Lừa đảo qua điện thoại: Khi 'Quyền trợ năng' trở thành vũ khí tự hại mình
Trong thời gian gần đây, ngoài chiêu trò gửi link qua tin nhắn SMS giả danh các ngân hàng, bảo hiểm và các cơ quan chức năng, xuất hiện một hình thức lừa đảo mới - Lạm dụng quyền trợ năng (accessibility) trên một số ứng dụng được cài đặt trên điện thoại di động. Theo đó, khi người dùng cài đặt các ứng dụng yêu cầu cấp quyền, hacker lợi dụng quyền này để thực hiện "record" - theo dõi hành vi người dùng và "remote" - điều khiển từ xa điện thoại của khách hàng.
App giả mạo Cục Thuế TP.HCM
Cách tiếp cận phổ biến nhất của tội phạm là giả danh các cơ quan chức năng và gọi điện hướng dẫn người dùng cài đặt, kích hoạt tài khoản điện tử mức 2 (VNeid) hoặc ứng dụng của Tổng cục Thuế...
Từ đó, tội phạm có thể đánh cắp thông tin đăng nhập, mật khẩu, mã PIN, OTP, và thậm chí chiếm quyền điều khiển từ xa để trục lợi từ tài khoản ngân hàng của người bị nạn.
Cuối tháng 8 vừa qua, Phòng An ninh mạng Công an tỉnh Đồng Tháp đã thông báo về vụ việc một người dân mất 1 tỉ đồng sau khi bị kẻ lừa đảo giả danh Công an huyện Hồng Ngự gọi đến và hướng dẫn cài đặt, kích hoạt tài khoản điện tử mức 2.
Cách kiểm tra trang web giả mạo, lừa đảo
Người dùng có thể kiểm tra một trang web có phải là giả mạo nhằm mục đích lừa đảo, đánh cắp thông tin bằng cách truy cập vào địa chỉ https://soc.gov.vn/check-phishing. Đây là công cụ của Trung tâm Giám sát an toàn không gian mạng quốc gia.
Sau khi truy cập địa chỉ trên, người dùng nhập địa chỉ trang web muốn kiểm tra và nhấn nút "Kiểm tra". Kết quả xuất hiện có thể không chính xác hoàn toàn nhưng mang có tính chất tham khảo. Website Phishing là website mà kẻ tấn công tạo ra, giả mạo.
Ngoài ra, người dùng còn có thể tự thẩm định bằng cách chú ý đường dẫn giả mạo thường chứa nhiều ký tự vô nghĩa và các chuỗi văn bản bổ sung. Bên cạnh đó, người dùng còn có thể kiểm tra chứng thư số của website, kiểm tra thanh địa chỉ để biết thông tin chi tiết của tổ chức...
Sau khi cài đặt ứng dụng mang tên "AN NINH MẠNG," người bị lừa phát hiện tài khoản ngân hàng của mình đã bị trừ một khoản tiền lớn, và đã nhanh chóng báo cáo vụ việc cho cơ quan chức năng.
Theo các cơ quan điều tra, nạn nhân đã sa vào bẫy của ứng dụng giả mạo, mà sau đó được phát hiện chứa mã độc có khả năng thu thập thông tin cá nhân và thông tin tài khoản ngân hàng.
Khi kẻ xấu kiểm soát được thông tin đăng nhập và mã OTP, họ dễ dàng chuyển tiền đến các tài khoản khác để chiếm đoạt.
Giao diện ứng dụng giả mạo để lừa đảo chiếm đoạt tiền
Cũng cuối tháng 7 vừa qua, Công an TP Hà Nội đã phát cảnh báo về việc xuất hiện các phần mềm giả mạo ứng dụng của cơ quan thuế với mục tiêu lấy cắp thông tin cá nhân và tài sản.
Người dân đã báo cáo rằng có kẻ giả danh là cán bộ chi cục thuế gọi điện, gửi đường link và hướng dẫn cài đặt phần mềm nộp thuế.
Người báo cáo, khi làm theo hướng dẫn, nhanh chóng phát hiện tài khoản ngân hàng của mình đã bị mất hơn 400 triệu đồng.
