Thời gian gần đây, khách hàng của nhiều ngân hàng tại Việt Nam liên tục nhận được các tin nhắn lừa đảo được gửi từ đầu số (SMS Brand) của chính ngân hàng mà mình đang gửi tiền.

 

Một khách hàng của Sacombank nhận được tin nhắn lừa đảo nhưng được gửi từ đầu số thương hiệu của Sacombank, truy cập vào link trong tin nhắn nói trên và đăng nhập theo yêu cầu. Sau khi nhập mã OTP, khách hàng này nhận được thông báo tài khoản bị trừ 38 triệu đồng.

SMS Brand Name là tin nhắn thương hiệu, được các tổ chức, cá nhân đăng ký độc quyền tại các nhà mạng viễn thông và sử dụng làm dịch vụ gửi tin nhắn hàng loạt đến các khách hàng, để chăm sóc khách hàng, quảng bá hình ảnh, thông báo nội dung, chính sách mới… Theo nguyên tắc, khi tin nhắn Brand Name đã được đăng ký tại các nhà mạng thì các tổ chức, cá nhân khác không được phép đăng ký trùng tên thương hiệu.

Khách hàng của Ngân hàng ACB nhận được tin nhắn lừa đảo được gửi đi từ đầu số mang thương hiệu ACB với nội dung "Chúng tôi phát hiện tài khoản của bạn đang tiêu dùng ở nước ngoài. Nếu không phải bạn đang tiêu dùng vui lòng nhập vào https://v-acb.com để hủy thanh toán".

Một số khách hàng cũng nhận được tin nhắn từ đầu số thương hiệu TPBank với nội dung giới thiệu một trang cá cược có tên Kim Long, mời gọi kiếm tiền 500 triệu đến 1 tỷ đồng mỗi tháng.

Thủ đoạn dựng cột sóng giả, ghi đè SMS Brand

Khi thủ đoạn này rộ lên trong dịp cận Tết Nguyên đán, một chuyên gia an ninh mạng nhận định, các đối tượng đã dựng một cột sóng giả, bắt sóng điện thoại của nạn nhân, ghi đè brandname của Ngân hàng, sau đó gửi tin nhắn giả mạo.

Những thiết bị để dựng cột sóng giả và ghi đè như vậy được mua từ nước ngoài không quá khó khăn. Thủ đoạn này từng được sử dụng từ cách đây nhiều năm.

Cục An toàn thông tin (Bộ Thông tin và Truyền thông) cũng thông báo, qua xác minh, các tin nhắn mạo danh này không xuất phát từ hệ thống của các tổ chức tài chính, ngân hàng và doanh nghiệp viễn thông mà được phát tán thông qua các thiết bị phát sóng di động giả mạo.

Các thiết bị để dựng cột sóng giả, gửi tin nhắn lừa đảo

Đây là các thiết bị có nguồn gốc từ nước ngoài, được các đối tượng mua bán, sử dụng trái phép nhằm mục đích thực hiện các cuộc tấn công phát tán tin nhắn rác lừa đảo người dùng, đặc biệt là người dùng tại các khu vực đô thị.

Theo Cục An toàn thông tin, các bước mà đối tượng lừa đảo tiến hành bằng tin nhắn mạo danh gồm 3 bước.

Bước thứ nhất, phát tán tin nhắn rác lừa đảo. Theo đó, đối tượng tấn công sử dụng các thiết bị phát sóng mạo danh để thực hiện gửi tin nhắn rác trực tiếp vào điện thoại mà không thông qua mạng viễn thông di động.

Các tin nhắn này bị các đổi tượng thay đổi thông tin nguồn gửi (số điện thoại, đầu số hoặc tên định danh) nhằm mục đích tạo lòng tin, đánh lừa người dùng.

Nội dung tin nhắn thường là quảng cáo, hướng dẫn hoặc chứa đường link tới website giả mạo giống như các website chính thống của các tổ chức tài chính, ngân hàng để dẫn dụ và đánh cắp thông tin của người dùng như tài khoản, mật khẩu, mã OTP,…

Bước 2, người dùng cung cấp thông tin cá nhân. Người dùng không nhận biết được website giả mạo nên sẽ cung cấp thông tin cá nhân truy cập vào tài khoản ngân hàng như điền tên tài khoản, mật khẩu. Sau khi người dùng cung cấp thông tin, website giả mạo sẽ điều hướng sang website khác hoặc thông báo đề nghị người dùng chờ đợi.

Đối tượng dùng thông tin cá nhân của người dùng để đăng nhập vào website chính thức của các tổ chức tài chính, ngân hàng để lấy mã xác thực OTP (nếu cần).

Cuối cùng là lấy mã OTP của người dùng. Sau khi điện thoại người dùng nhận được mã xác thực OTP, website giả mạo sẽ được điều hướng sang trạng thái yêu cầu người dùng cung cấp mã xác thực OTP. Người dùng mà không cảnh giác sẽ cung cấp thông tin mã OTP để đối tượng hoàn tất quá trình chiếm đoạt tiền trong tài khoản.

Các chuyên gia của công ty an ninh mạng CyRadar (FPT) đã phát hiện 2 ổ tấn công lừa đảo trực tuyến nhắm vào 27 ngân hàng và các ví điện tử tại Việt Nam. Chỉ tính riêng từ tháng 1-2021 đến nay, đã có 180 tên miền mạo danh được dẫn về 2 cụm máy chủ này.

