Khách hàng mất tiền oan vì tin nhắn định danh từ ngân hàng

Khách hàng mất tiền oan vì tin nhắn định danh từ ngân hàng
Tạp chí Nhịp sống số - Kẻ gian sử dụng tin nhắn định danh (SMS Brand Name) giả để đánh lừa người dùng, tạo niềm tin dụ họ đăng nhập vào website hòng đánh cắp thông tin tài khoản ngân hàng.

Tin nhắn định danh là tin nhắn không hiển thị số thuê bao mà chỉ hiện tên của các thương hiệu đã được đăng ký và xét duyệt từ nhà mạng. Đây là phương thức được nhiều nhãn hàng tin dùng, trong đó có ngân hàng, thương hiệu kinh doanh lớn... nhằm dễ dàng thông tin tới người dùng cũng như để định danh.

Mới đây, một số người sử dụng dịch vụ của ngân hàng Sacombank cho biết họ nhận được tin nhắn định danh từ đơn vị này thông báo về việc xác thực tài khoản để tránh bị khóa. Trong tin nhắn có kèm một đường dẫn, khi nhấn vào sẽ hiện ra trang web có giao diện y hệt với website chính thức của ngân hàng và yêu cầu người dùng nhập thông tin đăng nhập tài khoản internet banking. Do đây là tin nhắn định danh dưới tên của ngân hàng nên nạn nhân không hề nghi ngờ, thực hiện theo tuần tự các bước, kể cả khâu nhập mật khẩu dùng 1 lần (OTP).

Theo phản ánh của một nữ khách hàng Sacombank tại TP.HCM, sau khi chị nhập thông tin và mã OTP như yêu cầu thì lập tức nhận tin nhắn từ ngân hàng thông báo tài khoản đã bị trừ hơn 38 triệu đồng. Một nạn nhân khác cũng cho biết mất sạch tài khoản hơn 1 triệu đồng với cùng thủ đoạn của kẻ gian.

Website giả mạo được kẻ gian tạo sẵn với giao diện giống trang chủ của ngân hàng nhằm mục đích đánh lừa thị giác nạn nhân. Các bước đăng nhập đều được công cụ đánh cắp thông tin ghi lại và chuyển về cho kẻ đứng sau thủ đoạn này để có thể truy cập được vào tài khoản của nạn nhân để thực hiện các giao dịch chuyển khoản, đăng ký vay online... Bước “khó nhất” là lấy được OTP từ ngân hàng gửi tới SIM điện thoại của chính chủ được thực hiện và cung cấp bởi nạn nhân mà họ không hề hay biết.

Chỉ sau khi mất tiền, nạn nhân mới nhận ra thủ đoạn và tức tốc báo cho cơ quan chức năng cũng như ngân hàng để làm rõ vụ việc. Theo đại diện Sacombank, những tin nhắn định danh thương hiệu này gửi tới người dùng yêu cầu xác thực tài khoản như trên chắc chắn không xuất phát từ phía đơn vị. Sacombank đã rà soát hệ thống nội bộ cũng như đối tác cung cấp dịch vụ viễn thông cho hãng, đồng thời yêu cầu các ngân hàng khóa tài khoản thụ hưởng từ những giao dịch bất thường trên.

Tuy nhiên không chỉ Sacombank, người dùng từ một số ngân hàng khác cũng phản ánh trường hợp tương tự. Thậm chí, có những chủ thuê bao di động còn nhận được thông báo đăng nhập và kiểm tra tài khoản tại ngân hàng mà họ không hề dùng dịch vụ của đơn vị đó. “Điều này cho thấy kẻ đứng sau chiêu trò này gửi tin lừa đảo hàng loạt không nhằm vào bất kỳ đối tượng cụ thể hay nhà băng nào, thậm chí còn không phân nhóm đối tượng gửi tin nhắn. Kẻ gian hoàn toàn trông chờ vào sự bất cẩn của nạn nhân để có cơ hội ra tay, trục lợi”, một chuyên gia viễn thông nhận định.

