Những trò lừa đảo chuyển tiền né xác thực khuôn mặt

Bẫy dịch vụ công giả mạo

Trước thời điểm quy định chuyển trên 10 triệu đồng phải xác thực khuôn mặt chính thức có hiệu lực, một loạt vụ lừa đảo đã xảy ra. Mới đây, ngày 11.6, chị T. (SN 1983, trú Q.Cầu Giấy, Hà Nội) nhận được cuộc gọi của đối tượng tự xưng là cán bộ công an P.Trung Hòa, thông báo tài khoản định danh của chị bị lỗi, và hướng dẫn chị cài đặt phần mềm dịch vụ công giả mạo. Khi cài đặt xong, nạn nhân phát hiện tài khoản ngân hàng (NH) bị mất hơn 1,2 tỉ đồng. Trường hợp này không phải cá biệt, theo Công an TP.Hà Nội, thời gian qua, xuất hiện các đối tượng giả danh cơ quan công an gọi điện cho người dân hướng dẫn cài đặt phần mềm Dịch vụ công thông qua đường link.

Sau khi người dân cài đặt ứng dụng giả mạo lên điện thoại, đối tượng lừa đảo lập tức chiếm quyền điều khiển (màn hình tối đen, nạn nhân không thao tác được, không tắt nguồn được). Sau khi chiếm quyền sử dụng điện thoại, đối tượng truy cập các ứng dụng NH, ví điện tử trên điện thoại của bị hại và thực hiện giao dịch chuyển tiền để chiếm đoạt. Trước đó, cơ quan chức năng cũng đã ghi nhận nhiều thủ đoạn tương tự như mạo danh Tổng cục Thuế để dẫn dụ nạn nhân tải app giả mạo, sau đó xâm nhập điện thoại để chiếm đoạt tài khoản NH.

Ngọc Dương

Tương tự, chị N.T.P (36 tuổi, quê Quảng Ngãi) bị mất toàn bộ số tiền 19,5 triệu đồng trong tài khoản NH, đây là tiền bán vé số mà chị P. dành dụm để lo cho gia đình. Chuyện là cuối tháng 5, điện thoại người phụ nữ này báo hết gói cước 4G nên chị đã đến một cửa hàng kinh doanh thiết bị di động trên đường Phan Văn Hớn (TP.HCM) để mua gói cước và đưa điện thoại cho nhân viên hỗ trợ đăng ký. Khoảng 20 phút sau, điện thoại chị P. nhận tin nhắn tài khoản trừ số tiền 19,5 triệu đồng. Hiện vụ việc đã được báo lên cơ quan chức năng để điều tra, làm rõ.

Theo thống kê trên thế giới, lừa đảo trực tuyến chiếm 57% tổng số tội phạm mạng, loại hình này đang gia tăng cả về phạm vi, quy mô với thủ đoạn tinh vi; triệt để lợi dụng công nghệ mới, đặc biệt là trí tuệ nhân tạo (AI), gây thiệt hại hàng nghìn tỉ USD mỗi năm. Năm 2023, lừa đảo viễn thông và trực tuyến gây thiệt hại 1.026 tỉ USD, tương đương 1,05% GDP toàn cầu. Thống kê của Bộ Công an cũng cho thấy tỷ lệ các vụ phạm tội liên quan đến hành vi lừa đảo chiếm đoạt tài sản gia tăng từ đầu năm đến nay. Trong đó, cơ quan chức năng tiếp nhận gần 16.000 phản ánh lừa đảo trực tuyến, tổng số tiền người dân bị lừa đảo trên mạng khoảng 8.000 - 10.000 tỉ đồng, 91% vụ lừa đảo liên quan đến tài chính, 73% người dùng bị lừa qua hình thức tin nhắn, cuộc gọi khi dùng mạng xã hội, điện thoại di động.

Bộ Công an thống kê có 3 nhóm lừa đảo chính với 24 thủ đoạn. Một số phương thức, thủ đoạn phạm tội chủ yếu trong hoạt động thanh toán không dùng tiền mặt. Trong đó nổi lên hình thức chiếm đoạt tiền trong tài khoản NH, ví điện tử thông qua sim điện thoại bằng cách yêu cầu người dùng thực hiện "nâng cấp sim điện thoại từ 3G lên 4G, 5G để nâng cao chất lượng truy cập internet…" theo cú pháp được đưa ra để kiểm soát sim điện thoại của người dùng. Khi đó mọi cuộc gọi đến hoặc tin nhắn của nhà cung cấp dịch vụ (tin nhắn thông báo mã OTP…) sẽ bị chuyển hướng đến số điện thoại của đối tượng, tạo điều kiện thuận lợi để đối tượng chiếm đoạt tiền trong tài khoản NH hoặc ví điện tử của bị hại. Thủ đoạn lợi dụng chủ trương của cơ quan nhà nước về việc chuẩn hóa thông tin số điện thoại, tài khoản NH, kê khai khấu trừ thuế, định danh tài khoản VNeID… (có chứa mã độc) và yêu cầu làm theo hướng dẫn, sau đó chiếm đoạt số điện thoại, sử dụng số điện có được để chiếm đoạt tài sản trong các tài khoản của người dân.

