Đối tượng được lừa đảo nhắm tới là những người cao tuổi vốn dễ gặp khó khăn khi cung cấp thông tin sinh trắc học hoặc thao tác kết nối NFC – nhằm thực hiện hành vi chiếm đoạt tài sản.
Lừa đảo hỗ trợ “đăng ký xác thực sinh trắc học”
Theo ghi nhận của các chuyên gia của công ty an ninh mạng, những kẻ lừa đảo đã mạo danh cán bộ ngân hàng gọi điện, liên hệ với “con mồi” thông qua các nền tảng mạng xã hội như Facebook, Zalo… để hỗ trợ làm các thủ tục xác thực sinh trắc học.
Chúng thường yêu cầu người dân cung cấp các dữ liệu cá nhân như địa chỉ nhà, ảnh chụp hai mặt căn cước công dân, thông tin tài khoản ngân hàng… Kẻ lừa đảo còn dụ dỗ thực hiện cuộc gọi video nhằm thu thập giọng nói, biểu cảm khuôn mặt, cử chỉ của nạn nhân.
Sau đó, chúng dùng các thông tin đánh cắp để đăng nhập vào các ứng dụng ngân hàng, thanh toán trực tuyến nhằm thực hiện các giao dịch chuyển tiền từ tài khoản của nạn nhân.
Theo Vietcombank, ngoài chiêu trò mạo danh nhân viên ngân hàng khi gọi điện thoại, những kẻ lừa đảo còn lập các tài khoản mạng xã hội với những cái tên dễ gây nhầm lẫn như “Nhân viên ngân hàng”, “Hỗ trợ khách hàng”…
Các đối tượng này thường trà trộn tương tác với những bình luận của khách hàng dưới các bài đăng trên trang mạng xã hội chính thức của ngân hàng để đề nghị khách hàng liên hệ riêng (inbox) nhằm dẫn dụ khách hàng để lừa đảo lấy thông tin dịch vụ ngân hàng của khách hàng.
“Kẻ lừa đảo cũng dụ dỗ người dân tải về các phần mềm giả mạo có chứa mã độc thông qua đường dẫn được đính kèm trong các tin nhắn mà chúng gửi.
Khi nạn nhân tải về các phần mềm, chúng sẽ dễ dàng theo dõi các thao tác mà nạn nhân thực hiện trên thiết bị, từ đó khai thác sâu hơn các thông tin quan trọng”, một chuyên viên an ninh mạng ngân hàng này cho biết.
SHB cũng vừa phát đi cảnh báo thủ đoạn lừa đảo mới của các đối tượng lừa đảo là giả hỗ trợ “đăng ký xác thực sinh trắc học”. Lợi dụng quy định của Ngân hàng Nhà nước từ ngày 1-7, nhiều đối tượng lừa đảo đã mạo danh cán bộ ngân hàng và cơ quan quản lý để liên hệ với người dân hỗ trợ cài đặt dịch vụ xác thực sinh trắc học nhằm lừa đảo, chiếm đoạt tài sản.
Các đối tượng này liên hệ người dân/khách hàng của các ngân hàng bằng các hình thức như gọi điện, nhắn tin, kết bạn qua các mạng xã hội (Zalo, Facebook, Viber…) để “giả hướng dẫn” thu thập thông tin sinh trắc học.
Sau đó, đối tượng yêu cầu khách hàng cung cấp thông tin cá nhân, thông tin tài khoản ngân hàng, hình ảnh căn cước công dân, hình ảnh khuôn mặt, hoặc có thể yêu cầu cuộc gọi video để thu thập thêm giọng nói, cử chỉ, dáng điệu… nhằm phục vụ cho mục đích lừa đảo
“Các đối tượng sẽ dẫn dắt người dân truy cập vào đường link lạ để tải và cài đặt ứng dụng lạ trên điện thoại. Những ứng dụng/phần mềm chứa mã độc này có giao diện, hình ảnh gần tương tự với ứng dụng chính thống của Bộ Công an, cơ quan quản lý nhà nước hay các tổ chức tín dụng” – ngân hàng này khuyến cáo.
Nguy cơ lừa đảo deepfake
Bên cạnh hình thức lừa đảo hỗ trợ cập nhật sinh trắc học đang rộ lên những ngày gần đây, các chuyên gia của Bkav cũng cảnh báo nguy cơ lừa đảo deepfake (công nghệ sử dụng trí tuệ nhân tạo để tạo ra các hình ảnh, video hoặc âm thanh giả có thể bắt chước hoàn hảo giọng nói và ngoại hình của một cá nhân) trong giao dịch ngân hàng.
Những kẻ xấu có thể lạm dụng công nghệ này để lừa đảo người dùng, thực hiện các giao dịch tài chính trái phép. Theo BkAV, dù các biện pháp xác thực sinh trắc học như nhận diện khuôn mặt, vân tay hay giọng nói đang được áp dụng rộng rãi nhằm đảm bảo an toàn cho các giao dịch, deepfake vẫn có thể lách qua những biện pháp bảo mật này.
