Trong những ngày bão lũ vừa qua, lợi dụng tinh thần tương thân tương ái của người dân Việt Nam, nhiều kẻ xấu đua nhau lập các trang web, fanpage mạo danh các tổ chức, cơ quan nhà nước nhằm phát tán tin giả, giăng bẫy lừa đảo, trục lợi từ lòng tốt của người dân.
Tình trạng giả mạo các app (ứng dụng), website của các ngân hàng, tổ chức, cơ quan nhà nước nhằm mục đích lừa đảo ngày càng tràn lan. Trang web này vừa bị dập, lập tức xuất hiện thêm nhiều trang khác…
Theo Trung tâm Giám sát an toàn không gian mạng quốc gia, đến nay đã ghi nhận 125.226 địa chỉ website giả mạo cơ quan, tổ chức tại Việt Nam.
App giả, web lừa bủa vây người dùng
Trong khi theo dõi các thông tin cập nhật về tình hình bão lũ cũng như đời sống người dân ở các tỉnh phía Bắc, chị H. (TP Thủ Đức, TP.HCM) thấy có trang fanpage kêu gọi quyên góp hỗ trợ cho người dân bị ảnh hưởng.
“Trang fanpage dùng hình ảnh chính thức của hội chữ thập đỏ và có ghi thông tin là trang chính thức của hội cũng như công bố con số hơn 1 triệu người theo dõi, kèm theo những hình ảnh thương tâm của đồng bào trong bão lũ nên tôi không mảy may suy nghĩ nhiều”, chị H. kể lại.
Tuy nhiên, sau khi chuyển số tiền 30 triệu đồng vào số tài khoản nhận là cá nhân, chị H. bắt đầu cảm thấy “ngờ ngợ” và sau đó mới té ngửa khi phát hiện mình sập bẫy kẻ lừa đảo.
Tại cuộc họp giao ban mới đây, đại diện Bộ TT&TT cũng cảnh báo về một số trang cá nhân/fanpage trên mạng xã hội mạo nhận là nạn nhân/người dân bị ảnh hưởng và Facebook giả mạo Hội Chữ thập đỏ để lừa đảo bằng cách kêu gọi quyên góp, ủng hộ người dân bị ảnh hưởng bởi bão Yagi.
Phản ảnh đến Tuổi Trẻ, một bạn đọc cho biết tình cờ thấy chương trình thể thao pickleball trên mạng nên đã đăng ký cho con học. Sau khi vào nhóm, bạn đọc này được hướng dẫn phải đóng tiền cho một số “nhiệm vụ” nhằm tạo tương tác, tiền sẽ được hoàn trong 15 phút.
Sau khi được hoàn tiền, bạn đọc an tâm nên thực hiện một số “nhiệm vụ” khác cho đến khi số tiền lên tới 44 triệu đồng. Do thấy số tiền của “nhiệm vụ” tiếp theo quá lớn, bạn đọc này không tham gia nữa mà yêu cầu được hoàn tiền.
Tuy nhiên, chị được yêu cầu tiếp tục nộp tiền để hoàn tất “nhiệm vụ cuối cùng” mới được hoàn lại tiền, nếu không sẽ mất số tiền đã đóng. “Giờ không biết phải làm sao để lấy lại số tiền đã đóng, nhóm hướng dẫn cứ khuyên nên kiếm đủ tiền để hoàn tất nhiệm vụ, đi vay cũng được…”, bạn đọc này nói.
Một bạn đọc khác tên Th. thông tin có tổ chức hướng dẫn bạn đọc này cài app vào điện thoại để điểm danh nhận… lì xì, sau đó chiêu dụ nộp tiền nuôi bò kỹ thuật số với lãi suất cao. Thậm chí nhóm lừa đảo này quảng cáo có trang trại nuôi bò ở Úc, với tên gọi na ná tên của một doanh nghiệp lớn của Úc nhằm lôi kéo thêm nạn nhân
Theo Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC) thuộc Bộ TT&TT, trong tháng 8 đã phát hiện 55 website giả mạo thương hiệu với mục đích lừa đảo được phát tán trên mạng. Trong đó chủ yếu là mạo danh các ngân hàng, sàn thương mại điện tử, bảo hiểm, cơ quan nhà nước.
