“Trong quá khứ, kẻ cướp ngân hàng thường đeo mặt nạ. Nhưng giờ đây bạn sẽ không bao giờ thấy chúng”, Tiến sĩ Jonathan Crellin, Chủ nhiệm chương trình Thạc sĩ An toàn thông tin, Đại học RMIT Việt Nam, lưu ý.

Xác thực trong các hoạt động mạng là một bước đầy thách thức, đặc biệt là với các giao dịch tài chính. Theo thời gian, việc xác thực đã tiến bộ lên rất nhiều, nhưng hoạt động của tội phạm mạng cũng trở nên tinh vi, xảo quyệt hơn.

Trước tin tức về các cuộc tấn công của tội phạm mạng vào tài khoản ngân hàng cá nhân gần đây, Tiến sĩ Jonathan Crellin tại Đại học RMIT Việt Nam, đã giải thích một số cách mà tội phạm thường dùng để tấn công cùng những biện pháp phòng ngừa nhằm ngăn bước kẻ xấu. 

Đầu tiên là phương pháp xác thực từ thiết bị thứ hai (2FA) - tức mã xác thực được gửi đến thiết bị thứ hai qua email hoặc SMS. Phương pháp này thường được coi là khá an toàn, nhưng cũng không phải đảm bảo tuyệt đối.

Ví dụ, kẻ xấu có thể tạo ra một hệ thống đăng nhập ngân hàng giả (chẳng hạn: https://vietcombank.vn-cbs.xyz để giả mạo ngân hàng Vietcombank) rồi gửi tin nhắn yêu cầu đăng nhập vào đó và nhập mã OTP. Khi khách hàng nhập OTP vào hệ thống giả, kẻ xấu sẽ sử dụng nó để đăng nhập vào tài khoản ngân hàng thực, rồi kiểm soát tài khoản đó và những thứ liên quan.
Tin nhan

Lưu ý:
  • Không bấm vào bất kỳ đường link nếu nhận được tin nhắn có nội dung tương tự như trên.
  • Trường hợp đã bấm vào đường link và tiết lộ thông tin, lập tức khóa tài khoản ngân hàng khẩn cấp bằng cách nhắn tin hoặc gọi điện tới tổng đài của ngân hàng.

Kẻ xấu có thể mô phỏng một loại sự cố hệ thống nào đó, ví dụ như “trang web không khả dụng, vui lòng đăng nhập sau”, để khách hàng không thấy nghi ngờ ngay lập tức. Đây là một trong những lý do tại sao ngân hàng thường lưu ts bạn “...không bao giờ nhấp vào đường dẫn được gửi cho bạn (ví dụ: qua email) ...” vì đường dẫn có thể chứa một đường link chuyển hướng đến một trang web ngân hàng mô phỏng nhằm mục đích giả mạo.

Từ góc độ người dùng, bạn hãy luôn đánh dấu [bookmark] hoặc nhớ địa chỉ website hợp lệ của ngân hàng mà bạn mở tài khoản. Nếu dùng ứng dụng ngân hàng trên điện thoại, hãy tải app xuống từ nguồn chính thống như Google Play hoặc App Store.

Bạn không nên tải bất kỳ app (dù không phải app ngân hàng) từ bất kỳ đường link hoặc đĩa crack bên ngoài nào. Vì nếu điện thoại của bạn dính phải phần mềm độc hại, nó sẽ giúp kẻ xấu chiếm quyền điện thoại và sử dụng ứng dụng, xem tin nhắn văn bản, điều khiển điện thoại từ xa, chạy ứng dụng và trích xuất thông tin.

SIM điện thoại
SIM điện thoại có thể bị sao chép hoặc báo mất, tráo đổi. Ảnh: VNKH

Tráo SIM để cướp quyền quản lý điện thoại của nạn nhân đã trở thành một mánh rất phổ biến trong những năm gần đây. Ở đây, kẻ xấu thường lừa nhà mạng để họ phát hành một SIM thay thế có liên kết với số điện thoại gốc. Khi SIM được cấp mới, SIM gốc sẽ bị ngừng hoạt động.