“Với sự bùng nổ của các ứng dụng mạng xã hội như hiện nay, kẻ xấu không khó để thu thập hình ảnh của một người rồi tạo ra các bản sao giả mạo hoàn hảo với đầy đủ đặc điểm sinh trắc học cá nhân để thực hiện các giao dịch trái phép, đặc biệt trong bối cảnh ChatGPT và AI – trí thông minh nhân tạo – đang phát triển rất nhanh” – ông Nguyễn Văn Thứ, tổng giám đốc an ninh mạng của Bkav, cảnh báo.
Do vậy, các chuyên gia Bkav khuyến cáo người dân cần hết sức cẩn trọng khi thực hiện các giao dịch tài chính, ngay cả khi đã áp dụng các biện pháp xác thực sinh trắc học. Người dùng cần thường xuyên kiểm tra lịch sử giao dịch, không chia sẻ thông tin cá nhân và đề cao cảnh giác.
Ngoài ra, theo Bkav, các ngân hàng cần liên tục cập nhật các giải pháp công nghệ tiên tiến và kết hợp nhiều lớp bảo mật để chống lại các cuộc tấn công deepfake. Việc nâng cao nhận thức và sự phối hợp chặt chẽ giữa ngân hàng và khách hàng là rất quan trọng để bảo vệ an toàn tài chính trong kỷ nguyên số.
Vietcombank cũng khuyến cáo người dùng tuyệt đối không truy cập các đường link, không cung cấp các thông tin bảo mật tài khoản, dịch vụ ngân hàng số (tên đăng nhập, mật khẩu, mã OTP), dịch vụ thẻ (số thẻ, mã OTP), thông tin tài khoản hay bất cứ thông tin bảo mật dịch vụ ngân hàng, thông tin cá nhân nào khác.
Đặc biệt, khách hàng không chia sẻ các thông tin cá nhân, thông tin dịch vụ ngân hàng, thông tin giao dịch ngân hàng… lên mạng xã hội để tránh bị những kẻ lừa đảo lợi dụng mạo danh ngân hàng/cán bộ ngân hàng liên hệ, yêu cầu được hỗ trợ hoặc yêu cầu cung cấp thông tin nhằm thực hiện các hành vi lừa đảo, gian lận và chiếm đoạt tiền trong tài khoản khách hàng
“Chúng tôi không yêu cầu khách hàng cung cấp thông tin cá nhân qua các kênh như gọi điện, nhắn tin SMS, email, phần mềm chat (Zalo, Viber, Facebook messenger…)…”, một lãnh đạo Vietcombank khẳng định.
Liên tục nâng cấp để ứng phó với tội phạm mạng
Trả lời báo chí tại cuộc họp báo Chính phủ thường kỳ tháng 7, ông Phạm Tiến Dũng, phó thống đốc Ngân hàng Nhà nước, cho biết yêu cầu giao dịch trên 10 triệu đồng phải xác thực khuôn mặt là thêm một bước bảo vệ để bảo đảm người chuyển tiền là chính chủ.
Tuy nhiên, tất cả các giải pháp đều không có gì là an toàn tuyệt đối bởi tội phạm sẽ luôn tìm ra các thủ đoạn chống phá. Do đó, Ngân hàng Nhà nước yêu cầu các ngân hàng liên tục nâng cấp ứng dụng mobile banking để có thể đối phó với các thủ đoạn mới, bảo đảm an ninh an toàn cho người dùng. “Chúng ta sẽ làm theo lộ trình, làm đến đâu chắc đến đó với mục tiêu duy nhất là bảo đảm quyền và lợi ích của khách hàng”, ông Dũng khẳng định.
Ngân hàng phải đầu tư trang bị chống deepfake
Trao đổi với báo chí mới đây, trung tá Triệu Mạnh Tùng – phó cục trưởng Cục An ninh mạng và phòng chống tội phạm sử dụng công nghệ cao (A05 – Bộ Công an) – cho biết ngay từ ngày 1-7 đã có những đối tượng lừa đảo mạo danh là nhân viên ngân hàng rồi liên hệ với một số người dân để hỗ trợ cập nhật thông tin sinh trắc học. Điều đó cho thấy đối tượng phạm tội đã nghiên cứu rất kỹ lưỡng giải pháp này.
Theo ông Tùng, các ngân hàng đều đầu tư hạ tầng và giải pháp công nghệ để đảm bảo khi xác thực khuôn mặt của khách hàng phải là khuôn mặt thật đang thực hiện giao dịch. Tuy nhiên, vẫn có rủi ro như đối tượng lừa đảo sử dụng deepfake để vượt qua biện pháp kỹ thuật khi xác thực sinh trắc học.
“Việc xác thực sinh trắc học có bị vượt qua hay không vẫn chưa thể khẳng định được. Tuy nhiên, ngân hàng cần đầu tư trang bị chống deepfake, gian lận mà vượt qua xác thực sinh trắc học”, ông Tùng khuyến cáo.