Hoạt động lừa đảo trong lĩnh vực tài chính, NH tiếp tục diễn ra dưới hình thức giả mạo tin nhắn thương hiệu (SMS Brandname) của các NH thông qua thiết bị BTS giả mạo để lừa đảo chiếm đoạt tiền của khách hàng; giả mạo nhân viên hoặc thư điện tử của một số NH, tổ chức tài chính dẫn dụ người có nhu cầu vay vốn điền thông tin tài khoản, cung cấp mã OTP để đăng ký vay online hoặc chuyển khoản tiền làm hồ sơ vay vốn sau đó chiếm đoạt tiền của người vay, người cung cấp mã OTP tài khoản NH. Tấn công vào máy chủ nội bộ của NH để chiếm quyền quản trị tài khoản cao nhất, thay đổi thông tin số điện thoại nhận SMS OTP của khách hàng. Sau đó kích hoạt dịch vụ Smart OTP và thực hiện nhiều giao dịch chuyển tiền đến nhiều NH khác để chiếm đoạt.

Hoạt động lừa đảo chiếm đoạt tài sản thông qua nền tảng OTT (Zalo, Facebook, Wechat…), tiếp tục diễn biến phức tạp với nhiều hình thức. Cụ thể dẫn dụ người bán hàng online đăng nhập vào đường link chuyển tiền và cung cấp mã OTP để chiếm đoạt tiền trong tài khoản NH. Ngoài ra, còn có một số thủ đoạn lừa đảo kêu gọi đầu tư tài chính, tiền ảo, tiền kỹ thuật số, hoạt động kêu gọi làm cộng tác viên của các sàn thương mại điện tử như Shopee, Lazada, Tiki… Nhiều người lầm tưởng có lợi nhuận nên đã nạp rất nhiều tiền vào tài khoản của các đối tượng, đến khi muốn rút tiền thì không thể rút được.

Né xác thực khuôn mặt

Từ hôm nay 1.7, những vụ lừa đảo tương tự như 2 trường hợp cụ thể nói trên sẽ bị chặn đứng khi quy định chuyển tiền qua tài khoản trên 10 triệu đồng phải xác thực khuôn mặt sẽ có hiệu lực.

Đào Ngọc Thạch

Cụ thể, theo Quyết định 2345 của Ngân hàng Nhà nước (NHNN), từ ngày 1.7, chuyển khoản trên 10 triệu đồng/lần hoặc 20 triệu đồng/ngày sẽ phải thực hiện xác nhận sinh trắc học bằng khuôn mặt. Trước tình hình lừa đảo gia tăng và ngày càng tinh vi, nhiều người ngay lập tức đăng ký dịch vụ mới của NH, tiến hành bổ sung thông tin sinh trắc học bằng CCCD gắn chip qua ứng dụng NH.

Thậm chí, chị Hà Thanh (Q.3, TP.HCM) yêu cầu nhân viên NH hướng dẫn đăng ký chuyển khoản dưới 10 triệu đồng cũng thực hiện xác thực sinh trắc học bằng khuôn mặt nhằm đảm bảo an toàn. Tuy nhiên nhân viên NH cho biết hiện hệ thống chỉ mới áp dụng cho lệnh chuyển khoản trên 10 triệu đồng hoặc 20 triệu đồng/ngày, với lệnh chuyển khoản thấp hơn thì vẫn thực hiện xác thực bằng mã OTP.

"Trước một rừng thủ đoạn liên quan đến lừa đảo, tôi muốn cài đặt sinh trắc học trong tất cả các trường hợp chuyển tiền để nếu tài khoản NH bị hack khi điện thoại dính mã độc, bị chiếm quyền kiểm soát… thì cũng không bị mất tiền. Tuy nhiên, quy định như hiện tại thì cũng chỉ có thể hạn chế mức độ rủi ro. Nếu tài khoản chẳng may bị hack thì số tiền thiệt hại cũng sẽ lên gần 20 triệu đồng, tương đương 2 tháng lương chứ không ít", chị Hà Thanh nói.

Đáng nói, vẫn còn rất nhiều thủ đoạn lừa đảo chuyển tiền mà không cần thực hiện xác thực sinh trắc học khuôn mặt mà người dân phải cảnh giác.

PGS-TS Nguyễn Hữu Huân (Đại học Kinh tế TP.HCM) lưu ý: Việc áp dụng xác thực sinh trắc học chỉ có thể giảm thiểu phần nào thiệt hại từ thủ đoạn lừa đảo chiếm đoạt quyền kiểm soát tài khoản NH. Với quy định nói trên, việc áp dụng sinh trắc học giúp giảm thiệt hại cho chủ tài khoản tối đa 20 triệu đồng/ngày khi tội phạm kiểm soát được tài khoản, lấy được mã OTP. Còn trong trường hợp tội phạm sử dụng công nghệ AI, công nghệ Deepfake tinh vi, tìm ra các lỗ hổng nhằm bẻ khóa, vẫn có thể giả mạo dấu hiệu sinh trắc học của con người để chiếm đoạt tài sản. Chưa kể hiện nay, thông qua các trang mạng xã hội, nhiều cá nhân bị lộ thông tin cá nhân, hình ảnh nên trong trường hợp công nghệ ứng dụng sinh trắc học phát triển thì cũng khó có khả năng ngăn chặn lừa đảo.

