SMS giả ngân hàng ở Việt Nam có thể đến từ web ngầm
Ngoài 3 kịch bản lừa đảo được Zing phản ánh trước đó, chuyên gia bảo mật cho biết kẻ gian có thể tìm mua dịch vụ nhắn tin giả mạo thương hiệu trên darkweb, thanh toán bằng Bitcoin.
Ngày 11/3, một số khách hàng sử dụng dịch vụ của Vietcombank phản ánh tình trạng nhận được tin nhắn lạ. Theo đó, những tin nhắn này được gửi thông qua hình thức SMS Brandname, mang thương hiệu Vietcombank, đồng thời yêu cầu người dùng truy cập vào đường dẫn giả mạo.
Đây không phải lần đầu tiên người dùng từ các ngân hàng lớn tại Việt Nam nhận được những tin nhắn lừa đảo như vậy.
Theo một số chuyên gia, việc thuê dịch vụ giả mạo đầu số thương hiệu không phải mới và cũng không khó để tiếp cận.
Tương tự Vietcombank, nhiều khách hàng của ngân hàng khác cũng gặp trường hợp này.
Rao bán dịch vụ nhắn tin giả mạo trên darkweb
Theo chuyên gia bảo mật Ngô Minh Hiếu, các dịch vụ nhắn tin số lượng lớn được bày bán phổ biến trên mạng lưới website ngầm (darkweb), với mức giá dao động từ 100-500 USD.
Thông qua hình thức này, bất cứ ai truy cập được vào darkweb cũng có thể gửi tin nhắn giả mạo thương hiệu đến nạn nhân.
Thủ đoạn tinh vi của các đối tượng này nằm ngoài sự kiểm soát của cả ngân hàng lẫn nhà mạng
Ông Vũ Ngọc Sơn, Phó chủ tịch phụ trách mảng Chống mã độc của Bkav
“Tôi bán dịch vụ gửi tin nhắn. Bạn có thể dùng nó để gửi thư rác đến mọi quốc gia. Nhắn cho tôi nếu bạn cần. Dịch vụ này có công dụng với cả tin nhắn thương hiệu”, một người bán dịch vụ mạo danh SMS Brandname trên darkweb quảng cáo.
Người mua có thể dùng thử dịch vụ bằng cách cung cấp thông tin thuê bao, nội dung tin nhắn và thương hiệu muốn giả mạo.
Chỉ trong tíc tắc, người muốn thử dịch vụ sẽ nhận được tin nhắn theo đúng những gì yêu cầu. Qua lời giới thiệu của bên bán dịch vụ, họ có thể gửi tin nhắn với số lượng cực lớn.
Kẻ gian có thể mua dịch vụ tin nhắn giả mạo thương hiệu trên darkweb.
Với 100 tin nhắn, người mua chỉ phải trả 20 USD. Tuy nhiên, bên bán chỉ nhận giao dịch thanh toán bằng Bitcoin.
Nhờ có tính năng ẩn danh, Bitcoin đang là kênh giao dịch an toàn của những đối tượng xấu. Theo nghiên cứu của Chainanalysis , trong năm 2017, số Bitcoin trị giá 872 triệu USD (theo tỷ giá năm 2017) đã được sử dụng để chi tiêu trên darkweb.
Ông Hiếu cho biết dịch vụ này đã tồn tại từ rất lâu và chưa có cách khắc phục.
Video đang HOT
“Việc có được số điện thoại và thông tin ngân hàng của người dùng không phải là khó. Chỉ cần mua dịch vụ gửi tin nhắn thương hiệu trên darkweb là các đối tượng xấu đã sẵn sàng tấn công”, ông Hiếu nhận định.
Kịch bản tấn công người dùng đa dạng
Bên cạnh hình thức mua dịch vụ tin nhắn giả mạo thương hiệu, chuyên gia bảo mật Ngô Minh Hiếu cũng đề cập thêm 3 kịch bản tấn công người dùng của các đối tượng xấu.
Đầu tiên, kẻ gian có thể tấn công trực tiếp vào hệ thống của đơn vị cung cấp dịch vụ SMS Brandname cho ngân hàng, thao túng nội dung gửi đến người dùng. Cách thứ 2, hacker có thể làm giả giấy tờ, đăng ký tổng đài SMS trùng với tên thương hiệu.
Cuối cùng, kẻ gian có thể sử dụng thủ thuật can thiệp vào giữa quá trình gửi/nhận SMS. Theo thông tin từ Cục An toàn Thông tin, các tin nhắn giả mạo không xuất phát từ hệ thống của các tổ chức tài chính, ngân hàng hay doanh nghiệp viễn thông mà được phát tán thông qua thiết bị phát sóng di động giả mạo (IMSI Catcher/SMS Broadcaster).
Việc mua tin nhắn giả mạo sẽ giúp kẻ gian tấn công người dùng ở nhiều khu vực khác nhau. So với thiết bị phát sóng di động giả mạo, vốn chỉ hoạt động trong bán kính 1 km, dịch vụ gửi SMS giả mạo bán trên darkweb đem lại hiệu quả và tiết kiệm hơn nhiều.
Tuy nhiên, cách thức này cũng có một số giới hạn nhất định về mặt công nghệ. Không phải thương hiệu nào cũng có thể làm giả được.
Cần sớm có giải pháp
Theo đánh giá của ông Vũ Ngọc Sơn, Phó chủ tịch phụ trách mảng Chống mã độc của Bkav, tình trạng người dùng bị tin tặc tấn công thông qua tin nhắn giả mạo thương hiệu rất nghiêm trọng. Mấu chốt của hình thức lừa đảo này là đánh vào lòng tin của người dùng.
“Nếu lỗ hổng phát sinh từ phía ngân hàng hay nhà mạng thì quả bóng trách nhiệm sẽ được đẩy cho họ. Tuy nhiên, thủ đoạn tinh vi của các đối tượng này nằm ngoài sự kiểm soát của cả ngân hàng lẫn nhà mạng, suy cho cùng khách hàng là những người cuối cùng chịu thiệt thòi”, ông Sơn cho biết.
Sẽ có thêm nhiều nạn nhân nếu tình trạng này không sớm được khắc phục.
Trong trường hợp kẻ gian lừa đảo trên quy mô lớn, không chỉ người dùng, các doanh nghiệp cũng sẽ trở thành nạn nhân. Vậy nên, việc nâng cao cảnh báo cũng như đưa ra các biện pháp phòng tránh từ phía ngân hàng nói riêng và doanh nghiệp nói chung là vô cùng cần thiết.
Cũng theo ông Sơn, phần lớn người dùng phổ thông hiện nay không hiểu rõ công nghệ. Chính vì vậy, rất khó để người dùng nhận biết được thủ đoạn của tin tặc và tự bảo vệ mình.
Sau khi nhận được phản ánh của khách hàng, Vietcombank đã gửi cảnh báo tới toàn bộ người dùng, đồng thời phối hợp với các cơ quan liên quan đánh sập trang web giả mạo. Tính đến ngày 12/3, website với tên miền giả mạo đã không còn hoạt động.
Cơn sốt 'đào Pi' ở Việt Nam, người chơi mong lãi lớn như Bitcoin
Pi Network là một dự án chưa rõ ràng về lợi ích, còn nhiều dấu hỏi lớn trong cách vận hành. Giá trị của Pi đang dựa trên kỳ vọng của người chơi.
Những ngày gần đây, cơn sốt giá Bitcoin đã kéo theo tâm lý đầu tư vào tiền điện tử lên cao. Bên cạnh những dự án rõ ràng về lợi nhuận, nhiều nhà đầu tư đang bị lôi kéo vào một mạng lưới gọi là "Pi Network".
Theo lời giới thiệu của một quản trị viên nhóm Pi Network tại Việt Nam, chỉ cần cài đặt ứng dụng trên điện thoại, đăng nhập và "điểm danh" sau mỗi 24h, người dùng đã có thể thu về những con số với đơn vị là Pi.
Pi được các "nhà đầu tư" kỳ vọng là đồng tiền điện tử thế hệ mới, thay thế Bitcoin. Thậm chí đã có một số thành viên khoe nhau việc giao dịch Pi để đổi lấy tài sản lớn như nhà, xe hơi. Những giao dịch này chỉ là các trao đổi ngang hàng, tự phát vì Pi chưa hề được định giá hay lên sàn.
Pi Network là gì?
"Ban đầu, Pi được khai thác trên điện thoại vì độ khó thuật toán thấp. Bên cạnh đó, nhà phát triển nền tảng muốn tặng Pi cho cộng đồng như cách Bitcoin đã làm cách đây 10 năm", T.M, một thành viên nhóm đào Pi, chia sẻ.
Sau khi phần mềm được cài đặt vào điện thoại, tốc độ "khai thác" Pi Coin mặc định sẽ là 0,12 Pi/h. Để tăng tốc độ "đào" Pi, người này hướng dẫn PV KYC (xác thực danh tính cá nhân) và giới thiệu thêm thành viên. Ở bước xác thực danh tính, người dùng buộc phải điền các thông tin cá nhân nhạy cảm như ảnh chụp passport, số điện thoại, email...
The Coins Post đã đóng dấu scam (lừa đảo) cho dự án Pi Network và khuyên mọi người không tham gia.
Khi được hỏi Pi này dùng làm gì, T.M chỉ cho biết về sau, đồng tiền này sẽ được niêm yết trên các sàn giao dịch quốc tế.
"Lúc đó, giá Pi sẽ tăng đến hàng trăm thậm chí hàng chục nghìn USD như cách Bitcoin thống trị. Pi Coin sẽ thay thế Bitcoin", T.M khẳng định.
Theo chuyên gia mạng máy tính Cem Dilmegani, sáng lập AIMultiple, ứng dụng Pi hiện tại chỉ là nền tảng cho người dùng vào bấm xem quảng cáo. Ứng dụng cũng có tính năng tắt quảng cáo nếu người dùng không đồng ý.
"Không có việc gì để làm trên ứng dụng này cả. Thứ ứng dụng này đòi hỏi là thông tin cá nhân của người dùng và buộc họ phải xây dựng cộng đồng để đổi lấy những con số", Cem viết trên bài phân tích Pi Network đăng tải ở AIMultiple.
Những dấu hiệu bất thường của Pi
Về mặt nhân sự, Pi Network giới thiệu trên Linkedin họ hiện có 70 nhân viên. Tuy vậy, những tài khoản liên kết được xem là "nhân viên của Pi" thực chất chỉ là những người tham gia ứng dụng với chức danh "nhà giao dịch tiền điện tử". Không có chức danh marketing, kế toán, kỹ sư, lập trình viên hay giám đốc điều hành trong đội ngũ nhân viên của Pi Network như những dự án tiền điện tử khác.
Những câu hỏi cơ bản về cách xây dựng một đồng tiền điện tử vẫn chưa được đội ngũ Pi trả lời.
Câu hỏi lớn nhất được giới đầu tư đặt ra là: nếu muốn thay thế Bitcoin, tại sao Pi vẫn chưa được sinh ra từ công nghệ blockchain - công nghệ "xương sống" của thế giới tiền mã hóa.
"Đây là bước cơ bản đầu tiên cần có nếu muốn xây dựng một thứ gì đó gọi là tiền số. Tôi cho rằng họ đang mở rộng mạng lưới quảng cáo bằng hình thức đa cấp và trả cho người tham gia những con số ảo", chuyên gia Cem Dilmegani nhận định.
Đáp lại lập luận việc Pi không thực sự khai thác trên di động, cộng đồng tham gia Pi cho rằng trên điện thoại chỉ là một dạng xây dựng đội ngũ. Việc khai thác Pi thật sự đang được đặt tại các máy chủ mạnh mẽ ở nước ngoài.
"Nếu vậy người tham gia chỉ được tặng Pi chứ không thật sự là một phần của mạng lưới tiền kỹ thuật số này", trang The Coins Post phân tích.
Cũng theo The Coins Post , phân tích Pi khác với các ứng dụng tiền điện tử thông thường khi xin hàng loạt quyền truy cập từ ID thiết bị, thông tin cuộc gọi, danh bạ, bộ nhớ, chạy khi khởi động, chặn ứng dụng khác, xem kết nối mạng.
"Chức năng chặn các ứng dụng khác rất quan trọng, nó cho phép ứng dụng đọc tin nhắn mã ngân hàng, đánh cắp mật khẩu...", chuyên gia an ninh mạng Ngô Minh Hiếu cảnh báo.
Bên cạnh đó, ứng dụng Pi còn bị phát hiện liên tục gửi các gói dữ liệu bất thường tới bên thứ ba là "socialchain.app" và "rayjump.com".
Trên thực tế đã có báo cáo việc sau khi đăng ký Pi, một người dùng đã bị mất tiền trong tài khoản. Theo đó, bài viết trên Quora vào ngày 18/5/2020 từ người dùng Midas Tricone khẳng định anh đã mất tiền sau khi điền thông tin cá nhân và cấp quyền cho ứng dụng Pi.
Hiện tại, Pi chỉ là những con số ảo
Thứ gì tạo ra giá trị cho Pi vẫn chưa được công bố. Tất cả giá trị hiện nay đều do người tham gia kỳ vọng.
Theo nhận định của Tiến sĩ Lê Anh, chuyên gia toán học và công nghệ thông tin, từng là giảng viên Học viện Kỹ thuật Quân sự, người "đào Pi" ở Việt Nam thực chất đang được hệ thống "tặng" Pi. Bản chất smartphone không được thiết kế để thực hiện giải mã tiền kỹ thuật số như máy tính.
"Máy tính được thiết kế như một thiết bị vạn năng, còn điện thoại là thiết bị chuyên dụng. Cấu tạo kỹ thuật của điện thoại được xây dựng dựa trên tính năng cụ thể, không thể dựa vào các con số như dung lượng bộ nhớ RAM hay chipset để cho rằng điện thoại có khả năng tính toán, giải thuật toán mạnh được", Tiến sĩ Lê Anh nhận xét.
"Bitcoin được đảm bảo giá trị bởi năng lực giải mã của máy đào. Có nghĩa giá Bitcoin sẽ gồm chi phí sản xuất như điện, phí đầu tư máy đào cùng giá trị kỳ vọng của cộng đồng. Trong khi đó, giá trị Pi được định đoạt hoàn toàn dựa trên giá kỳ vọng", Vinh Nguyễn, đồng sáng lập Coin98, quỹ đầu tư cho các công ty khởi nghiệp blockchain chia sẻ.
Hiện Pi Network vẫn chưa công bố ngày mà đồng tiền này được đưa lên sàn giao dịch để xác định giá trị thật.
Ngoài ra, ông Vinh còn đề cập đến việc lạm phát giá Pi, vì nó quá dễ để được sinh ra, không khó khăn như Bitcoin hay ETH.
"Kể cả sau này Pi có giá trị trên các sàn giao dịch, điều gì đảm bảo đội ngũ tạo ra Pi không tự in cho mình hàng triệu Pi để tiêu dùng? Và Pi có giống Bitcoin chỉ giới hạn 21 triệu đơn vị hay muốn bao nhiêu có bấy nhiêu?", ông Vinh đặt câu hỏi.
Hơn hết, chuyên gia từ quỹ đầu tư cho rằng việc so sánh Pi và Bitcoin là khập khiễng. Bitcoin xây dựng trên công nghệ blockchain, phân quyền. Có nghĩa không ai có thể điều chỉnh cách Bitcoin hoạt động. Trong khi đó, Pi đang nằm trong tay một tổ chức với hàng chục triệu người tham gia.
Người tham gia Pi được và mất gì?
Trên thực tế, Pi chưa được định giá. Những người tham gia Pi và cả đội ngũ vận hành nền tảng này chưa thể khẳng định Pi có giá bao nhiêu, khi nào được đưa lên sàn giao dịch. Giá trị của Pi lúc này đang là sự kỳ vọng.
Bên cạnh đó, do không xây dựng trên blockchain nên ứng dụng Pi là nơi duy nhất người dùng có thể lưu trữ Pi. Vì vậy, người tham gia Pi hiện nay vẫn chưa nhận được gì.
Nó hoàn toàn không liên quan đến ngành khai thác tiền điện tử. Bạn nên tránh xa nó" -The Coins Post
Đổi lại giá trị kỳ vọng trên, người dùng phải cung cấp nhiều thứ từ số điện thoại, hình ảnh cá nhân, giấy tờ tùy thân, quyền truy cập vào điện thoại.
"Pi làm mọi cách để người dùng phải KYC (xác thực danh tính cá nhân bằng hình ảnh, giấy tờ tùy thân). Trong đó, việc reset số Pi khi người dùng đăng xuất mà trước đó chưa KYC là chính sách làm rõ nhất điều đó. Ngoài ra, việc buộc phải KYC để tăng tốc độ đào cũng là một điểm khiến người dùng tự nguyện nộp thông tin", chuyên gia mạng máy tính Cem Dilmegani viết.
Ngoài ra, việc người dùng xem quảng cáo mỗi ngày một cách tự nguyện cũng được xem là một mất mát. "Mục tiêu quảng cáo với thông tin cá nhân và liên kết bạn bè chặt chẽ được xem là một loại tài sản quý mà Pi đang sở hữu", Cem nhận định.
Tóm lại, bằng việc thưởng cho người tham gia những điểm số chưa có giá trị, đội ngũ sáng lập Pi đã thành công trong việc xây dựng cộng đồng và khuyến khích họ giao thông tin cá nhân và quyền truy cập điện thoại. Trang The Coins Post kết luận Pi là dự án lừa đảo theo mô hình đa cấp. "Nó hoàn toàn không liên quan đến ngành khai thác tiền điện tử. Bạn nên tránh xa nó", The Coins Post khẳng định.
"Hơn hết, Pi Network hiện chưa có hiện diện thương mại tại Việt Nam. Việc tham gia, nạp tiền, gửi dữ liệu cá nhân của người dùng có thể sẽ không được pháp luật bảo vệ", ông Vinh cảnh báo.
Hacker HieuPC quyết chiến với lừa đảo mạng Ngô Minh Hiếu - hacker nổi tiếng từng ngồi tù 7 năm ở Mỹ - phát triển một công cụ dưới dạng "add-on", cảnh báo người dùng Internet về website lừa đảo, chứa mã độc... Một buổi sáng đầu tháng 2, Ngô Minh Hiếu đăng một bài viết dài trên trang cá nhân, chia sẻ về công cụ mới mà theo anh "mất...