Lỗ hổng khiến kẻ gian "đọc vanh vách" giao dịch của khách hàng để lừa đảo

ANTD.VN - Kẻ gian gọi điện giả danh nhân viên ngân hàng có thể đọc chính xác hàng loạt giao dịch của khách nhằm yêu cầu họ cung cấp mã OTP với mục đích chiếm đoạt tiền trong tài khoản. Vậy đâu là lỗ hổng khiến những tên tội phạm dễ dàng lợi dụng để thực hiện hành vi lừa đảo?

Sự sơ hở và cả tin của khách hàng khiến các đối tượng lừa đảo dễ dàng chiếm được tiền trong tài khoản

Chiêu lừa tinh vi

Mới đây, câu chuyện được một Facebooker chuyên bán hàng online chia sẻ đã khiến nhiều người sử dụng tài khoản ngân hàng hoang mang vì thủ đoạn của bọn lừa đảo cực kỳ tinh vi. Theo đó, chúng giả nhân viên ngân hàng, đọc chính xác 100% các giao dịch của nạn nhân. Cụ thể, tài khoản Facebook này cho biết, các số điện thoại lạ là 0888.501.xxx và 028.71098xxx gọi vào điện thoại của chị, tự xưng là nhân viên của Ngân hàng Techcombank.

“Chúng đọc đúng 100% tất cả các giao dịch của tôi ngày hôm qua, đọc đúng luôn cả số thẻ. Thậm chí, chúng lựa chọn đúng giao dịch nhiều tiền nhất của mình, đọc cụ thể số tiền mình đã nhận lẫn lời nhắn gửi “ck mua tom 5,2kg” và bảo là hiện tại không xác định được người gửi số tiền này. Bên ngân hàng sẽ gửi một mã OTP cho tôi và yêu cầu tôi cung cấp mã OTP đó, nếu không tài khoản sẽ bị phong tỏa 72 giờ và số tiền 2.652.000 đồng kia sẽ chuyển hoàn vào tài khoản của người gửi cho mình” - nạn nhân kể lại. Đáng nói, theo nạn nhân, khi chị không chịu cung cấp mã OTP thì “đúng là tài khoản ngân hàng của mình đã bị treo mất 10 phút không giao dịch được”. Khách hàng này sau đó đã ra phòng giao dịch Techcombank hỏi và được biết đây là thủ đoạn của bọn lừa đảo.

Trong trường hợp trên, khách hàng là người may mắn vì đã tỉnh táo không cung cấp mã OTP cho kẻ gian. Trong nhiều trường hợp bị lừa đảo trước đó, một khi khách hàng đã cung cấp mã OTP cho đối tượng thì kẻ gian sẽ dễ dàng thực hiện các thao tác chuyển tiền từ tài khoản nạn nhân đến tài khoản của bọn chúng.

Những lỗ hổng dễ bị lợi dụng

Đây là loại hình tội phạm mà đối tượng lừa đảo giả mạo danh tính, lừa đảo khách hàng, thực hiện các hành vi chiếm đoạt tiền trong tài khoản. Các bước thực hiện của chúng thường như sau:

Bước thứ nhất là thu thập thông tin khách hàng: Bằng nhiều cách thức khác nhau kẻ gian thực hiện  thu thập thông tin liên quan đến khách hàng, từ thông tin cá nhân (tên, số điện thoại, ngày tháng năm sinh, địa chỉ, số CMND, địa chỉ email….) tới các thông tin về thẻ tín dụng (số thể, số CVV, hạn sử dụng), thông tin về tài khoản (username, mật khẩu, số dư, lịch sử giao dịch…).

Thời gian gần đây, nhiều ngân hàng đã liên tục đưa ra cảnh báo khách hàng tuyệt đối không cung cấp tên đăng nhập, mật khẩu, mã OTP cho bất kỳ ai qua các cuộc gọi, tin nhắn điện thoại, mạng xã hội… kể cả người tự xưng là công an, cơ quan điều tra, nhân viên ngân hàng.

