Màn hình hiện đúng số người thân vẫn có thể là cuộc gọi lừa đảo

Với kỹ thuật Caller ID Spoofing, kẻ gian có thể mạo danh bất kỳ số ngân hàng hay công an để thực hiện lừa đảo.

Một ứng dụng trên App Store có thể giả mạo số điện thoại hiển thị (Ảnh: Trung Nam).

Caller ID Spoofing (giả mạo số hiển thị) không phải là công nghệ mới. Kỹ thuật này đã tồn tại hơn 20 năm, nhưng sự bùng nổ của giao thức VoIP (truyền giọng nói qua Internet) đã xóa bỏ mọi rào cản về chi phí và trình độ.

Về mặt kỹ thuật, một cuộc gọi được chia làm hai phần độc lập: Danh tính thực của nguồn gọi và thông tin hiển thị. Kẻ gian sử dụng các nền tảng trung gian như Cloud Call hoặc bot Telegram để can thiệp vào trường dữ liệu hiển thị, buộc điện thoại người nhận hiện đúng số hotline của các tổ chức uy tín.

Theo chuyên gia an ninh mạng Ngô Minh Hiếu (Hiếu PC), người gọi không nhất thiết phải dùng đúng số thật của họ khi thực hiện cuộc gọi, nhưng điện thoại người nhận vẫn có thể hiển thị một số khác trên màn hình.

“Nói cách khác, số mình nhìn thấy chưa chắc là số thật đang gọi. Một số cơ quan quản lý viễn thông trên thế giới cũng đã cảnh báo rõ rằng kẻ gian có thể làm cho màn hình hiển thị bất kỳ số hoặc tên nào để tạo cảm giác tin tưởng.

Đáng lo ngại hơn, các cơ chế xác thực số điện thoại của một số dịch vụ quốc tế (như Twilio hay MessageBird trước đây) có thể bị vượt qua nếu khâu kiểm soát không chặt chẽ. Chính vì thế, kẻ xấu có thể thực hiện các cuộc gọi chuyển tiếp: Cuộc gọi được kết nối tới số thật của kẻ lừa đảo nhưng người nhận vẫn thấy số điện thoại của ngân hàng hoặc cơ quan chức năng trên màn hình”, ông Ngô Minh Hiếu giải thích.

Khi đã thiết lập được sự tin tưởng ban đầu nhờ số điện thoại “chuẩn”, kẻ lừa đảo thường triển khai các kịch bản đánh vào nỗi sợ hãi hoặc lòng tham như thông báo tài khoản bị khóa, yêu cầu xác minh giao dịch bất thường để chiếm đoạt mã OTP hay hăm dọa nạn nhân liên quan đến các vụ án ma túy, rửa tiền, yêu cầu chuyển tiền vào “tài khoản an toàn” để điều tra.

Bên cạnh đó, chúng cũng có thể giả danh tổng đài ngân hàng, dùng số điện thoại giả làm bằng chứng xác minh để yêu cầu thay đổi mật khẩu hoặc thu thập thông tin cá nhân.

Theo đó, để không trở thành nạn nhân của kỹ thuật này, người dùng và tổ chức cần thay đổi tư duy về xác thực số điện thoại.

Đối với cá nhân, dù số hiển thị đúng 100% tên ngân hàng, hãy luôn hoài nghi nếu nội dung cuộc gọi yêu cầu cung cấp OTP, mật khẩu hoặc chuyển tiền.

“Các ứng dụng giả mạo hiện nay chỉ có thể thực hiện cuộc gọi đi, không thể nhận cuộc gọi đến. Khi nghi ngờ, hãy cúp máy và chủ động gọi lại vào số hotline chính thức.

Nếu đầu dây bên kia là nhân viên thật, họ sẽ xác nhận được vụ việc. Và đặc biệt không có bất kỳ tổ chức tài chính hay cơ quan nhà nước nào yêu cầu người dân cung cấp mã xác minh qua điện thoại”, chuyên gia Ngô Minh Hiếu cảnh báo.

Trong khi đó, đối với tổ chức tài chính, ông Hiếu cho rằng, các đơn vị cần ngừng sử dụng số điện thoại gọi đến như là yếu tố duy nhất để xác minh danh tính khách hàng. Kẻ gian có thể lợi dụng để yêu cầu đổi mật khẩu, thay đổi thông tin, mở khoá tài khoản hoặc khai thác thêm dữ liệu.

Việc triển khai xác thực đa lớp (MFA), chẳng hạn như xác nhận qua thông báo ứng dụng hoặc sinh trắc học, là yêu cầu cấp thiết để bảo vệ hệ thống trước các cuộc gọi giả mạo.

Facebook, Messenger, WhatsApp triển khai loạt công cụ chống lừa đảo mớiĐội ngũ chuyên gia tại Meta - công ty mẹ của Facebook, Messenger, WhatsApp đã phát triển các công cụ mới để cảnh báo người dùng trước khi họ tương tác với những nội dung đáng ngờ. Meta đang triển khai các công cụ mới trên Facebook, Messenger và WhatsApp để giúp bảo vệ người dùng khỏi các hành vi lừa đảo, đồng...