Ngoài ra, đối với một số thủ đoạn lừa đảo thì sinh trắc học bị vô hiệu hóa. Chẳng hạn như tài khoản thẻ tín dụng bị hack, tài khoản thẻ bị lộ thông tin và từ đó kẻ gian sử dụng thanh toán trên các trang mạng. Hay chủ tài khoản bị thao túng tâm lý, tự chuyển khoản cho kẻ lừa đảo mà không hề hay biết. Thiệt hại của những vụ lừa đảo này có thể nói là rất lớn, lên cả hàng chục, hàng trăm tỉ đồng. Chính vì vậy, ngoài ứng dụng sinh trắc học, các NH cũng cần tăng cường tuyên truyền, cảnh báo các thủ đoạn lừa đảo, cảnh báo tài khoản lừa đảo đến khách hàng. "An ninh mạng là cuộc chiến giữa kẻ xấu (hacker) và các giải pháp an ninh mạng, cuộc chiến này rất cam go", ông Huân ví von.

Tương tự, ông Ngô Minh Hiếu, chuyên gia kỹ thuật bảo mật thuộc dự án chongluadao.vn, đồng quan điểm rằng việc xác thực sinh trắc học khi giao dịch qua tài khoản NH trực tuyến có thể giúp giảm thiểu rủi ro về an toàn thông tin khi giao dịch. Tuy nhiên, vẫn có thể tồn tại các lỗ hổng tiềm ẩn mà đối tượng tội phạm có thể lợi dụng. Thực tế, nhiều nạn nhân của các vụ lừa đảo đã chủ động chuyển tiền dựa trên thông tin sai lệch mà họ nhận được mà không qua xác minh. Trường hợp này sinh trắc khuôn mặt không có tác dụng do kẻ gian lừa đảo bằng cách thuyết phục nạn nhân thực hiện giao dịch một cách tự nguyện.

Cần thêm nhiều biện pháp khác đi kèm

Thực tế, các NH cũng hiểu rõ điều này. Vì thế, ngoài áp dụng sinh trắc học, mới đây, NH TMCP Quân đội (MB) triển khai tính năng nhận diện thông tin tài khoản lừa đảo giúp khách hàng an tâm khi chuyển tiền. Theo đó, khi thao tác chuyển tiền, khách hàng sẽ nhận được cảnh báo trong trường hợp người nhận là tài khoản lừa đảo. Điều này cho phép khách hàng dễ dàng chặn các giao dịch lạ, đáng nghi, giúp bảo vệ an toàn tài khoản và tài sản của mình. Ông Nguyễn Hữu Huân nói theo thống kê thì thiệt hại lớn của các vụ lừa đảo chủ yếu đến từ việc khách hàng chủ động chuyển tiền. Chính vì vậy trường hợp các NH đồng loạt triển khai cảnh báo danh sách tài khoản NH lừa đảo như MB sẽ hạn chế được phần nào thiệt hại.

Ông Ngô Minh Hiếu cũng cho rằng cần triển khai hệ thống "báo động đỏ liên NH" nhằm phát hiện và tạm thời đóng băng các tài khoản có nghi vấn. Đây có thể là bước tiến quan trọng trong việc ngăn chặn giao dịch lừa đảo. Hệ thống này giúp các NH và cơ quan chức năng có thể nhanh chóng trao đổi thông tin về các tài khoản có hoạt động đáng ngờ và từ đó áp dụng biện pháp can thiệp kịp thời, giảm thiểu rủi ro mất mát cho khách hàng.

Tuy nhiên, để hệ thống này thực sự hiệu quả, cần có sự phối hợp chặt chẽ giữa các NH, cùng những quy định và hướng dẫn rõ ràng từ cơ quan quản lý. Mặt khác, việc triển khai và duy trì hệ thống này cũng đòi hỏi nguồn lực đáng kể về công nghệ và con người để đảm bảo an toàn, bảo mật thông tin và hiệu quả trong quá trình vận hành. Tóm lại, mặc dù đăng ký sinh trắc học là một bước tiến trong bảo mật giao dịch, nhưng để đối phó hiệu quả với tội phạm lừa đảo, việc xây dựng và triển khai hệ thống "báo động đỏ liên NH" cũng rất quan trọng. Đây có thể xem là một phần của giải pháp tổng thể nhằm tăng cường an ninh và an toàn thông tin cho các giao dịch tài chính.

Bên cạnh việc áp dụng các biện pháp sinh trắc học, ông Ngô Tuấn Anh, Tổng giám đốc Công ty an ninh mạng SCS, kiến nghị ứng dụng các giải pháp nâng cao như chữ ký số, đặc biệt là chữ ký số cá nhân. Chữ ký số ngoài việc tăng cường khả năng xác thực, còn có khả năng chống tấn công lừa đảo, đảm bảo toàn vẹn dữ liệu khi giao dịch.