Rộ chiêu lừa đảo đánh cắp tài khoản ngân hàng, rút sạch tiền dịp cận Tết

Thảo Thu - Nhật Quang17:28 15/01/2025

Chuyên gia cảnh báo nhiều trường hợp kẻ gian cố tình nhập sai mật khẩu khiến tài khoản ngân hàng của người dùng bị khóa, sau đó hacker đóng vai nhân viên ngân hàng lừa cài mã độc lên điện thoại.

Chuyên gia an ninh mạng Ngô Minh Hiếu, người sáng lập dự án Chống lừa đảo, đưa ra cảnh báo về hình thức lừa đảo mới khiến nhiều người mất tiền trong ngỡ ngàng.

Cụ thể, ông nêu, các hacker (tin tặc) thường thu thập và mua thông tin cá nhân, tài khoản ngân hàng trên các “chợ đen” giao dịch dữ liệu hoặc tìm kiếm dữ liệu công khai bị lộ do chính người dùng đăng tải trên Google, Facebook, Telegram, hoặc các diễn đàn của giới hacker.

Sau khi thu thập dữ liệu, hacker sử dụng tên đăng nhập và mật khẩu từ tệp dữ liệu lộ lọt để thử đăng nhập vào các tài khoản liên quan. Trong một số trường hợp, các đối tượng có thể truy cập thành công, cho phép xem số dư tài khoản và thu thập thêm thông tin cá nhân của nạn nhân.

Tuy nhiên, thay vì chỉ dừng lại ở việc khai thác thông tin, hacker thường cố tình khiến tài khoản bị vô hiệu hóa. Đây là bước chuẩn bị để thực hiện các hành vi tấn công tiếp theo, thường là những hành động phức tạp hơn nhằm chiếm đoạt tài sản hoặc thực hiện các hành vi lừa đảo, ông Hiếu nhấn mạnh.

Rộ chiêu cướp tiền ngân hàng từ việc kiểm soát điện thoại (Ảnh minh họa: Nhật Quang).

Ông Hiếu cho biết thông thường ở Việt Nam tài khoản đăng nhập ngân hàng có thể là số điện thoại, tên đăng nhập, chữ số ngẫu nhiên do ngân hàng cấp, và địa chỉ email. Sau đó, hacker dùng mật khẩu ngẫu nhiên để cố tình đăng nhập sai nhiều lần, khiến tài khoản của nạn nhân bị khóa.

Điều này được thực hiện có chủ đích, vì hacker biết rõ ngân hàng nào sẽ kích hoạt tính năng khóa tài khoản sau một số lần đăng nhập sai, dù đang trên một thiết bị mới hoàn toàn. Với một số ngân hàng, hacker sử dụng website, trong khi số khác có thể xử lý việc đăng nhập sai dẫn đến khóa tài khoản thông qua ứng dụng (app).

Khi tài khoản bị khóa, một số ngân hàng chỉ tạm thời khóa truy cập trong một khoảng thời gian nhất định. Một số khác sẽ khóa hẳn tài khoản, buộc nạn nhân phải đến trực tiếp ngân hàng để khôi phục.

Theo ông Hiếu, hacker rất thông thạo cách vận hành của từng ngân hàng và thường sử dụng phương pháp loại trừ để tập trung vào các ngân hàng cho phép thiết lập lại tài khoản thông qua các thao tác online. Trong trường hợp này, nạn nhân có thể nhận mã OTP qua SMS, xác thực sinh trắc học trực tuyến, hoặc thực hiện các bước đơn giản mà không cần đến quầy giao dịch.

Sau khi làm vô hiệu hóa tài khoản ngân hàng của nạn nhân, hacker giả danh nhân viên ngân hàng và gọi điện trực tiếp để tiếp cận nạn nhân.

Chiêu thức thao túng tâm lý để rút tiền

Khi hacker thao túng thành công tâm lý của nạn nhân bằng các kịch bản được chuẩn bị kỹ lưỡng, họ sẽ bắt đầu dẫn dụ nạn nhân tải ứng dụng app độc hại thông qua đường link giả hoặc quét mã QR chứa mã độc.

Có 2 cách lừa đảo thường thấy. Cách thứ nhất là hacker thực hiện các giao dịch nhỏ dưới 10 triệu đồng/lần, đảm bảo tổng số giao dịch trong ngày không vượt quá 20 triệu đồng để tránh các bước xác minh sinh trắc học hoặc bảo mật nâng cao.

Hacker gửi cho nạn nhân một đường link dẫn đến trang web giả mạo, thiết kế giống hệt website chính thức của ngân hàng hoặc tổ chức tài chính.

