Kỹ thuật Phishing
Đây là kĩ thuật đơn giản nhất và là kịch bản đơn giản nhất mà các hacker đánh cắp tiền của bạn, bằng kỹ thuật này, các hacker tạo ra những giao diện giống hệt giao diện của trang web mà bạn muốn truy cập, khi bạn click vào, trang web sẽ đòi hỏi tài khoản và mật khẩu, nếu bạn đăng nhập, bạn sẽ mất thông tin về tài khoản.
 |
|
Giao diện giống trang chủ của Vietcombank nhưng tên miền thì hoàn toàn khác. Ảnh minh hoạ: Facebook
|
Không chỉ giả mạo giao diện của trang web, hacker còn tạo ra giao diện này trên những tên miền gần giống hệt tên miền thật, ví dụ, bạn là một khách hàng của vietcombank, bạn có thể vào trang vietcombank.com.vn để thực hiện giao dịch Internet Banking. Tuy nhiên, kẻ gian có thể tạo ra những trang web với tên miền gần giống mà bạn vì vô tình có thể không nhận ra như vietcom-bank.com.vn, viet-combank.com.vn…
Trong vụ việc khách hàng của Vietcombank là chị Hoàng Thị Na Hương bị các hacker chuyển đi số tiền lên tới 500 triệu đồng, ban đầu Vietcombank cho rằng, chị Hương đã bấm vào đường link lạ giả mạo trang web của ngân hàng, dẫn đến mất thông tin tài khoản, mật khẩu cá nhân.
Những trang web giả mạo này có thể bật ra từ những cửa sổ khi bạn truy cập vào các trang web khác nhau (pop-up), hoặc các hacker cũng có thể sử dụng phương pháp CSRF (Cross Site Request Forgery), đánh lừa nạn nhân vào cái bẫy đã được cài đặt sẵn. Ví dụ, các hacker gửi vào email của nạn nhân, giả mạo là ngân hàng đang thực hiện chương trình khuyến mại và yêu cầu nạn nhân click vào đường dẫn và tiếp tục đòi tài khoản, mật khẩu, khi bạn cung cấp, bạn đã mắc bẫy.
Cách phòng tránh:
Chỉ vào website bằng cách gõ trực tiếp vào trình duyệt, không bấm vào những đường link lạ
Không sử dụng các phần mềm lậu, dễ bị cài cắm các Malware đánh cắp thông tin tài khoản của bạn.
Sau khi đăng nhập vào các tài khoản ngân hàng, cần logout ngay và tránh đánh dấu vào tiện ích lưu mật khẩu trên trang, điều này tiện lợi những cũng làm tăng nguy cơ liên quan đến bảo mật.
Không can thiệp vào hệ điều hành của máy, ví dụ như root máy với Android hay Jailbreak với iPhone, những hành vi này làm vô hiệu hóa khả năng bảo mật của máy.
Không sử dụng các phần mềm lậu, không rõ nguồn gốc tải về từ Internet, những phần mềm này dễ đính kèm theo các phần mềm gián điệp để đánh cắp thông tin của người dùng.
Đánh cắp thông tin thẻ của nạn nhân
Các loại thẻ tín dụng do các tổ chức như Master Card hay Visa Card phát hành thường ghi đầy đủ thông tin của khách hàng trên thẻ.
Mặt trước của thẻ là tên chủ thẻ, mã thẻ gồm 16 số, ngày hết hạn và mặt sau là số CVV bao gồm 3 số, những thông tin này có thể dễ dàng bị đánh cắp, khi bạn giao dịch tại các địa điểm quẹt thẻ. Những nhân viên ma mãnh tại các địa điểm chấp nhận thẻ có thể chụp lại thông tin thẻ, hệ thống camera cũng có thể nhận diện thông tin thẻ.
 |
|
Kẻ gian có thể sử dụng thông tin in trên thẻ thanh toán quốc tế của bạn để giao dịch
|
Sau khi có đầy đủ thông tin thẻ, kẻ gian có thể làm giả mạo thẻ, hoặc thực hiện các giao dịch trực tuyến tại các trang thương mại điện tử, gây thiệt hại cho khách hàng.
Sáng 16/8, khách hàng của Vietcombank là anh Vũ Thành Phương (Quận 9, TP HCM) thức dậy và phát hiện tới 14 tin nhắn báo về việc thẻ Master Card Debit do Vietcombank phát hành của anh bị quẹt ở TOKYO DISNEY RESORT CHIBA JPN, MARRIOTT HTL và BOOKHAVEN NY, với 5 giao dịch thanh toán thành công, với tổng số tiền là 17 triệu đồng.
Có rất nhiều kịch bản để kẻ gian có thể đánh cắp thông tin thẻ của anh Phương để tiến hành thanh toán điện tử, trong đó không loại trừ việc đánh cắp thông tin thẻ của anh bằng các phương pháp thủ công như đã nói ở trên.