Mánh lới này rất dễ thực hiện nếu kẻ xấu mua được thông tin cá nhân của bạn từ thị trường web đen hoặc đôi khi bằng cách theo dõi hoạt động mạng xã hội của bạn (ví dụ: bạn vô tình chụp ảnh có lọt ảnh CCCD/hộ chiếu/vé máy bay v.v đặt trên bàn)

Một kỹ thuật khác được dùng là sao chép SIM. Theo đó, SIM sao chép có cùng số IMSI (số nhận dạng mạng của SIM), số xác thực (KI) và số điện thoại như SIM gốc. Kỹ thuật này khó thực hiện hơn từ khi nhà mạng nâng cấp lên 3G vì khôi phục KI tương đối khó khăn, tuy nhiên nhiều IMSI hay KI vẫn có thể bị lộ và bán trên các trang web đen.

Với thủ đoạn sao chép SIM, kẻ xấu sẽ cần một số dữ liệu từ SIM gốc, sau đó ghi chúng vào một thẻ SIM mới có thể lập trình. Tiếp theo, tội phạm dùng một chiếc điện thoại với SIM sao chép để giả làm điện thoại của nạn nhân. Cả hai điện thoại sẽ đều hoạt động, nhưng mỗi lần chỉ có một máy chạy.

Kẻ xấu có thể gửi tin nhắn từ một điện thoại khác giả danh nhà mạng yêu cầu nạn nhân tắt điện thoại để cập nhật mạng lưới. Khi nạn nhân tắt máy, kẻ xấu kết nối với ngân hàng, chuyển tiền và sau đó tắt điện thoại. Khi nạn nhân bật máy lên lại, thiết bị sẽ kết nối mạng lại mà không cho thấy bất kỳ dấu hiệu nào về việc vừa bị tấn công.

Tiến sĩ Jonathan Crellin, giảng viên cấp cao, Chủ nhiệm chương trình Thạc sĩ An toàn thông tin, Đại học RMIT Việt Nam  
Tiến sĩ Jonathan Crellin, giảng viên cấp cao, Chủ nhiệm chương trình Thạc sĩ An toàn thông tin, Đại học RMIT Việt Nam  

Ngân hàng chỉ nhận ra là SIM bị sao chép hay bị tráo khi họ phát hiện thấy ứng dụng của họ được dùng trên một thiết bị khác so với thiết bị mà khách hàng thường dùng. Kẻ gian có thể sử dụng điện thoại của chúng để thiết lập thông tin sinh trắc học của chúng (dấu vân tay, khuôn mặt v.v.) với ứng dụng ngân hàng.

Vì từ "góc nhìn" của ứng dụng, nó sẽ xác nhận người dùng là đúng nếu dấu sinh trắc học của họ trùng với dấu sinh trắc học lưu trên điện thoại (mà trên thực tế đó là thông tin sinh trắc học của kẻ gian) nên ứng dụng không có khả năng phân biệt giữa chủ sở hữu hợp pháp và kẻ gian.

Các ngân hàng nhận thấy việc ăn cắp SIM thường xảy ra vì một số lỗi từ phía khách hàng, có thể do họ rò rỉ quá nhiều thông tin cá nhân. Nhìn chung, hệ thống ngân hàng và hệ thống tài chính thường là những hệ thống có mức độ bảo mật cao nhất có thể (mà hầu hết khách có thể tin cậy), song tội phạm vẫn tìm ra khe hở để xâm nhập do sự bất cẩn hoặc ngây thơ của người dùng.


"Bài học ở đây là hãy coi điện thoại và SIM điện thoại của bạn tương đương với tất cả số tiền bạn có trong tài khoản ngân hàng", Tiến sĩ Crellin nhấn mạnh.


Nhằm gia tăng bảo mật, bạn có thể sử dụng điện thoại hai SIM và chỉ sử dụng một SIM cho các giao dịch tài chính và SIM còn lại cho các hoạt động ít quan trọng hơn.

Bạn cũng có thể cân nhắc sử dụng hai chiếc điện thoại, một chiếc chuyên cho các ứng dụng ngân hàng, chiếc còn lại dùng cho những ứng dụng kém an toàn hơn.

Hãy cẩn thận không chia sẻ số điện thoại bảo mật và chi tiết thông tin cá nhân mà bạn dùng cho các giao dịch tài chính ở bất cứ đâu, ngoại trừ ngân hàng.

Tội phạm mạng sẽ không bao giờ biến mất. Động lực chiếm dụng tiền của người khác mạnh đến mức sẽ luôn có người tìm cách lách luật và đột nhập vào các hệ thống. Thế giới số mang lại nhiều lợi ích và thuận tiện cho con người, nhưng cũng tiềm ẩn các nguy cơ. Hãy thận trọng và ý thức về những gì bạn chia sẻ cũng như tính an toàn của các thiết bị mà bạn đang sử dụng.