Khi nạn nhân nhập thông tin tài khoản, hacker sử dụng kỹ thuật theo dõi thời gian thực để nắm bắt dữ liệu. Thông tin này bao gồm, tên đăng nhập và mật khẩu, mã OTP được gửi qua tin nhắn văn bản SMS hoặc email, mã PIN dùng cho SmartOTP, ảnh chụp mặt trước và sau của thẻ tín dụng…

Hacker tiếp tục điều hướng các thao tác trên website giả mạo, thực hiện các hành động chuyển khoản hoặc lấy thêm thông tin cần thiết cho các giao dịch tiếp theo.

Cách thứ 2 thường thấy khi hacker chiếm đoạt số tiền lớn qua ứng dụng app giả mạo. Hacker sử dụng các kịch bản tinh vi để lừa đảo chiếm đoạt số tiền lớn, nhắm vào người dùng Android thông qua việc giả mạo tổ chức uy tín và dẫn dụ nạn nhân tải ứng dụng độc hại. Họ liên hệ qua điện thoại, Zalo, các app OTT, email, hoặc tin nhắn, tạo cảm giác cấp bách, yêu cầu nạn nhân thực hiện theo chỉ dẫn.

Sau khi nạn nhân cài đặt ứng dụng, hacker sẽ theo dõi toàn bộ hoạt động trên thiết bị, thu thập thông tin nhạy cảm, bao gồm mật khẩu, OTP, hoặc mã PIN và thực hiện các giao dịch lớn hoặc chiếm đoạt tài khoản.

Chuyên gia an ninh mạng Ngô Minh Hiếu nhấn mạnh người dùng điện thoại tuyệt đối không cài phần mềm lạ, lậu, không tải phim lậu, game lậu.

Ông Hiếu gợi ý việc sử dụng mật khẩu dài, bao gồm chữ thường, chữ hoa, số, và ký tự đặc biệt.

Bên cạnh đó, khách hàng không lưu thông tin quan trọng như mật khẩu, mã OTP, mã PIN, thông tin thẻ tín dụng… trong ghi chú trên điện thoại; nếu có lưu thì nên đặt chế độ bảo mật bằng mật khẩu, mã PIN hoặc sinh trắc học.

Song song đó, khách hàng không nhấn vào link lạ; đồng thời kiểm tra kỹ địa chỉ email hay tin nhắn, lỗi chính tả trong nội dung, và tránh tải xuống tệp đính kèm không rõ nguồn gốc….

Lừa đảo mạo danh cơ quan chức năng: Những 'chiếc bẫy' tinh vi

Tội phạm lừa đảo trên mạng ngày càng gia tăng với nhiều hình thức và thủ đoạn tinh vi, gây thiệt hại nặng nề cho người dân.

Giả cơ quan chức năng để lừa đảo

Cơ quan CSĐT Công an tỉnh Đồng Nai đang điều tra làm rõ vụ lừa đảo qua ứng dụng "Hành chính công" giả mạo, khiến một nạn nhân mất gần 800 triệu đồng.

Đó là vụ việc của anh L.Q.T. (ngụ phường Tân Hòa, TP Biên Hòa). Anh T. kể nhận được cuộc gọi từ một người xưng là cán bộ Công an phường Tân Hòa, yêu cầu vợ anh đến phường để cập nhật thông tin cá nhân. Sau đó, anh tiếp tục được gọi video call, hướng dẫn tải ứng dụng "Hành chính công" theo đường link mà đối tượng cung cấp để thực hiện thủ tục trực tuyến.

Tin tưởng đối tượng là cán bộ công an, anh T. đã cung cấp thông tin cá nhân, chụp ảnh CCCD và đăng nhập vào tài khoản ngân hàng theo yêu cầu. Sau khi hoàn tất các thủ tục, đối tượng chặn liên lạc và xóa ứng dụng "Hành chính công" trên điện thoại của vợ anh T.

Khi kiểm tra lại, anh T. phát hiện không thể đăng nhập vào ứng dụng ngân hàng. Nghi ngờ lừa đảo, anh liên hệ và ngân hàng xác nhận tài khoản của anh đã "bốc hơi" gần 800 triệu đồng.

Một nạn nhân trình báo Phòng An ninh mạng và phòng chống tội phạm sử dụng công nghệ cao, Công an tỉnh Đồng Nai về việc bị lừa đảo trên mạng. Ảnh: T.H

Tương tự, anh T.H.T. (ngụ phường Bửu Long, TP Biên Hòa) nhận được cuộc gọi một người tự xưng là cán bộ Bảo hiểm xã hội (BHXH) tỉnh Đồng Nai, thông báo hồ sơ của anh cần đồng bộ dữ liệu CCCD. Kẻ này yêu cầu anh T. lên cơ quan BHXH tỉnh để cập nhật thông tin.

Tuy nhiên, một lúc sau, kẻ này gọi lại anh T. và hỏi có sử dụng phần mềm VssID hay không. Khi anh T. trả lời có, kẻ lừa đảo nói đang bận xử lý công việc nên sẽ chuyển hồ sơ cho một người khác để hỗ trợ.

