Không ít các trường hợp người dùng bị nhầm lẫn với app hợp pháp nên khi đăng nhập hoặc tải về máy tính lập tức bị các app giả mạo xâm nhập, đánh cắp thông tin cá nhân. Sau đó, đối tượng xấu sẽ dựng kịch bản lừa đảo người dùng.

Có những app giả mạo nào?

Chia sẻ với Thanh Niên, anh Nguyễn Hưng, chuyên gia công nghệ, người sáng lập dự án Chống lừa đảo (chongluadao.vn) nói rằng trong thời buổi công nghệ bùng nổ hiện nay, mỗi ngày luôn xuất hiện hàng trăm ứng dụng mới. Ngoài những app "chính chủ", hoạt động hợp pháp thì trong số đó, có các app tuổi đời rất ngắn, được xây dựng lên với mục đích xấu.

Các hoạt động lừa đảo qua app để chiếm đoạt tài sản đang được đối tượng phạm tội ngày nay thực hiện hết sức tinh vi và chuyên nghiệp. Chúng thường được thiết kế để đánh cắp thông tin cá nhân, tiền của người dùng hoặc lợi dụng họ để thực hiện các hành vi phi pháp.

App giả mạo Cổng dịch vụ công của Bộ Công an Ảnh: Phạm Hữu

Khi người dùng tải và đăng nhập, app sẽ yêu cầu các quyền truy cập quan trọng trong thiết bị từ đó lấy cắp thông tin cá nhân và thông tin thanh toán. Tạo app có giao diện giống các dịch vụ chính thống để lấy thông tin đăng nhập, mã OTP. Thu thập dữ liệu cá nhân, tài khoản ngân hàng hoặc theo dõi hoạt động trên thiết bị. Cam kết lợi nhuận cao, hoàn tiền nhanh để dụ người dùng tải app xuống và cung cấp thông tin.

Theo anh Hưng, các app lừa đảo thông thường nhất hiện nay theo xu hướng là đầu tư tài chính, mục đích dẫn dụ người dùng tải app bằng những lời hứa hẹn kiếm tiền nhanh, đầu tư sinh lời cao, hoặc hoàn tiền hấp dẫn.

Kế đến là app giả danh cơ quan chức năng thì các đối tượng sẽ gọi điện cho nạn nhân, đóng giả làm công an, cơ quan thuế, hoặc ngân hàng để thông báo lỗi vi phạm, sau đó yêu cầu tải về điện thoại để giải quyết. Tương tự là app giả mạo ngân hàng. App này được thiết kế giống hệt ứng dụng các ngân hàng. Chúng thường nhắm vào người dùng không am hiểu công nghệ, dụ họ nhập thông tin tài khoản, mật khẩu, và OTP.

Cài đặt app giả và… mất tiền

Anh Nguyễn Ngọc Nhật, thành viên dự án phi lợi nhuận Chống lừa đảo cho hay tính từ đầu năm 2024 đến nay có rất nhiều người nhắn tin, gửi email đến nhóm để cảnh báo các hành vi lừa đảo qua app. Trong số đó có nhiều người từng là nạn nhân và bị mất tiền từ những hình thức lừa đảo nói trên.

Ngọc Nhật cho biết, một trong các trường hợp điển hình mà anh ghi nhận được là trường hợp của người tên K. Theo đó, trước kia, K. có nhận được cuộc gọi của một người tự xưng là cán bộ công an yêu cầu cập nhật thông tin trên căn cước công dân (CCCD). Khi dẫn dụ thành công, người này hướng dẫn K. cài đặt phần mềm của dịch vụ công giả mạo vào điện thoại. Sau khi cài đặt xong, K. bỗng phát hiện tài khoản ngân hàng bị trừ hơn 65 triệu đồng. Cuối cùng, kiểm tra lại mọi thứ K. vẫn không cách nào lấy lại được tiền của mình.

Nhiều nạn nhân bị mất tiền oan vì bị lừa cài đặt các app giả danh này

Hoặc trường hợp tương tự mà Nhật cũng ghi nhận được từ một người T. gửi lời nhắn đến nhóm nhờ hỗ trợ sau khi bị lừa đảo qua app. Nạn nhân T. cũng nhận được điện thoại của đối tượng lừa đảo với yêu cầu hoàn tất thông tin trên CCCD. Sau khi trao đổi, đối tượng lấy lý do phía công an cấp quận đang quá tải nên buộc phải thực hiện bằng hình thức trực tuyến. Đồng thời, yêu cầu thực hiện cuộc gọi qua Zalo (sử dụng deepfake giả mạo công an để lấy lòng tin), hướng dẫn tải app VNeID giả mạo qua link lừa đảo: dichvucong.dancuquocgia.com.

