và đánh mất số tiền lên tới hàng chục triệu đồng.
Phần lớn tin nhắn giả mạo sử dụng thủ đoạn thông báo tài khoản của người dùng xuất hiện đăng nhập bất thường và yêu cầu bấm vào đường dẫn để xác thực. Đường dẫn sẽ đưa nạn nhân đến một trang web có giao diện, bộ nhận diện thương hiệu trùng với ngân hàng bị giả mạo, đồng thời yêu cầu người dùng cung cấp tên truy cập và mật khẩu của tài khoản ngân hàng.
“Với tin nhắn thương hiệu ( SMS Brandname), hacker đã xây dựng được sự tin tưởng tuyệt đối, từ đó khai thác thông tin từ người dùng”, chuyên gia bảo mật Ngô Minh Hiếu nhận định.
SMS Brandname là dịch vụ tin nhắn hiển thị tên tổ chức, doanh nghiệp, gửi đến thuê bao di động của người dùng. Dịch vụ này thường được cung cấp bởi nhà mạng hoặc bên thứ 3.
Thay vì sử dụng thủ đoạn lừa đảo thông qua tin nhắn trên Facebook vốn khá phổ biến trước đây, các đối tượng lừa đảo đã khai thác lòng tin của người dùng nhờ những lỗ hổng của dịch vụ SMS Brandname.
Tổng đài viên ngân hàng Vietcombank cho biết công ty đã ghi nhận hàng loạt trường hợp tin nhắn giả mạo đầu số gửi tới khách hàng từ hôm 11/3.
Bên cạnh đó, ngân hàng đã phối hợp và xử lý đường dẫn giả mạo này. Vietcombank khẳng định đây là tin nhắn cho các đối tượng lừa đảo thực hiện, đồng thời tuyên bố không hề gửi bất cứ tin nhắn nào với nội dung như trên.
Video đang HOT
Chia sẻ thêm, phía Vietcombank khuyến cáo khách hàng không cung cấp thông tin tài khoản ngân hàng cá nhân cho đường dẫn giả mạo này. Nếu cảm thấy khả nghi hay phát hiện trường hợp tương tự, người dùng cần liên lạc ngay cho tổng đài của Vietcombank để được hỗ trợ.
Hôm 12/3, nhiều người dùng Vietcombank cho biết họ đã nhận được cảnh bảo của ngân hàng gửi qua email. Thông báo mô tả chi tiết hình thức lừa đảo, trùng khớp với phản ánh của nạn nhân trên.
Vietcombank cho biết một số đối tượng lừa đảo còn mạo danh nhân viên ngân hàng, trực tiếp gọi cho khách hàng và thông báo các vấn đề phát sinh với tài khoản của người dùng. Sau đó, kẻ gian yêu cầu khách hàng cung cấp thông tin bảo mật cá nhân, từ đó chiếm đoạt tiền trong tài khoản.
Vấn nạn tin nhắn giả mạo từ tin nhắn thương hiệu rộ lên từ tháng 2. Theo đó, nhiều khách hàng của Sacombank cho biết nhận được tin từ đầu số thương hiệu của ngân hàng này với yêu cầu nhập thông tin tài khoản. Đến nay, nhiều khách hàng cho biết họ vẫn tiếp tục nhận được loại tin nhắn lừa đảo như vậy. Điều này cho thấy lỗ hổng về SMS Brandname vẫn chưa được khắc phục triệt để.
Ngày 19/1, người dùng T.Q. tại TP.HCM nhận tin nhắn gửi từ đầu số Sacombank với nội dung “Phát hiện tài khoản của bạn đăng nhập khác vùng bất thường, vui lòng đăng nhập https://i-sacombank.com để xác nhận thông tin và thay đổi mật khẩu”.
Sau khi truy cập đường dẫn và nhập thông tin, OTP, chị Q nhận được thông báo tài khoản ngân hàng bị trừ 38,3 triệu đồng và số dư còn lại vỏn vẹn 100.000 đồng.
Đến ngày 31/1, nhiều người dùng cho biết họ nhận được tin nhắn với nội dung tương tự từ đầu số ACB.
Không chỉ khách hàng của Sacombank, hàng loạt người dùng từ các ngân hàng khác như ACB, Eximbank, TPBank cũng nhận tin nhắn lạ từ các đầu số ngân hàng.
Sang tháng 3, nhiều người dùng cho biết họ nhận được tin nhắn từ đầu số thương hiệu của ngân hàng Vietcombank.
Cần làm gì khi nhận tin nhắn lạ từ ngân hàng?
