Ứng dụng giả mạo “phần mềm do Bộ Công an cung cấp” có hình ảnh hiển thị là “công an hiệu” và mang tên “Bộ Công an” - Ảnh: Q.ĐỊNH.

Cách thức lừa đảo được lý giải như sau: Chị H., một doanh nhân tại TP.HCM, chia sẻ rằng cách đây hai tuần, chị đã rơi vào bẫy của một kẻ lừa đảo giả danh cán bộ thuế. Kẻ này đã liên hệ thông qua tin nhắn Zalo, cung cấp đường link và hướng dẫn cài đặt các phần mềm giả mạo ứng dụng của cơ quan thuế để khai báo thuế. Chị đã làm theo hướng dẫn và sau đó tài khoản của chị đã bị rút hơn 220 triệu đồng. Chị rất sốc khi phát hiện ra việc này, vì chị đã cài đặt hạn mức chuyển tiền mỗi ngày chỉ là 10 triệu đồng.

Anh N.H.S. ở Hà Nội cũng chia sẻ trải nghiệm tương tự khi mất hơn 300 triệu đồng qua giao dịch trực tuyến tại một ngân hàng ở Hà Nội. Anh nhận được cuộc gọi từ một số lạ tự xưng là công an quận, hướng dẫn anh cập nhật, đồng bộ lại tài khoản định danh điện tử mức độ 2. Sau khi làm theo hướng dẫn, anh nhận được tin nhắn SMS từ ngân hàng thông báo rút 100 triệu đồng từ tài khoản của anh mà anh không hề thực hiện.

Thông tin về việc bà Nguyễn Thị Giang Hương, chủ tịch UBND huyện Nhơn Trạch, mất hơn 100 tỉ đồng đã gây ra sự chấn động. Nhóm lừa đảo đã yêu cầu bà mở tài khoản, sau đó bà đã huy động tiền từ người thân nạp vào tài khoản. Bằng nhiều cách, nhóm lừa đảo đã lấy tiền từ tài khoản của bà Hương mỗi lần vài chục tỉ đồng, tổng số tiền đã lên đến hơn 100 tỉ đồng.

Theo lãnh đạo của một ngân hàng, khả năng những vụ lừa đảo trên đã dùng lợi dụng quyền truy cập trên một số ứng dụng cài đặt trên điện thoại. Cách thức phổ biến là giả danh lực lượng chức năng và hướng dẫn cài đặt, kích hoạt tài khoản định danh điện tử mức độ 2 hoặc app của Tổng cục Thuế thông qua đường link gửi đến qua mạng xã hội. Đây là những ứng dụng giả mạo chứa mã độc có thể thu thập thông tin cá nhân, yêu cầu cấp quyền truy cập và từ đó kẻ xấu điều khiển từ xa, truy cập dữ liệu cá nhân và đọc tin nhắn trên điện thoại của nạn nhân. Khi kiểm soát được tài khoản ngân hàng và tin nhắn chứa mã OTP, các đối tượng tội phạm dễ dàng chuyển tiền đến tài khoản khác để chiếm đoạt. Đó là lý do nhiều người mất tiền mà không nhận được tin nhắn thông báo hay thực hiện bất kỳ thao tác nào.

Cảnh báo về quyền trợ năng trên điện thoại

Theo giám đốc của một trong những ngân hàng hàng đầu về ngân hàng số, nguy cơ đang hiện hữu đối với khách hàng sử dụng ứng dụng ngân hàng trên hệ điều hành Android, đặc biệt là trên iOS vẫn chưa được ghi nhận. Các hacker có thể theo dõi hành vi sử dụng điện thoại của họ, bao gồm cả việc sử dụng ứng dụng mobile banking và chiếm quyền điều khiển từ xa.

Theo đó, hacker có thể điều khiển điện thoại mà người dùng không hề biết, từ đó đánh cắp thông tin đăng nhập, mật khẩu, mã PIN, OTP để truy cập vào tài khoản và chiếm đoạt tiền.

Kể từ giữa năm ngoái, phương thức lừa đảo này đã trở nên phổ biến và các ngân hàng đã cảnh báo về nó.

"Theo lời giải thích của một giám đốc, các hacker lợi dụng một quyền trên hệ điều hành Android gọi là "accessibility" - tức là quyền trợ năng. Quyền này ban đầu được thiết kế để hỗ trợ người dùng yếu thế như người già, người khuyết tật hoặc có giới hạn chức năng như mắt mờ, tai nẵng... để sử dụng điện thoại một cách thuận tiện hơn. Tuy nhiên, hacker sử dụng quyền này để ghi lại hành vi của người dùng và điều khiển điện thoại từ xa," giám đốc này lý giải.