Có thể kể ra một số thương hiệu bị mạo danh website nhiều nhất như: Bảo hiểm xã hội Việt Nam, Bộ Công an, Công ty cổ phần Giao hàng tiết kiệm, Điện máy xanh, Kho bạc Nhà nước, sàn thương mại điện tử Lazada, Shopee, Tiki, Sendo…
Làm app giả, web giả chỉ mất… 3 phút
Theo ông Đặng Hữu Sơn – đồng sáng lập LovinBot AI, phó chủ tịch Liên minh phát triển nguồn nhân lực số Việt Nam, sự phát triển chóng mặt của trí tuệ nhân tạo (AI) trong việc hỗ trợ lập trình đã giúp tội phạm mạng không còn phải mất hàng tháng trời để lập trình, xây dựng web giả mạo tổ chức ngân hàng hay tổ chức tài chính nhằm đánh lừa người dùng.
Thời gian để phát triển các app hoặc website bằng công nghệ no-code (không lập trình) hoặc AI code (dùng AI lập trình) thường được rút ngắn đáng kể so với cách lập trình truyền thống. Bởi các nền tảng no-code có thể giảm thời gian phát triển lên đến 90% so với việc phải tự viết mã từ đầu.
“Chỉ với một vài thao tác đơn giản, tội phạm mạng sử dụng các nền tảng no-code hoặc AI có thể chỉ mất 3 phút để có một giao diện ngân hàng và rất dễ tùy chỉnh theo ý muốn chỉ từ những câu lệnh. Người làm không cần biết kỹ năng lập trình cao siêu”, ông Sơn chia sẻ.
Thậm chí với sự hỗ trợ của AI, tội phạm mạng chỉ mất chưa đầy 1 giờ để có thể tạo ra các giao diện giống 100% với tính năng trang đăng nhập tài khoản của các ngân hàng, thậm chí tên miền cũng có sự tương đồng dù chỉ khác biệt nhỏ như dấu trừ, dấu chấm hay dùng tên miền phụ.
“Các hình ảnh, nội dung… có thể sao chép từ chính thương hiệu cần giả mạo. Sau đó kẻ xấu sẽ chèn thêm các mã độc để khai thác thông tin, chiếm đoạt tài khoản, thiết bị. Việc tạo ra một web, một app mạo danh có thể chỉ tính bằng đơn vị phút” – ông Vũ Ngọc Sơn, giám đốc công nghệ Công ty an ninh mạng NCS, “bật mí”.
Cũng theo ông Sơn, app giả, web giả chứa các hình ảnh, thậm chí tên miền gần giống với thương hiệu chính chủ nên có thể gây nhầm lẫn cho người dùng. Từ đó kẻ xấu dễ dàng lừa nạn nhân nhập tài khoản, mật khẩu để chiếm đoạt tài khoản hoặc chiếm quyền điều khiển thiết bị.
“Sau khi có tài khoản hoặc chiếm được quyền điều khiển thiết bị, những kẻ lừa đảo sẽ sử dụng tài khoản, thiết bị để tiếp tục đánh cắp các thông tin nhạy cảm khác, chuyển tiền hoặc dùng để tiếp tục lừa các nạn nhân khác như bạn bè, người thân của nạn nhân”, ông Sơn cảnh báo.
Có thể ngăn chặn nhưng không xuể
Theo các chuyên gia bảo mật, sau khi phát triển xong các app, website giả mạo, tội phạm mạng sẽ bắt đầu gắn chúng vào các đường dẫn trên mạng như web, diễn đàn, hội nhóm chat, fanpage… để dụ người dùng truy cập.
Với các app giả mạo, tội phạm mạng sẽ phát tán chủ yếu qua các dẫn dụ người dùng tải về cài đặt trực tiếp. Thực tế cũng có một số trường hợp app giả mạo được đưa lên các kho ứng dụng chính thống như Google Play (dành cho smartphone chạy hệ điều hành Android) nhưng sẽ nhanh chóng bị Google phát hiện và gỡ bỏ khỏi hệ thống.
