Việc tấn công lấy quyền kiểm soát số điện thoại có thể dẫn đến việc dễ dàng tấn công các tài khoản, kể cả tài khoản ngân hàng
Liên quan đến việc một khách hàng gửi tiết kiệm online tại ngân hàng (NH) thương mại cổ phần trụ sở chính tại Hà Nội khiếu nại bị mất hơn 2,1 tỉ đồng trong tài khoản, các chuyên gia khuyến cáo thủ đoạn đánh cắp thông tin và lừa đảo của tội phạm công nghệ cao ngày càng tinh vi nên khách hàng tuyệt đối bảo mật thông tin.
Nâng cấp sim rồi chiếm đoạt thông tin
Thủ đoạn mà kẻ gian chiếm đoạt hơn 2,1 tỉ đồng trong tài khoản tiền gửi tiết kiệm online của khách hàng này là gọi điện cho khách hàng tự xưng nhân viên nhà mạng đề nghị hỗ trợ nâng cấp sim điện thoại rồi kích hoạt esim (sim điện tử) trên điện thoại. Tiếp đó, tổng đài tự động của NH này nhận được cuộc gọi từ số sim trước đó đăng ký dưới tên khách hàng yêu cầu cấp lại tên đăng nhập Internet Banking, được gửi về email mà khách hàng đã đăng ký trước đó với NH.
Kẻ gian tiếp tục đăng ký báo quên mật khẩu và yêu cầu cung cấp lại mật khẩu đăng nhập mới rồi chiếm đoạt thông tin tài khoản của khách hàng… Với chiêu lừa này, kẻ gian đã tất toán số tiết kiệm online của khách hàng mở tại NH nói trên. Vụ việc xảy ra từ tháng 1-2022, sau đó khách hàng đã khiếu nại tới NH và hiện đã chuyển hồ sơ sang cơ quan công an điều tra, xác minh làm rõ.
Các chuyên gia, ngân hàng đều khuyến cáo người dùng cảnh giác không để mất thông tin tài khoản, thông tin cá nhân. Ảnh: TẤN THẠNH
Theo các NH thương mại, thủ đoạn lừa đảo mạo danh nhân viên nhà mạng nâng cấp sim để chiếm quyền kiểm soát số điện thoại, từ đó đánh cắp thông tin của khách hàng và thực hiện các giao dịch lừa đảo không mới. Cả NH thương mại lẫn nhà mạng đều liên tục cảnh báo nhưng vẫn có nhiều khách hàng bị mất tiền oan.
TS Võ Văn Khang, Phó Chủ tịch Chi hội An toàn Thông tin phía Nam, cho rằng hiện nay số điện thoại hay sim điện thoại là tài sản lớn nhất, là vật bất ly thân của người dùng các dịch vụ trực tuyến. Việc tấn công lấy quyền kiểm soát số điện thoại có thể dẫn đến việc dễ dàng tấn công các tài khoản, kể cả tài khoản NH trực tuyến lẫn các tài khoản trên mạng xã hội. Bởi hình thức xác thực qua số điện thoại rất phổ biến, trong khoảng 30 giây kẻ gian có thể chiếm quyền sở hữu sim nếu người dùng mất cảnh giác.
"Trước đó, kẻ gian đã có thể lấy được thông tin người dùng và mật khẩu, vấn đề còn lại là phải lấy mã OTP hoặc dùng tài khoản đó để tự xác nhận mình đã đổi tên tài khoản (trường hợp vừa xảy ra với khách hàng mất 2,1 tỉ đồng là đổi mật khẩu Internet Banking), khi gọi lên tổng đài NH bằng đúng số điện thoại đó để xác thực mã OTP gửi về. Nghĩa là trong cuộc tấn công này họ đã chiếm số điện thoại, sở hữu email và rõ thông tin về tài khoản đó" - TS Võ Văn Khang nói.
Dưới góc nhìn của chuyên gia tài chính, TS Huỳnh Trung Minh chỉ ra thực tế là hiện thông tin cá nhân của người dùng đang không được bảo mật đúng cách, như số điện thoại, ngày sinh, CCCD, thậm chí địa chỉ nhà, email… cũng thường xuyên để lộ trên mạng xã hội, qua nhiều kênh khác nhau. Do đó, khi kẻ gian kết hợp thông tin cá nhân và thông tin tài khoản NH thì nguy cơ người dùng bị mất tiền lớn hơn.
Theo TS Huỳnh Trung Minh, mỗi NH thương mại sẽ có những gói dịch vụ với độ mật, xác thực khác nhau từ xác thực qua tin nhắn SMS, qua Smart OTP, xác thực bằng giọng nói hay ghi âm cuộc gọi của khách hàng tới tổng đài tự động của NH… Việc đầu tư công nghệ và hệ thống cảnh báo các giao dịch đáng ngờ cũng giúp NH phát hiện những nghi ngờ. Như trường hợp khách hàng mất 2,1 tỉ đồng này, kẻ gian vừa yêu cầu đổi mật khẩu đăng nhập Internet Banking xong liền tất toán các khoản gửi tiết kiệm online.