Để chiếm quyền điều khiển điện thoại, các hacker thường sẽ dùng các chiêu thức dụ người dùng nhấp vào liên kết hoặc tải ứng dụng giả mạo của các cơ quan như thuế, điện lực, tìm việc làm hoặc trò chơi giải trí... có chứa mã độc. Ứng dụng này sẽ yêu cầu quyền "accessibility" và nếu người dùng không cẩn thận, họ có thể bấm "đồng ý", cấp quyền này cho ứng dụng.

Từ đó, ứng dụng giả mạo sẽ theo dõi và thu thập thông tin đăng nhập của khách hàng mỗi khi họ sử dụng ứng dụng ngân hàng.

Khi có đủ thông tin, hacker sẽ chờ đến khi tài khoản của khách hàng có số tiền lớn hoặc vào buổi tối khi khách hàng không để ý đến điện thoại để điều khiển từ xa và thực hiện các giao dịch gian lận.

Ông Phạm Anh Tuấn, vụ trưởng Vụ Thanh Toán của Ngân hàng Nhà nước, đã đánh giá tình trạng các vụ lừa đảo công nghệ cao chiếm đoạt tiền trong tài khoản ngân hàng liên tục xảy ra, mặc dù các ngân hàng đã cảnh báo về các chiêu thức của kẻ gian.

Một lãnh đạo từ Cục Công Nghệ Thông Tin của Ngân hàng Nhà nước cũng nói rằng các hình thức chiêu trò của tội phạm công nghệ ngày càng tinh vi. Chúng giả danh các cơ quan nhà nước như thuế, cảnh sát... và đưa ra các tình huống cập nhật, đồng bộ lại tài khoản định danh điện tử mức độ 2, quyết toán thuế, thậm chí còn liên quan đến đường dây mua bán ma túy... để làm cho người dân hoang mang. Sau đó, chúng dụ dỗ người dân truy cập vào liên kết mà chúng gửi hoặc tải ứng dụng. Đây là các phần mềm chứa mã độc có thể chiếm quyền kiểm soát điện thoại di động chạy hệ điều hành Android.

"Chiếm quyền điều khiển điện thoại nghĩa là hacker đọc được dữ liệu cá nhân, đọc tin nhắn chứa mã OTP, và kiểm soát ứng dụng tài khoản ngân hàng trên điện thoại của người dùng. Chủ điện thoại có thể không nhận được tin nhắn dù đang cầm điện thoại trên tay. Khi đã vào được tài khoản ngân hàng của người dùng, kẻ gian có thể chuyển tiền, chiếm đoạt tài sản," lãnh đạo từ Cục Công Nghệ Thông Tin cho biết.

Từ 1-7, chuyển trên 10 triệu phải xác thực khuôn mặt

Ông Phạm Anh Tuấn cho biết theo quyết định 2345 của Ngân hàng Nhà nước, từ 1-7 chuyển tiền 10 triệu đồng trở lên/giao dịch sẽ phải xác thực khuôn mặt, đảm bảo chính chủ đang thực hiện. Giải pháp này sẽ góp phần tăng cường an toàn bảo mật cho khách hàng.

Nói rõ hơn, ông Tuấn nhấn mạnh từ 1-7, giao dịch dưới 10 triệu đồng/lần thì không phải xác thực khuôn mặt. Nhưng tổng giá trị giao dịch trong ngày mà trên 20 triệu đồng thì sẽ phải xác thực khuôn mặt.

Theo ông Tuấn, việc đặt ra hạn mức là nhằm ngăn chặn được thiệt hại lớn cho người dân. Vì thời gian qua, tội phạm thường lấy cắp tiền vào buổi đêm. Chúng chuyển liên tục nhiều lần vào tài khoản được thuê, mượn, mua của người khác sau đó chuyển ra.

Vậy với giải pháp này, liệu có lấy lại tiền của người dân đã bị mất, khi nhiều trường hợp chính chủ tài khoản đã chuyển tiền cho đối tượng lừa đảo? Ông Tuấn khẳng định thiệt hại sẽ giảm tối đa. Bởi đa số tài khoản được chuyển đến là tài khoản mượn, thuê, không phải chính chủ.

Nên đối tượng phạm tội chỉ có thể chuyển tối đa được 20 triệu đồng/ngày. Còn nếu chúng chuyển vào chính tài khoản của chúng thì sẽ lưu vết trên hệ thống, cơ quan công an sẽ nhanh chóng tìm ra manh mối.

"Với quy định này, các ngân hàng phải đầu tư hệ thống lưu trữ, hệ thống xử lý dữ liệu sinh trắc học, phải sửa cả ứng dụng... Tất nhiên là tốn thêm chi phí nhưng ngân hàng buộc triển khai vì đây là một trong những giải pháp khá hữu hiệu để bảo vệ quyền lợi của khách hàng" - ông Tuấn nói.