Trong giai đoạn này, người dùng cần đặc biệt cảnh giác khi nhận tin nhắn từ các đầu số ngân hàng. Tuyệt đối không bấm vào các đường link và đăng nhập từ các tin nhắn nhận được.
Thời gian qua, nhiều người dùng Sacombank, TPbank, ACB phản ánh việc nhận được những tin nhắn từ đầu số ngân hàng, thông báo việc tài khoản có đăng nhập bất thường và yêu cầu bấm vào đường dẫn để xác thực.
Khi bấm vào đường dẫn trong tin nhắn, người dùng được yêu cầu nhập tên truy cập, mật khẩu dịch vụ ngân hàng điện tử. Có trường hợp người dùng đã mất số tiền lớn sau khi cung cấp các thông tin đăng nhập, bao gồm cả mã xác thực một lần (OTP) vào trang web.
Tin nhắn lừa đảo từ đầu số Sacombank, với đường dẫn dễ khiến người dùng nhầm lẫn.
Ngày 2/2, trả lời Zing , đại diện ngân hàng Sacombank khẳng định tin nhắn chứa đường link yêu cầu người dùng đăng nhập là giả mạo, dù đến từ đầu số của chính Sacombank. ACB và TPBank cũng phát đi những thông báo khuyến cáo người dùng.
Lỗ hổng tin nhắn thương hiệu
Các thủ đoạn lừa người dùng tự nhập thông tin cá nhân được gọi chung là phishing. Trong cách lừa đảo này, kẻ thực hiện phải tạo ra sự tin tưởng cho người dùng để họ sẵn sàng cung cấp thông tin.
Trước đây, nhiều người dùng đã bị lừa bằng tin nhắn qua Facebook, các dịch vụ OTT để bấm vào đường dẫn có địa chỉ gần giống trang web của các tổ chức tài chính. Gần đây, thủ đoạn giả mạo đầu số của ngân hàng (tin nhắn thương hiệu) nâng mức độ khai thác lòng tin người dùng lên một tầm mới.
Hàng loạt đầu số thương hiệu (brandname) từ nhiều ngân hàng ở Việt Nam đang bị mạo danh, gửi tin nhắn lừa đảo đến người dùng.
Lỗ hổng hiện tại đang bị khai thác là dịch vụ tin nhắn thương hiệu (SMS Brandname). Đây là dịch vụ tin nhắn cho phép hiển thị tên người gửi là tổ chức, doanh nghiệp khi nhắn tin đến thuê bao di động của người dùng. Việc hiển thị thương hiệu quen thuộc trong tin nhắn khiến người dùng dễ tin vào nội dung, mất cảnh giác.
Nội dung tin nhắn thương hiệu từ ngân hàng thường liên quan đến biến động số dư, xác thực qua tin nhắn hoặc các chương trình quảng cáo. Các nội dung mang tính hù dọa hoặc kích thích lòng tham thường là những cái bẫy giả mạo ngân hàng.
Ai cung cấp dịch vụ SMS Brandname?
Để đăng ký tin nhắn thương hiệu thì cá nhân hoặc doanh nghiệp có thể làm việc trực tiếp với các nhà mạng hoặc nhà cung cấp dịch vụ bên thứ ba.
Trong trường hợp trực tiếp làm việc với nhà mạng, người làm thủ tục đăng ký cần cung cấp các giấy tờ liên quan như giấy phép kinh doanh, biểu mẫu công văn đăng ký gửi nhà mạng. Tuy vào lĩnh vực kinh doanh, nhu cầu sử dịch vụ, người đăng ký sẽ phải khai báo cũng như cung cấp thêm các thông tin khác nhau.
Đối với các bên thứ 3 cung cấp dịch vụ SMS Brandname khách hàng cũng cung cấp đầy đủ giấy tờ liên quan và khai chi tiết theo từng lĩnh vực hoạt động. Bên trung gian sẽ cung cấp thông tin khách hàng và gửi trực tiếp đến nhà mạng.
Chia sẻ với Zing , đại diện của nhà mạng VNPT, Viettel đều khẳng định nhà mạng là đơn vị trực tiếp quản lý dịch vụ được cung cấp tới khách hàng mà không thông qua bên thứ 3 nào cả. Đối với bên thứ 3, các dịch vụ hay vấn đề liên quan đến khách hàng đều thuộc sự quản lý của nhà mạng.
Vì sao có thể giả mạo đầu số ngân hàng?
Trao đổi với Zing , chuyên gia bảo mật Ngô Minh Hiếu, hiện làm việc tại TP.HCM nhận định cách tấn công, lừa đảo này khá tinh vi.