Nghi ngờ lừa đảo, anh T. đã liên hệ trực tiếp với cơ quan BHXH để xác minh. Qua kiểm tra, BHXH tỉnh Đồng Nai khẳng định không có cán bộ nào liên lạc với người dân để yêu cầu đồng bộ dữ liệu CCCD hay cập nhật thông tin trên ứng dụng VssID.

Một trường hợp khác, ông M.T.K. (ngụ phường Hố Nai, TP Biên Hòa) cũng suýt trở thành nạn nhân của đối tượng lừa đảo mạo danh cơ quan thuế Đồng Nai.

Cụ thể, ông K. nhận được giấy mời từ cơ quan thuế yêu cầu đến trụ sở cập nhật, kê khai thông tin để thực hiện chính sách giảm thuế giá trị gia tăng và hoàn thuế thu nhập cá nhân theo quy định của Chính phủ.

Tuy nhiên, nhận thấy giấy mời có dấu hiệu làm giả, ông K. liên hệ Cục Thuế Đồng Nai để xác minh. Qua kiểm tra, cơ quan này khẳng định đây là giấy mời giả mạo do tên chi cục thuế được ghi không đúng.

Cảnh báo thủ đoạn lừa đảo, hạn chế thiệt hại

Thời gian qua việc tuyên truyền, đấu tranh với tội phạm lừa đảo chiếm đoạt tài sản trên không gian mạng đã được Công an tỉnh Đồng Nai triển khai quyết liệt. Tuy nhiên, loại tội phạm này diễn biến rất phức tạp, với nhiều phương thức tinh vi, xảo quyệt, gây thiệt hại lớn cho người dân.

Thiếu tướng Nguyễn Sỹ Quang, Giám đốc Công an Đồng Nai dự báo, trong thời gian tới, tình hình tội phạm lừa đảo chiếm đoạt tài sản trên không gian mạng tại địa phương sẽ tiếp tục diễn biến phức tạp, với thủ đoạn phổ biến là giả danh cán bộ các cơ quan như Công an, Quân đội, Tòa án, Viện kiểm sát... để gọi điện lừa đảo.

Phòng An ninh mạng và phòng chống tội phạm sử dụng công nghệ cao, Công an tỉnh Đồng Nai tiếp nhận trình báo của người dân bị lừa đảo. Ảnh: M.T

Bên cạnh đó, Công an Đồng Nai còn cảnh báo người dân về một số thủ đoạn tinh vi khác như yêu cầu người dân cài đặt các ứng dụng lạ chứa mã độc, cung cấp thông tin cá nhân, hình ảnh CCCD... Đặc biệt, tội phạm sử dụng AI (deepfake) giả mạo các cuộc gọi video, giọng nói để lừa đảo.

Để phòng ngừa các thủ đoạn lừa đảo tinh vi này, theo cơ quan chức năng, người dân cần tuyệt đối không cài đặt các ứng dụng lạ từ nguồn không rõ nguồn gốc, tìm hiểu kỹ thông tin trước khi tham gia đầu tư sàn giao dịch; Cảnh giác với các cuộc gọi video, tin nhắn thoại có nội dung giả mạo lãnh đạo, cơ quan chức năng, người thân; Không hoảng sợ khi nhận được điện thoại, tin nhắn do người lạ gửi đến có nội dung liên quan vụ việc, vụ án; Không nên tin vào những tài sản, món quà không rõ nguồn gốc hay lời mời "việc nhẹ, lương cao"...

Để giúp người dân nâng cao ý thức phòng chống tội phạm lừa đảo trên mạng, Công an tỉnh Đồng Nai đã đưa ra khẩu hiệu "3 không, 2 phải".

"3 không": Không cài đặt hoặc truy cập vào các đường dẫn, các ứng dụng không rõ nguồn gốc tạo cơ hội kẻ gian chiếm đoạt tài sản; Không cung cấp thông tin cá nhân cho người lạ, đặc biệt thông tin tài khoản ngân hàng, mật khẩu đăng nhập, mã OTP, tài khoản mạng xã hội; Không chuyển khoản cho bất kỳ ai khi chưa xác định chính xác thông tin...

"2 phải": Phải thường xuyên cảnh giác, chủ động bảo mật các thông tin cá nhân; Phải tố giác với cơ quan pháp luật khi có các thông tin nghi ngờ cuộc gọi, tin nhắn hoặc các nội dung nghi ngờ là hoạt động lừa đảo.

Ngăn chặn tội phạm mua bán, cho thuê tài khoản ngân hàngThời gian qua, Công an các tỉnh Tây Nam Bộ đã phát hiện nhiều vụ lừa đảo chiếm đoạt tài sản trên không gian mạng thông qua việc mua bán, cho thuê tài khoản ngân hàng. Từ các vụ lừa đảo, cơ quan Công an đã làm rõ, bắt giữ hàng loạt đối tượng liên quan đến hành vi thu thập, tàng trữ,...