"Tuy nhiên sau khi cài app và cấp các quyền truy cập cần thiết, tài khoản ngân hàng lưu trong máy T bị trừ hơn 100 triệu đồng", Nhật chia sẻ.

Dấu hiệu nhận biết app lừa đảo

Theo anh Hưng, nhưng dấu hiệu nhận biết về các app lừa đảo thường đến từ các nguồn tải đáng ngờ. Trong đó sẽ được gửi qua tin nhắn SMS, Messenger, Zalo với đường link rút gọn, yêu cầu tải file APK trực tiếp, không thông qua CH Play/App Store. Phía giao diện và hoạt động bất thường với nhiều lỗi chính tả, font chữ không đồng nhất, logo và tên thương hiệu giống các ngân hàng/ví điện tử nổi tiếng nhưng sẽ có những điểm khác biệt nhỏ và yêu cầu cấp quyền truy cập tin nhắn, danh bạ, camera, microphone...

Anh Hưng nói thêm: "Bên cạnh đó các app cũng sẽ có những thông báo điển hình như: tài khoản của bạn sẽ bị khóa trong 24h nếu không cập nhật thông tin; phát hiện giao dịch bất thường, vui lòng xác minh để tránh mất tiền; bạn đang vi phạm quy định và sẽ bị xử lý hình sự nếu không làm theo hướng dẫn; số dư tài khoản sẽ bị phong tỏa nếu không xác thực ngay…"

App mạo danh EVN được nhóm Chống lừa đảo phát hiện Chụp màn hình

Về biện pháp phòng tránh, anh Hưng cho hay, khi tải ứng dụng, người dùng chỉ nên cài đặt từ CH Play (Android) hoặc App Store (iOS). Kiểm tra số lượt tải, đánh giá và bình luận của người dùng, xem kỹ thông tin nhà phát triển, chính sách bảo mật.

Không cung cấp: CCCD/CMND, mã OTP, thông tin thẻ ngân hàng; không cho phép ứng dụng truy cập danh bạ, tin nhắn khi không cần thiết; bật xác thực 2 lớp cho tài khoản ngân hàng và ví điện tử; sử dụng sinh trắc học (vân tay/khuôn mặt) thay vì chỉ mật khẩu

Khi nghi ngờ cần liên hệ trực tiếp tổng đài chính thức của ngân hàng/tổ chức để xác minh và không vội vàng làm theo yêu cầu dù bị đe dọa gấp, chụp ảnh màn hình, lưu lại thông tin để báo cáo cho công an khi cần.

Mới đây, Công ty cổ phần cấp nước Thủ Đức cho biết đã ghi nhận một số trường hợp khách hàng phản ánh về việc nhận được cuộc gọi giả danh nhân viên cấp nước yêu cầu thanh toán tiền nước, đe dọa cắt nước nếu không thanh toán ngay. Các hình thức lừa đảo bao gồm: gửi tin nhắn giả mạo, yêu cầu khách hàng nhấp vào đường dẫn (link) lạ có thể chứa mã độc hoặc trang web giả mạo. Gọi video call để nhận diện gương mặt, đánh cắp thông tin cá nhân phục vụ mục đích lừa đảo. Nhằm bảo vệ thông tin khách hàng và hạn chế rủi ro rò rỉ dữ liệu, đơn vị này phát cảnh báo tuyệt đối không cung cấp thông tin (tên, địa chỉ, số hợp đồng, số điện thoại, mã định danh, thông tin thanh toán...) ra bên ngoài dưới bất kỳ hình thức nào. Không chia sẻ tài khoản và mật khẩu của các phần mềm nội bộ phục vụ công tác chuyên môn để tránh nguy cơ rò rỉ thông tin. Công ty chỉ thực hiện nhắc nợ khách hàng qua các kênh chính thống như sau: tin nhắn SMS từ brandname CN _THUDUC. Tin nhắn Zalo từ tài khoản chính thức của công ty (không kèm link, chỉ có nút gọi về tổng đài).