Bước thứ hai là lừa đảo: Theo đó, kẻ gian sẽ giả danh  nhân viên ngân hàng, tổng đài ngân hàng, cơ quan chức năng, hoặc các tổ chức thực hiện các Event, khuyến mại… để liên hệ với khách hàng qua điện thoại hoặc tin nhắn. Với những thông tin đã có từ trước, kẻ gian dễ dàng chiếm lòng tin của khách hàng và tiếp tục khai thác các thông tin nhạy cảm như mã số xác thực OTP.

Bước cuối cùng: Khi đã có các thông tin bảo mật do khách hàng cung cấp, kẻ gian chiếm đoạt tài khoản và lập tức tẩu tán, rút hết tiền mà khách hàng có.

Trong trường hợp khách hàng nêu trên, điểm mà kẻ gian đánh vào tâm lý khiến họ dễ tin tưởng là chúng đọc được chính xác các giao dịch mà khách hàng đã thực hiện ngay trước đó. Ông Võ Đỗ Thắng - Giám đốc Trung tâm An ninh mạng Athena cho rằng, nguyên nhân kẻ gian nắm được những thông tin này có thể từ chính phía khách hàng như thiết bị smartphone của họ có cài những phần mềm gián điệp, dẫn đến những giao dịch đều bị giám sát.

“Hiện nay nhiều người thường cài đặt những phần mềm không rõ nguồn gốc, nhấp vào các đường link lừa đảo, hoặc thậm chí đem điện thoại ra cửa hàng sửa chữa dẫn đến bị cài các phần mềm gián điệp…” - ông Võ Đỗ Thắng cho biết. Tuy nhiên, vị chuyên gia cũng không loại trừ khả năng có nhân viên ngân hàng nào đó cung cấp danh sách các giao dịch của khách hàng cho đối tượng lừa đảo. Vì hiện nay, các nhân viên trung tâm thẻ, nhân viên hỗ trợ dịch vụ ngân hàng điện tử (Internet Banking, Mobile Banking) có thể nắm được các giao dịch này của khách hàng.

Nên biết cách tự bảo vệ mình

Trên thực tế, khách hàng cũng có thể bị lộ thông tin giao dịch ở nhiều nguồn khác nhau, như sao kê ngân hàng ở một cửa hàng nào đó mà khách hàng đã giao dịch, trong đó có đầy đủ thông tin như số tài khoản, họ tên, số tiền và nội dung giao dịch. Đối với một số trường hợp bán hàng online như khách hàng kể trên, việc thường xuyên đăng tải các đơn bán hàng và giao dịch chuyển khoản của mình lên trên mạng, để minh chứng cho việc “buôn may, bán đắt” cũng là một “kênh” mà kẻ gian dễ dàng thu thập thông tin làm “mồi câu” để chiếm đoạt tiền.

Vì vậy, thời gian gần đây, nhiều ngân hàng đã liên tục đưa ra cảnh báo khách hàng tuyệt đối không cung cấp tên đăng nhập, mật khẩu, mã OTP cho bất kỳ ai qua các cuộc gọi, tin nhắn điện thoại, mạng xã hội… kể cả người tự xưng là công an, cơ quan điều tra, nhân viên ngân hàng. Không nhập mật khẩu/mã OTP trên các trang mạng không rõ nguồn gốc, hoặc đường link lạ do người khác gửi đến, đặc biệt các trang web giả mạo các dịch vụ chuyển tiền. Không thực hiện giao dịch trên các thiết bị công cộng, tiềm ẩn rủi ro cao như máy tính tại tiệm internet hay điện thoại của người lạ.

Không lưu thông tin đăng nhập ngân hàng điện tử tại bất kì đâu, đặc biệt không chọn chế độ tự động lưu mật khẩu trên trình duyệt web. Không cung cấp thông tin, đưa thông tin giao dịch lên mạng, đặc biệt là những giao dịch bán hàng online, vì sẽ tạo điều kiện cho kẻ lừa đảo. Đặc biệt, khách hàng nên thông báo với ngân hàng ngay khi nhận thấy các cuộc gọi, tin nhắn có dấu hiệu đáng ngờ.