Phòng An ninh mạng và phòng chống tội phạm sử dụng công nghệ cao Công an TP Hà Nội khuyến cáo: "Người dân không nên cho phép bất kỳ cá nhân nào truy cập trực tiếp vào máy tính, điện thoại của mình để hỗ trợ cài đặt, sử dụng phần mềm của cơ quan thuế.
Khi cài đặt các ứng dụng, người dùng cần kiểm tra kỹ thông tin về ứng dụng, quyền truy cập và tính năng của ứng dụng trước khi tải về và cài đặt; tránh cài đặt các ứng dụng yêu cầu cấp quyền, truy cập tệp tin, truy cập tin nhắn, điều khiển màn hình..."
Đại diện ACB, ông Nguyễn Trần Nam, cũng chia sẻ về nguy cơ mà người dùng Android đang phải đối mặt. Hacker có thể điều khiển điện thoại mà không cần sự cho phép của người dùng, bao gồm cả việc sử dụng các ứng dụng ngân hàng di động và thậm chí cả việc chiếm quyền điều khiển từ xa.
Đại diện ACB cảnh báo: "Khách hàng cần phải cảnh giác, hiểu rõ quyền và trách nhiệm của mình khi giao dịch ngân hàng, đặc biệt là trên không gian mạng; nâng cao nhận thức về các thủ đoạn mới, được truyền thông liên tục trên báo đài và từ các ngân hàng, để cảnh giác hơn trước đối tượng lừa đảo."
Cách phòng tránh bị chiếm quyền điều khiển điện thoại
Cùng với sự tiến bộ trong công nghệ di động, nguy cơ bị chiếm quyền điều khiển điện thoại cũng ngày càng gia tăng. Tuy nhiên, có những cách để bảo vệ mình khỏi những cuộc tấn công này. Dưới đây là một số khuyến nghị từ chuyên gia Vũ Ngọc Sơn, Giám đốc Công nghệ của Công ty An ninh mạng NCS:
Hiểu về "Hộp Cát" (Sandbox): Mỗi ứng dụng trên điện thoại di động được hệ điều hành tạo ra một "hộp cát" (sandbox). Điều này đảm bảo rằng mỗi ứng dụng không thể đọc dữ liệu từ các ứng dụng khác hoặc can thiệp vào hoạt động của chúng.
Quyền trợ năng (Accessibility Service): Hệ điều hành Android của Google có một tính năng gọi là "quyền trợ năng" (accessibility service) được tạo ra để hỗ trợ những người khiếm thị hoặc mất khả năng vận động. Tuy nhiên, hacker đã lợi dụng tính năng này để lập trình mã độc có khả năng đọc và tương tác với các ứng dụng khác. Cần cảnh giác kẻo chính quyền trợ năng lại trở thành vũ khí tự hại mình.
Tải Ứng dụng từ nguồn đáng tin cậy: Tránh tải ứng dụng từ các nguồn không đáng tin cậy. Sử dụng Google Play Store cho các thiết bị Android và Apple App Store cho iPhone. Các ứng dụng từ những nguồn không rõ nguồn gốc có nguy cơ lớn bị nhiễm mã độc.
Cảnh giác khi cài đặt phần mềm: Không cài đặt phần mềm từ các nguồn không xác định hoặc không tin cậy. Đặc biệt, không cấp quyền truy cập tính năng "quyền trợ năng" cho bất kỳ ứng dụng nào, dù có lý do gì.
Kiểm tra yêu cầu quyền truy cập: Trước khi cài đặt một ứng dụng, kiểm tra kỹ yêu cầu quyền truy cập của ứng dụng. Đối với các ứng dụng của ngân hàng, cơ quan thuế hoặc tổ chức khác, không có lý do gì để họ yêu cầu quyền trợ năng.
Tin nhắn và liên kết: Không bấm vào các liên kết hoặc mở tin nhắn từ nguồn không rõ nguồn gốc. Nếu có bất kỳ nghi ngờ nào, hãy xác thực lại thông tin qua số điện thoại chính thức của cơ quan hoặc tổ chức liên quan.
Mặc dù hacker có thể luôn tìm cách thay đổi chiến thuật của họ, việc nắm rõ những cách cơ bản để bảo vệ điện thoại di động của bạn có thể giúp bạn tránh được nhiều rủi ro tiềm ẩn.