Cách phòng tránh:
Luôn đảm bảo rằng thẻ của mình được bảo mật trước sự quan sát của người khác, không cho bất kì ai mượn thẻ tín dụng cá nhân để thanh toán.
Khi sử dụng thẻ tại các địa điểm chấp nhận thanh toán, chỉ nên đưa thẻ cho nhân viên quẹt thẻ quẹt tại quầy, không nên đưa thẻ cho nhân viên để nhân viên chạy đến địa điểm khác quẹt thẻ.
Bạn có thể sử dụng băng dính, hoặc... cạo hết mã thẻ ghi trên thẻ, điều này cũng không ảnh hưởng đến khả năng thanh toán điện tử của thẻ, miễn là đừng cạo đi lớp giao tiếp thông tin trong dải màu đen in trên thẻ.
Luôn nhắc nhở người thân 3 điều trên, để họ không bị trở thành nạn nhân của một vụ đánh cắp tài khoản.
Giả mạo người thân của nạn nhân
Trong một thời gian dài, Facebook Việt rộ lên việc chủ tài khoản bị đánh cắp tài khoản, sau đó kẻ gian sử dụng tài khoản này để giả dạng, nhắn tin với bạn bè trong danh sách bạn bè để mua thẻ cào điện thoại, mượn tiền…
Một trong những thủ đoạn khác, cao tay hơn, có thể liên hệ với nạn “Ore Ore – Tôi đây, tôi đây” tại Nhật Bản, những kẻ xấu lợi dụng người lớn tuổi đầu óc kém minh mẫn, các cụ già đơn thân, để gọi điện đến, giả mạo là bà con xa hòng trục lợi.
Theo tờ Mainichi Shimbun, năm 2014, một cụ già tại Nhật ngoài 70 tuổi đã bị lừa tới 40 triệu yên (335.000 USD), khi một kẻ giả mạo là con trai cụ đề nghị bà gửi cho… 60 triệu yên (500.000 USD) vì đời sống khó khăn. Thông thường, kẻ giả mạo thường nghiên cứu kĩ tình trạng kinh tế, hành vi của “con mồi” và lợi dụng vào đặc điểm của Nhật Bản, các thành viên sống tự lập rất ít khi giao tiếp với nhau.
Cơ quan Cảnh sát Quốc gia Nhật thống kê và cho rằng, số tiền lừa đảo theo hình thức “Ore Ore” lên tới 48.7 tỉ yên (hơn 400 triệu USD) trong năm 2014. Nhiều người Nhật cho đến chết vẫn không biết mình bị lừa.
 |
|
Nghi can Phan Văn Ngoan đã "du nhập" thủ đoạn lừa đảo của nước ngoài vào Việt Nam
|
Thủ đoạn gọi điện thoại lừa đảo nạp tiền vào tài khoản ngân hàng cũng đã du nhập vào Việt Nam, tháng 7/2016, Công an TP.HCM đã bắt khẩn cấp nghi can Phan Văn Ngoan (SN 1959, ngụ xã Trung Lập Hạ, huyện Củ Chi, TP.HCM) về hành vi “lừa đảo chiếm đoạt tài sản”.
Ngoan đã dùng thủ đoạn tương tự “Ore Ore” của Nhật để lừa nhiều phụ nữ lớn tuổi chuyển tiền vào ngân hàng của mình với số tiền lên tới hàng tỷ đồng.
Cách phòng tránh:
Không nên tin tưởng về đề nghị gửi tiền đến từ các số điện thoại lạ, cần gọi hỏi lại người thân bằng những câu hỏi thông tin chỉ có hai người biết, trước khi có quyết định giúp đỡ bằng cách chuyển tiền hay không.
Đề nghị những người muốn mượn tiền gặp mặt trực tiếp để làm thủ tục vay mượn tiền có ký xác nhận, ngay cả khi người thân mượn tiền mà bạn chuyển tiền cho họ qua ngân hàng, cũng khó có thể chứng minh rằng đây là số tiền mà người khác vay mượn của bạn chứ không phải là khoản tiền sử dụng cho mục đích khác.
Đánh vào lòng tham của nạn nhân để chiếm đoạt tiền
Thủ đoạn này tương đối đơn giản nhưng vô cùng hiệu quả, kẻ gian sử dụng hình ảnh bóng bẩy, tạo một hồ sơ cá nhân (profile) đẹp long lanh trên mạng xã hội và thường là người nước ngoài, họ làm quen với các nạn nhân người Việt, sau khi chiếm được lòng tin, kẻ gian nói muốn tặng đồ trang sức đắt tiền, gửi tiền cho nạn nhân…
Sau khi con mồi tin tưởng sắp được nhận tiền, kẻ gian tiếp tục viện lý do là do bị hải quan giữ quà, cơ quan thuế yêu cầu đóng thuế để yêu cầu nạn nhân gửi tiền “hoàn thành thủ tục”.