Một tin nhắn giả mạo được gửi đến từ ngân hàng ABC, khi truy cập vào liên kết giới thiệu cũng được chuyển sang trang giả mạo

SMS Brand Name do nhà mạng cung cấp cho doanh nghiệp phải vượt qua quy trình xét duyệt hồ sơ gắt gao với nhiều bước. Hồ sơ xét duyệt không chỉ cần nhà mạng được doanh nghiệp nộp hồ sơ thông qua, mà còn cần có sự phối hợp với các nhà mạng khác (để khi gửi tin nhắn sẽ chỉ hiện một tên thương hiệu dù khách hàng đang sử dụng dịch vụ viễn thông di động của đơn vị nào).

Tuy nhiên theo chuyên gia, SMS Brand Name được đăng ký sẽ độc quyền trên đầu số và thương hiệu đăng ký đi kèm, không độc quyền trên tất cả đầu số. Điều này tạo ra sơ hở cho kẻ gian giả mạo Brand Name bằng một đầu số khác cùng hoặc khác nhà mạng với đơn vị đã đăng ký trước đó. Khi xin duyệt thành công, gói tin sẽ vẫn được gửi đi tới thuê bao nạn nhân bằng chính Brand Name đó.

Một yếu tố “tiếp tay” cho những vụ lừa đảo kể trên thành công chính là tính năng nhóm tin nhắn thành từng đầu mục trên điện thoại hiện nay mà không phân biệt đầu số. Lúc này, chỉ cần tin nhắn gửi tới có cùng Brand Name với tin cũ đã có trong máy, lập tức được hiển thị trong danh mục đó. Cụ thể trong trường hợp này là Brand Name “Sacombank”. Kẻ gian sử dụng đúng tên thương hiệu này gửi tin nhắn định danh từ một đầu số khác (không do Sacombank đăng ký) nhưng điện thoại tự động gộp vào cùng luồng với các tin nhắn do chính ngân hàng gửi trước đó. Quy trình này tương tự với việc lưu hai hay nhiều số điện thoại cho cùng một người trong danh bạ, khi nhắn tin dù từ bất kỳ số điện thoại nào hệ thống cũng gộp vào cùng luồng trò chuyện đã có với người này.

Chia sẻ với Thanh Niên, ông Ngô Trần Vũ - Giám đốc Công ty Bảo mật Nam Trường Sơn - hình thức lừa đảo trên là một biến thể kịch bản lừa tiền nạn nhân của tin tặc, lợi dụng sự tin tưởng của họ với thương hiệu lớn để lấy thông tin đăng nhập vào tài khoản ngân hàng trực tuyến hòng chiếm đoạt tiền qua hình thức chuyển khoản sang tài khoản khác. “Tuy không phải là phương thức mới tinh vi hay sử dụng công nghệ cao, biến thể này vẫn rất nguy hiểm vì đánh vào lòng tin của người dùng thông qua SMS Brand Name của ngân hàng”, ông Vũ chia sẻ.

Để tăng cường an toàn cho thông tin cũng như tài sản cá nhân, ông Ngô Trần Vũ khuyến cáo người dùng cần lưu ý 2 điểm chính. Đầu tiên, trong máy tính hay điện thoại cần cài phần mềm bảo mật để quét virus, phát hiện các đường link khả nghi để tránh mã độc lây lan vào thiết bị. Điểm thứ 2 là luôn cảnh giác với mọi hình thức lừa đảo, đặc biệt là những lời mời gọi đăng nhập tài khoản ngân hàng từ các đường link gửi sẵn. Người dùng cần kiểm tra xem website có đúng là trang chủ của doanh nghiệp hay không. “Khi cung cấp, gõ OTP lên trang web cần cân nhắc kỹ bởi đây là thông tin nhạy cảm, nếu kẻ xấu có được sẽ rất dễ đánh cắp tài khoản”, vị chuyên gia nhấn mạnh.

Có thể bạn quan tâm