Giao diện đăng nhập của trang web giả mạo sao chép trang web thật. Phần địa chỉ cũng có tên ngân hàng, nhưng nếu nhìn kỹ sẽ nhận ra không phải địa chỉ đúng.
Theo ông Hiếu, có 3 kịch bản chính khiến người dùng nhận tin nhắn giả mạo từ đầu số thương hiệu.
Ở kịch bản đầu tiên, hacker sẽ tạo ra một trạm BTS (trạm phát sóng) bằng các thiết bị chuyên dụng. Từ đó, hacker sẽ gửi đi những gói tin nhắn đã được sửa đổi nội dung đến nạn nhân.
Với kịch bản thứ 2, hacker sẽ tấn công vào đơn vị cung cấp dịch vụ SMS brandname của các ngân hàng. Nếu làm được việc này, quy mô lừa đảo sẽ rất lớn bởi hacker sẽ gửi ồ ạt tin nhắn đến hàng triệu người dùng.
Ở kịch bản thứ 3, hacker sẽ đăng ký tin nhắn thương hiệu từ các quốc gia khác bên ngoài lãnh thổ Việt Nam trùng với tên của các ngân hàng bị ảnh hưởng vừa qua. Khi gửi tin nhắn, đầu số thương hiệu giống nhau có thể bị gộp lại cùng một luồng. Kịch bản này khả thi nhất so với hai kịch bản trên.
Vụ việc hiện vẫn đang trong quá trình điều tra, do vậy chưa thể kết luận kẻ gian đã sử dụng kịch bản nào để tấn công người dùng.
Làm gì khi nhận tin nhắn lừa đảo?
Trong trường hợp này, đối tượng lừa đảo đã giả mạo đầu số nhắn tin của ngân hàng, khiến người dùng dễ mất cảnh giác.
Nội dung tin nhắn đánh vào tâm lý lo sợ mất tài khoản, khi thông báo có người lạ đăng nhập cũng khiến người dùng dễ lo lắng, bấm vào đường dẫn hơn.
Bạn có thể nghi ngờ khi có tin nhắn với nội dung khác hẳn các tin nhắn thông thường từ đầu số của ngân hàng.
Tuy nhiên, vẫn có một số dấu hiệu để người dùng có thể nhận biết tin nhắn là giả mạo. Dưới đây là các bước kiểm tra tin nhắn từ ngân hàng:
Đầu tiên, khi nhận tin nhắn từ một ngân hàng, người dùng có thể kiểm tra lại xem mình có phải khách hàng, dùng dịch vụ của ngân hàng đó hay không. Kiểm tra kỹ nội dung tin nhắn đến từ đầu số ngân hàng xem có giống cách trình bày của các tin nhắn phía trên, đã từng nhận của ngân hàng hay không. Ghi nhớ website giao dịch chuẩn của ngân hàng mà mình sử dụng. Nên kiểm tra kỹ địa chỉ website trong tin nhắn, nhất là các ký tự đặc biệt. Chỉ thực hiện giao dịch bằng ứng dụng, website chính thức của ngân hàng. Không nhấp vào đường link bên trong tin nhắn SMS lúc này. Cài đặt xác thực hai lớp. Xác thực hai lớp giúp giảm thiệt hại nếu người dùng lộ mật khẩu. Lớp xác thực thứ hai có thể là SMS, token, soft token, xác thực sinh trắc học trong ứng dụng ngân hàng. Tuyệt đối không chia sẻ, cung cấp thông tin đăng nhập cho bất kỳ ai, qua bất kỳ hình thức giao tiếp nào. Khi nghi ngờ bị mất thông tin, hoặc nghi ngờ một tin nhắn là giả mạo, bạn cần gọi ngay tới đường dây nóng của các ngân hàng, được đăng tải trên các website. Các nội dung mang tính hù dọa mất tiền hoặc kích thích lòng tham bằng lợi nhuận cao thường là những cái bẫy.
Cảnh báo: Sau các trang web bán vé máy bay, đến lượt website ngân hàng giả xuất hiện tràn lan, thủ đoạn lừa đảo cực kỳ tinh vi Sau hàng loạt các website lừa đảo bán vé máy bay, thì hiện nay các website lừa đảo giả mạo ngân hàng đang "mọc" lên ngày càng nhiều khiến người dùng hoang mang. Mới đây, sau một loạt các trang web lừa đảo bán vé máy bay xuất hiện rộng rãi trên Internet, người dùng lại hoang mang hơn khi đến lượt các...