Ngày 5/4/2016, Phòng cảnh sát Kinh tế và Chức vụ (PC46, Công an TP HCM) tạm giữ 7 nghi can về hành vi lừa đảo, trong đó có Ihugba Augustine Chinonso (30 tuổi) và Onu Chinoso Peter (31 tuổi, cùng quốc tịch Nigeria).
 |
|
Những đối tượng tình nghi người Nigeria và người Việt Nam trong đường dây lừa đảo với quy mô lớn
|
Trước đó, một phụ nữ tên Hồng (27 tuổi) trình báo, chị quen một người đàn ông nước ngoài xưng là Brian Ronald qua Facebook, Brian Ronald nhắn tin tặng quà cho chị gồm laptop, iPad, nước hoa và 100.000 USD.
Tiếp theo, một người Việt Nam gọi đến yêu cầu chị nộp 30 triệu lệ phí chuyển quà, 80 triệu phí hải quan và tiếp tục là 110 triệu đồng phí “lấy hàng”, chị đã nộp số tiền này và mãi mới phát hiện ra mình bị lừa.
Một người khác là chị Tú (33 tuổi, Đà Nẵng) cũng bị lừa với thủ đoạn tương tự, mất 2,2 tỷ đồng, anh Hoàng (43 tuổi, nhân viên một hãng hàng không) bị lừa tới… 3,2 tỷ đồng).
Sau khi xác minh số tài khoản nhận tiền, số điện thoại, CA TPHCM đã bắt Ihugba và Onu và hai vợ chồng người Việt Nam, ngoài ra còn bắt mở rộng thêm những nghi can khác, tổng số tiền bị thiệt hại được trình báo lên đến hàng chục tỷ đồng.
Không chỉ dùng thủ đoạn làm quen, những kẻ lừa đảo khác còn gửi email đến nạn nhân, thông báo nạn nhân được “thừa hưởng một số tiền thừa kế khổng lồ”, hoặc “trúng giải độc đắc từ bên kia đại dương”… sau đó, tiến hành dụ nạn nhân gửi tiền phí nhận tiền và biến mất hút.
Cách phòng tránh:
Hạn chế tiếp xúc với những người lạ trên mạng xã hội, không nên tin vào bất cứ người nào gọi điện yêu cầu bạn chuyển tiền. Nếu bạn cần nộp tiền vào các cơ quan Nhà nước, bạn cần đến những địa chỉ cụ thể đã được xác nhận.
Tiền không bao giờ từ trên trời rơi xuống túi của bạn, trừ khi bạn mua sổ xố và rất may mắn. Hãy biết nghi ngờ những đề nghị ngọt ngào từ người lạ, từ những email lạ.
Tấn công vào hệ thống bảo mật của ngân hàng
Trong 4 trường hợp kể trên thì lỗi góp phần rất lớn là từ phía cá nhân, tuy nhiên, cũng có những trường hợp lỗi đến từ nhà cung cấp dịch vụ.
Hè năm 2014, 7 ngân hàng của Mỹ bị các hacker khai thác vào lỗ hổng Heartbleed và phát tán malware (phần mềm độc hại), đánh cắp thông tin 76 triệu khách hàng cá nhân và 7 triệu doanh nghiệp.
Năm 2015, hãng bảo mật Kaspersky công bố thông tin chấn động, khoảng 100 ngân hàng và tổ chức tài chính toàn cầu đã trở thành nạn nhân của một vụ tấn công mạng diễn ra từ năm 2013 do các hacker từ Nga, Ukraine, Trung Quốc tiến hành, với khoảng... 1 tỷ USD bị đánh cắp.
Đình đám nhất gần đây là vụ tháng 3/2016, ngân hàng Bangladesh bị tấn công và thực hiện các lệnh chuyển tiền với số tiền giao dịch trái phép lên tới 81 triệu USD, vụ tấn công đã có thể để lại hậu quả thảm khốc hơn nếu một lệnh giao dịch không bị tạm ngừng chỉ vì một lỗi chính tả, toàn bộ lệnh chuyển tiền với số tiền 870 triệu USD được ngăn chặn thành công. Sau vụ việc, giám đốc ngân hàng Bangladesh, ông Atiur Rahman đã từ chức.
Trong trường hợp ngân hàng gặp lỗ hổng về bảo mật thì tất cả những cẩn thận của người dùng đều trở thành vô ích và lúc này, người dùng chỉ trông đợi vào trách nhiệm của ngân hàng, sự công bằng của cơ quan pháp luật, trong việc xử lý những khoản tiền đã bị đánh cắp mà lỗi không phải do các khách hàng của mình gây ra.