Các tên miền lừa đảo, chủ yếu tập trung vào mạo danh 27 ngân hàng và ví điện tử phổ biến tại Việt Nam. Ngoài ra, còn có nhiều tên miền lừa đảo nhằm vào người dùng mạng xã hội, game thủ… Nhiều website còn đang trong quá trình xây dựng, hoặc tội phạm mạng mới dẫn tên miền về máy chủ này và chuẩn bị cho các chiến dịch lừa đảo trong tương lai cũng đã được phát hiện.

Kẽ hở của chính sách đăng ký Brand Name?

Mặc dù thủ đoạn của hình thức phạm tội này đã được các chiến sỹ an ninh mạng phát hiện và có giải pháp xử lý, nhưng bên cạnh đó, phải chăng chính sách đăng ký Brand Name cũng chứa đựng những kẽ hở, dễ bị kẻ gian lợi dụng? 

Trên trang cá nhân, ông Vũ Hoàng Tâm – cựu CEO VHT, một trong những Công ty làm Brand Name SMS ở Việt Nam từ 2007, nguyên là Operations Manager của Grab Vietnam chia sẻ:

"Thông thường, một tin nhắn gửi đến cho điện thoại của bạn sẽ hiển thị một dãy số, ví dụ +849XXXXXXXX. Từ nhiều năm trước, đã có thể gửi bằng một chuỗi ký tự (chữ) thay vì số và dịch vụ đó gọi là Brand Name SMS (hay Branded SMS, Brandname SMS).

Ngày chúng tôi kinh doanh dịch vụ này, có một sự thật là chúng tôi mua dịch vụ của một công ty ở… Singapore chứ không phải mua từ các nhà mạng viễn thông trong nước. Công ty mà chúng tôi mua dịch vụ Brand Name SMS ở Singapore tên là Sybase 365, công ty này được SAP mua lại vào năm 2010 và đến năm 2014 thì ngưng sử dụng tên gọi Sybase này".

Theo ông Tâm, khi ấy, doanh nghiệp này có thể tạo mọi Brand Name và thoải mái gửi đến cho thuê bao trong nước mà không qua bất cứ kiểm duyệt nào.

"Công cụ chỉ là công cụ. Dùng với mục đích tốt hay xấu là do người dùng" – Ông Tâm viết.

Tuy nhiên, cách đây gần 10 năm, nhằm ngăn chặn tin nhắn rác, các nhà mạng đã cấm tất cả luồng Brand Name SMS từ nước ngoài.

"Ở Việt Nam, muốn đăng ký Brand Name thì quý vị phải nộp một số giấy tờ để chứng minh quý vị là người sở hữu thương hiệu này. Tuy nhiên vụ này cũng… dễ lách. Ví dụ nhé - và chỉ là ví dụ thôi - công ty thì tên là Trà Cà Phê VN nhưng thương hiệu là The Coffee House* thì làm sao dùng GPKD Trà Cà Phê VN đi đăng ký Brand The Coffee House được. Thế là chứng minh rằng tôi đang sở hữu domain thecoffeehouse.xxx là được.

Trớ trêu thay, bỏ ra một hai trăm ngàn là sở hữu được một domain rồi" – ông Tâm cho biết.

(Brand Name chỉ cho tối đa 11 ký tự. Không có chuyện đăng ký được cái tên dài như The Coffee House).

Cũng theo ông Vũ Hoàng Tâm, có một vài công ty SMS lớn trên thế giới như Clickatell, Nexmo, Infobip… ban đầu cũng thoải mái gửi Brand Name SMS về thuê bao ở Việt Nam nhưng sau đã bị chặn và phải thành lập công ty ở Việt Nam hoặc hợp tác với các công ty ở Việt Nam để đăng ký được Brand Name cho họ. Tuy nhiên đó là làm ăn đàng hoàng, còn kẻ xấu thì không ai đi như vậy.

Vị này đưa ra lời khuyên:

"Là người dùng, nếu nhận được những tin nhắn "lạ" như vậy, bạn nên làm gì:

1. Nên tham vấn ý kiến từ những người rành về CNTT xung quanh bạn.

2. Không bấm vào bất cứ đường link nào nếu không chắc đó có phải đường link "sạch" hay không.

3. Gọi cho tổng đài ngân hàng hay các đơn vị được đề cập trong SMS để double check.

4. Không chia sẻ thông tin trong SMS đó cho người khác.

5. Tỉnh táo trước những nội dung liên quan tiền bạc mà chúng gửi tới bạn. Đừng hám lợi mà thiệt thân.

Sau cùng, mọi giao dịch liên quan tiền hay tài khoản số, bạn nên cài 2FA (xác thực 2 lớp) hết nhé. Hãy nhờ người thân cài đặt dùm nếu không rành".

Trước đó, để phòng ngừa và phối hợp xử lý, Bộ Công an và Cục An toàn thông tin đã ra thông báo, đề nghị người dân kiểm tra, xác minh kỹ các website, ứng dụng (app) trong các tin nhắn mà người dùng nhận được, kể cả các tin nhắn thương hiệu, tin nhắn từ các đầu số ngắn; tuyệt đối không truy cập vào các website, ứng dụng có nguồn gốc, nội dung không rõ ràng.

Các ngân hàng thương mại cũng đã đồng loạt gửi thư, thông báo để cảnh báo đến các khách hàng của mình về tình trạng lừa đảo bằng tin nhắn mạo danh.

Theo N.M (Doanh Nghiệp và Tiếp Thị)