Do đó tội phạm mạng chủ yếu phát tán app giả mạo qua các kho ứng dụng không chính thống hoặc đường dẫn cài đặt trực tiếp lên thiết bị người dùng. Theo ông Trần Viết Quân – nhà sáng lập kiêm chủ tịch ứng dụng chuyển đổi số Tanca.io, đối với website, tội phạm mạng dễ dàng xây dựng và cung cấp đến nạn nhân đường dẫn truy cập.
“Còn đối với app, cần phê duyệt từ chợ ứng dụng của nhà cung cấp như Apple hay Google. Ngoài ra Google có thể cho phép người dùng cài đặt ứng dụng không thông qua chợ ứng dụng chính thống cũng tạo kẽ hở cho việc gọi điện lừa đảo hướng dẫn cài app”, ông Quân cho biết.
Ngoài ra theo ông, một kỹ sư lập trình, tội phạm mạng còn đầu tư mua sẵn hàng loạt tên miền (gần giống với web cần mạo danh) và áp dụng cơ chế “bật, tắt”. Khi tên miền này bị chặn, tên miền khác được bật lên thay thế ngay lập tức. Thậm chí hàng loạt tên miền được bật cùng lúc để bủa vây người dùng.
“Với app mạo danh, kẻ xấu không đưa trực tiếp lên các kho ứng dụng chính thống mà lừa người dùng trực tiếp cài vào máy nên rất khó phát hiện và ngăn chặn”, ông chia sẻ.
Theo ông Vũ Ngọc Sơn, công nghệ hiện nay có thể cho phép thực hiện việc dò quét các trang, app giả mạo nhưng chi phí sẽ cao vì số lượng tên miền rất lớn. Do đó cách làm tối ưu nhất vẫn là “người dùng báo cáo cho các cơ quan quản lý nhà nước như Cục An toàn thông tin (Bộ TT&TT), Cục An ninh mạng và phòng chống tội phạm sử dụng công nghệ cao, Bộ Công an.
“Các cơ quan chức năng sẽ tập hợp các trang web lừa đảo để phối hợp với các bên quản lý trực tiếp về hạ tầng, tên miền để xử lý”, ông Sơn nói.
Ông Trần Viết Quân (nhà sáng lập kiêm chủ tịch ứng dụng chuyển đổi số Tanca.io):
Cẩn thận với app chính chủ và app giả mạo
Ngay cả với các app được đăng tải trên chợ ứng dụng, để tránh bị lừa đảo, người dùng nên kiểm tra ngày cập nhật phiên bản của app này, số lượng người đánh giá (review) về app.
Nếu các app mới và số lần đánh giá quá thấp, hãy cẩn thận và kiểm tra lại tài khoản của nhà cung cấp để xem họ đang cung cấp các ứng dụng nào.
Đối với app trên hệ điều hành Android, tuyệt đối không cài app bên ngoài thông qua sự hướng dẫn hay hỗ trợ của bất kỳ ai. Chỉ cài app trên kho ứng dụng của Google Play.
Ngoài ra hãy gõ tên của app lên hai kho tải chính thống (App Store cho iOS và Google Play cho Android) để xem các ứng dụng đề xuất hàng đầu có tương tự như tên app đang có hay không nhằm phân biệt app chính chủ và app giả mạo.
Cảnh báo app giả mạo ngân hàng đánh cắp thông tin
Một số ngân hàng tại Việt Nam tiếp tục lên tiếng cảnh báo người dùng trước nguy cơ app giả mạo có chứa mã độc có thể đánh cắp thông tin và chiếm đoạt tiền trong tài khoản ngân hàng. Một số app giả mạo đã được ghi nhận gồm: app dịch vụ công giả mạo, app VNeID giả mạo, app Chính phủ giả mạo, app cơ quan thuế giả mạo, app Bộ Công an giả mạo…
Thủ đoạn thường được tội phạm mạng áp dụng là chúng trực tiếp liên hệ và dẫn dụ người dân làm theo các kịch bản như: thông tin định danh trên hệ thống không đồng bộ; quá hạn làm sổ hộ khẩu điện tử; hỗ trợ định danh VNeID mức 2; tải app để bốc số thứ tự trước, không cần chờ lên công an quận làm thủ tục; lên công an quận cập nhật thông tin bằng lái xe…
Sau khi liên hệ với người dân, tội phạm mạng sẽ gửi đường dẫn và yêu cầu người dân truy cập để tải ứng dụng chứa mã độc về máy.
