Liên tục các vụ nạn nhân bị mất hàng chục, hàng trăm tỉ đồng, mới nhất là Chủ tịch huyện Nhơn Trạch. Tội phạm đã làm cách nào để lấy số tiền khủng như vậy từ tài khoản của khách hàng?

Từ vụ chủ tịch huyện Nhơn Trạch mất cả trăm tỉ, làm gì để điện thoại không bị chiếm quyền?  第1张

Ứng dụng mạo danh “phần mềm do Bộ Công an cung cấp” có hình ảnh hiển thị là “công an hiệu” và mang tên “Bộ Công an” - Ảnh: Q.ĐỊNH

Hàng loạt câu hỏi nóng khác cũng được đặt ra: làm sao để giao dịch an toàn, ngân hàng phòng chống ra sao và Ngân hàng Nhà nước có giải pháp gì để ngăn chặn?

Lý giải cách thức lừa tiền

Chị H. - một người kinh doanh tại TP.HCM - cho biết hai tuần trước chị đã bị một đối tượng lừa đảo giả danh cán bộ thuế liên hệ, nhắn tin, kết bạn Zalo, cung cấp đường link và hướng dẫn cài đặt các phần mềm giả mạo ứng dụng của cơ quan thuế để khai báo thuế.

Tưởng thật, chị đã làm theo hướng dẫn và sau đó tài khoản của chị đã bị "bốc hơi" 220 triệu đồng. Khi phát hiện tài khoản bị mất tiền, chị rất sốc vì không biết các đối tượng lừa đảo này làm cách nào có thể chuyển đi với số tiền lớn như vậy trong khi chị cài đặt hạn mức chuyển tiền mỗi ngày chỉ 10 triệu đồng.

Anh N.H.S. (Hà Nội) kể vừa bị mất hơn 300 triệu đồng tiền tiết kiệm gửi qua hình thức online tại một ngân hàng có trụ sở ở Hà Nội. Anh cho hay cách đây 2 tuần nhận được cuộc gọi từ số máy lạ, tự xưng là người ở công an quận, liên hệ hướng dẫn cập nhật, đồng bộ lại tài khoản định danh điện tử mức độ 2.

"Tôi đã đăng nhập vào tin nhắn và làm theo hướng dẫn. Sau đó, khoảng 1 tiếng tôi nhận được thông báo SMS của ngân hàng là vừa tất toán sổ tiết kiệm online 100 triệu đồng và tài khoản bị trừ 100 triệu luôn. Trong khi đó, tôi không hề thực hiện bất cứ thao tác gì" - anh N.H.S. lo lắng.

Hôm 22-3, thông tin bà Nguyễn Thị Giang Hương - chủ tịch UBND huyện Nhơn Trạch - bị lừa mất hơn 100 tỉ đồng đã gây rúng động dư luận. Các nguồn tin cho hay nhóm lừa đảo đã yêu cầu bà Nguyễn Thị Giang Hương mở tài khoản, sau đó bà Hương huy động tiền từ người thân nạp vào tài khoản.

Bằng nhiều cách, nhóm lừa đảo qua mạng đã lấy tiền từ tài khoản của vị đương kim chủ tịch huyện mỗi lần vài chục tỉ đồng. Tổng số tiền bà Nguyễn Thị Giang Hương bị tội phạm đánh cắp đã lên đến hơn 100 tỉ đồng, trong khi bà Giang Hương nói: "Đây là vụ hacker tấn công vào tài khoản. Tiền trong tài khoản chứ tôi không chuyển tiền".

Trao đổi với Tuổi Trẻ, lãnh đạo một ngân hàng cho biết khả năng những trường hợp trên đã rơi vào bẫy lừa đảo mới là lạm dụng quyền trợ năng (accessibility) trên một số ứng dụng cài đặt trên điện thoại.

Cách gài bẫy phổ biến là giả danh lực lượng chức năng như cơ quan công an, cơ quan thuế hướng dẫn cài đặt, kích hoạt tài khoản định danh điện tử mức 2 (VNeid) hoặc app (ứng dụng) của Tổng cục Thuế... qua những đường link mà họ gửi đến nạn nhân thông qua mạng xã hội.

Đây là những app giả mạo chứa mã độc có thể thu thập thông tin cá nhân, thông tin tài khoản ngân hàng, yêu cầu cấp quyền truy cập và từ đó kẻ xấu điều khiển từ xa, truy cập dữ liệu cá nhân và đọc được cả tin nhắn trên điện thoại của nạn nhân.

Khi kiểm soát được tài khoản ngân hàng và tin nhắn chứa mã OTP, các đối tượng tội phạm dễ dàng chuyển tiền đến tài khoản khác để chiếm đoạt. Đó là lý do vì sao nhiều người mất tiền đều nói không chuyển tiền, không nhận được tin nhắn thông báo... mà tiền vẫn mất.

Cẩn thận quyền trợ năng trên điện thoại

Theo giám đốc khối ngân hàng số một ngân hàng cổ phần lớn, những khách hàng dùng app ngân hàng nói chung trên hệ điều hành Android (chưa ghi nhận trên hệ điều hành iOS) đang có nguy cơ bị theo dõi hành vi sử dụng điện thoại, bao gồm việc sử dụng app mobile banking và chiếm quyền điều khiển từ xa.

Cách kiểm tra có bao nhiêu SIM đã đăng ký dưới tên mình

Theo đó, hacker điều khiển điện thoại thao tác mà người dùng không hay biết, từ đó đánh cắp thông tin đăng nhập, mật khẩu, mã PIN, OTP để chiếm đoạt tiền trong tài khoản.

Từ giữa năm ngoái, phương thức lừa đảo này đã rộ lên và các ngân hàng đã phát đi cảnh báo.

"Các đối tượng lừa đảo lợi dụng một quyền trong hệ điều hành Android gọi là "accessibility" - tạm dịch là quyền trợ năng.

Quyền này được tạo ra nhằm mục đích hỗ trợ các khách hàng yếu thế như người già, khuyết tật, giới hạn chức năng như mắt mờ, tai nghe không rõ... sử dụng điện thoại thuận tiện hơn.

Tuy nhiên, hacker lợi dụng quyền này để thực hiện "record" - theo dõi hành vi người dùng và "remote" - điều khiển từ xa điện thoại của khách hàng" - vị giám đốc này lý giải.

Để chiếm đoạt được quyền điều khiển điện thoại, các hacker sẽ dẫn dụ khách hàng nhấp vào đường link hoặc tải app giả mạo của các cơ quan như thuế, điện lực, tìm việc làm hoặc game giải trí... có chứa mã độc. App này sẽ xin quyền "accessibility" và khách hàng nếu không cẩn thận sẽ bấm "accept", cấp quyền này cho app.

Kể từ đó, app giả mạo sