Mạo danh lừa đảo ngày càng phức tạp

Nhiều năm làm công tác bảo mật an toàn thông tin, ông Ngô Minh Hiếu (Hiếu PC), sáng lập Dự án Chống lừa đảo trên không gian mạng cũng phải thốt lên rằng: “Tôi rất ngạc nhiên là ngày nay tội phạm mạng kiếm tiền dễ dàng thế”.

Câu nói này bắt đầu từ câu chuyện một người bạn của Hiếu PC sống ở Đức bị hack tài khoản mạng xã hội. Hacker đã mạo danh anh ấy để vay tiền người thân ở Việt Nam và họ đã mất hơn 25.000 USD (hơn 635 triệu đồng) chỉ trong một giao dịch. Hacker sử dụng tài khoản ngân hàng giả mua ở chợ đen nên rất khó để cơ quan chức năng tìm ra tung tích. 

Lừa đảo ngày nay tinh vi đến mức chính bản thân Hiếu PC cũng đang trở thành một đối tượng nhắm đến của những kẻ lừa đảo. Là một chuyên gia an ninh mạng nổi tiếng, Hiếu PC được rất nhiều người theo dõi, tin tưởng và nhờ anh hỗ trợ. Lợi dụng điều này, các đối tượng đã mạo danh anh để lừa đảo nạn nhân.

“Thông thường khi có ai đó bị hack tài khoản hoặc bị lừa đảo, họ sẽ tìm cách liên lạc với tôi. Tội phạm sẽ giả vờ là tôi và cung cấp dịch vụ lừa đảo cho nạn nhân, họ yêu cầu nạn nhân gửi tiền cho họ trước và sau đó họ chặn tài khoản, xóa lịch sử trò chuyện. Tôi liên tục phải cảnh báo mọi người về vấn đề này”, ông Hiếu nói.

Thống kê trên cổng cảnh báo an toàn thông tin ghi nhận gần 16.000 phản ánh lừa đảo trực tuyến, gây thiệt hại hơn 390.000 tỉ đồng, tương đương 3,6% GDP.

Trường hợp mạo danh ông Hiếu như trên là một trong 24 hình thức lừa đảo trực tuyến mà các tội phạm mạng thường sử dụng. Các đối tượng còn có thể tinh vi đến mức sử dụng video deepfake (hình ảnh, thông tin giả mạo, sai sự thật), giả danh cơ quan công an, viện kiểm sát, tòa án, cán bộ thuế gọi điện cho người bị hại, sau đó chiếm đoạt thông tin cá nhân và chiếm đoạt tài sản. 

Gần đây nhất, trong đợt cao điểm cập nhật sinh trắc học của các ngân hàng, các đối tượng lừa đảo cũng thực hiện nhiều chiến dịch lừa đảo quy mô để chiếm đoạt tài khoản của người dân.

Lợi dụng tình trạng nhiều khách hàng gặp khó khi cập nhật dữ liệu sinh trắc học trên các ứng dụng ngân hàng, các đối tượng lừa đảo đã giả danh nhân viên ngân hàng, tiến hành gọi điện, nhắn tin, kết bạn qua các mạng xã hội (Zalo, Facebook…) với khách hàng và đề nghị được hướng dẫn thu thập dữ liệu sinh trắc học. Sau đó, các đối tượng sẽ yêu cầu người dân cung cấp thông tin cá nhân, tài khoản ngân hàng, hình ảnh căn cước công dân, hình ảnh khuôn mặt, thậm chí yêu cầu gọi video để thu thập thêm giọng nói, cử chỉ.

Đối tượng này điều hướng người dân truy cập đường link lạ để tải và cài đặt ứng dụng hỗ trợ thu thập sinh trắc học trên điện thoại. Sau khi lấy được thông tin của nạn nhân, các đối tượng tiến hành chiếm đoạt tiền trong các tài khoản ngân hàng và sử dụng thông tin của khách hàng vào các mục đích xấu.

“Khi có vấn đề bất thường xảy ra, mọi người nên chậm lại một chút, ít nhất 5 giây, để xác nhận và xác minh thông tin trước khi thực hiện bất kì giao dịch nào hoặc gửi thông tin nhận dạng cho bất cứ ai”, chuyên gia Hiếu PC khuyến nghị.

Có những phần mềm lừa đảo chỉ từ 20 USD

Một trong những mối đe dọa có ảnh hưởng lớn nhất mà chuyên gia Ngô Minh Hiếu lo lắng đó là deep fake. Ông cho biết, trên Telegram, có nhiều nhóm bán phần mềm deep fake cho tội phạm mạng sử dụng với giá rất rẻ từ 20-50 USD/tháng là có thể sử dụng.

“Ví dụ khi tôi tìm ảnh hồ sơ Giám đốc tài chính công ty mình trên mạng xã hội, điều này rất dễ vì hiện nay chúng ta đều công khai, sau đó lấy giọng nói của anh ấy, chỉ cần từ 1-3 phút để lấy được âm thanh chất lượng tốt là có thể sao chép được giọng nói của anh ấy từ các tệp âm thanh gốc. Bằng phần mềm deep fake, tôi có thể đóng giả người CFO đó để nói chuyện với giám đốc và đưa ra yêu cầu ứng tiền mua sản phẩm cho công ty chẳng hạn...”, ông Hiếu ví dụ.

Vị chuyên gia cho biết, trên thị trường cũng đã có một số công nghệ phát hiện deep fake có phí, giúp các công ty hạn chế các cuộc giả mạo lừa đảo. Tuy nhiên, việc này còn tùy thuộc vào các công ty có muốn sử dụng giải pháp đó hay không. Bởi các cuộc tấn công mạng liên quan deep fake hiện tại chưa quá nhiều và cũng không nhiều công ty quan tâm đến việc đó. “Vì vậy tôi nghĩ không phải năm nay mà có thể trong 5 năm tới, mọi người sẽ bắt đầu biết nhiều hơn và buộc phải áp dụng”, ông nói.

Liên quan đến cá  nhân, Hiếu PC cho biết thông thường tin tặc sẽ không quan tâm nhiều đến vấn đề kỹ thuật, nên khi họ chuẩn bị cho một cuộc tấn công mạng liên quan đến deep fake, họ làm rất ẩu, sơ sài, nên rất dễ dàng để nhận ra. Mọi người có thể nhìn thấy da, mắt hay cấu trúc khuôn mặt rất giả, chỉ cần để ý một chút là sẽ nhận ra. Nhưng đối với người lớn tuổi thì nó sẽ khó khăn hơn khi nhận diện, tôi đảm bảo họ không nhận diện được thật giả nên hiện tại có nhiều cuộc tấn công nhắm vào những đối tượng này. 

“Các chính phủ trên thế giới cũng tăng cường các tài liệu nâng cao nhận thức về an ninh mạng chỉ dành cho người cao tuổi vì họ rất dễ bị tấn công ở mọi hình thức. Ngay cả khi họ nhận email, tin nhắn lừa đảo, thậm chí nếu bảo họ thiết lập xác thực không mật khẩu, họ cũng không biết cách sử dụng”, ông Hiếu nói.

Để phòng chống lừa đảo, mạo danh sinh trắc học, Cục Công nghệ thông tin (Ngân hàng Nhà nước) đang triển khai thí điểm hệ thống giám sát tài khoản thanh toán, hệ thống ví điện tử liên thông tất cả các ngân hàng, kết hợp với dữ liệu của Bộ Công an để đưa ra những cảnh báo sớm từ trước khi chuyển tiền.

Nhưng, ông Vũ Ngọc Sơn, Giám đốc kỹ thuật Công ty cổ phần Công nghệ an ninh mạng quốc gia Việt Nam (NCS) cho rằng, mặc dù quyết định 2345 yêu cầu chuyển khoản online trên 10 triệu đồng phải xác thực khuôn mặt có thể hạn chế việc mua bán, cho thuê tài khoản ngân hàng, nhưng thực tế vẫn còn nguy cơ các đối tượng lừa đảo thuê người lập tài khoản và thuê chính những người này thực hiện việc chuyển tiền cho chúng. 

Đồng thời, dù hệ thống bảo mật được tăng cường nhưng chính người dân chủ động, tự nguyện chuyển tiền cho hacker để tham gia các nhiệm vụ qua mạng... cũng không thể nào can thiệp.

Do đó, bên cạnh biện pháp tăng cường xác thực sinh trắc học, vẫn cần tăng cường tuyên truyền để người dân chủ động nhận biết các hình thức lừa đảo, không tiếp tay cho các đối tượng lừa đảo như cho thuê tài khoản, làm thuê cho hoạt động chuyển tiền; giúp người dân tăng cường nhận diện các hành vi, biểu hiện của đối tượng lừa đảo để tự bảo vệ bản thân.