Ứng dụng giả mạo sẽ yêu cầu người dùng cho phép cài đặt ứng dụng từ nguồn gốc không xác định và cấp quyền truy cập thiết bị ở mức cao (đọc tin nhắn, kiểm soát điện thoại từ xa…). Người dân làm theo sẽ bị đánh cắp thông tin cá nhân, chiếm đoạt tiền trong tài khoản ngân hàng cài trên điện thoại, thậm chí bị chiếm quyền điều khiển điện thoại.
Phát hiện 770 tên miền có dấu hiệu vi phạm
Theo Cục An toàn thông tin Bộ TT&TT, bất chấp những cảnh báo từ cơ quan chức năng và các phương tiện truyền thông, số nạn nhân của các vụ lừa đảo trực tuyến vẫn có xu hướng gia tăng. Tính đến tháng 6-2024, cơ quan này đã ngăn chặn 3.170 website lừa đảo trực tuyến.
Trong quý 1-2024, Bộ TT&TT cho biết đã từ chối 284 tên miền .vn đăng ký mới không đúng quy định (giám sát hằng ngày). Tổng rà soát, giám sát (hằng quý) việc sử dụng toàn bộ tên miền, phát hiện 770 tên miền có dấu hiệu vi phạm. Bộ TT&TT đã phân loại theo vi phạm và chuyển danh sách tới các cơ quan chức năng xem xét xử lý vi phạm.
Kinh nghiệm phòng tránh vấn nạn app giả tại Singapore
Kể từ năm 2023, lực lượng cảnh sát và cơ quan an ninh mạng Singapore đã tăng cường cảnh báo người dân không tải các ứng dụng từ trang web thứ ba hoặc các bên không chính thống nhằm hạn chế rủi ro.
Theo cơ quan này, việc tải app giả mạo có thể khiến máy chủ dính các phần mềm độc hại, từ đó rò rỉ thông tin cá nhân của người dùng, chẳng hạn như thông tin đăng nhập ngân hàng và các ứng dụng thanh toán.
Từ tháng 8-2023, OCBC trở thành ngân hàng đầu tiên ở Singapore chặn một số khách hàng truy cập dịch vụ ngân hàng trực tuyến hoặc app thanh toán nếu OCBC phát hiện các ứng dụng đó tiềm ẩn rủi ro hoặc được tải từ các trang web không chính thức.
Nhiều ngân hàng ở Singapore cũng tung ra phiên bản nâng cấp của app thanh toán trực tuyến với tính năng chống phần mềm độc hại. Tháng 11-2023, ba ngân hàng nội địa hàng đầu Singapore là DBS, OCBC và UOB đã giới thiệu tính năng “khóa tiền”, cho phép khách hàng “khóa” một phần tiền trong tài khoản ngân hàng của họ. Người dùng không thể chuyển số tiền này thông qua các hình thức giao dịch trực tuyến.
Chính phủ Singapore cũng khuyến cáo người dân cảnh giác với các bản cập nhật đáng ngờ tự nhận là liên quan hệ điều hành Google hoặc Android, cũng như các ứng dụng giả mạo nhưng có giao diện giống hệt ứng dụng thật.
Ông Lim Yihao, cố vấn tình báo cao cấp về các mối đe dọa mạng tại bộ phận kinh doanh của Google Cloud châu Á – Thái Bình Dương, nhấn mạnh Google cấm toàn bộ app lừa đảo, độc hại trên hệ thống Google Play. Tuy nhiên một số ứng dụng vẫn vượt qua hệ thống kiểm duyệt nghiêm ngặt.
Vì vậy các chuyên gia khuyến cáo mỗi người cần tự ý thức bảo vệ bản thân khỏi các app gây hại, bắt đầu từ việc xem xét những app nào thật sự cần thiết giữa “biển cả” app hiện nay.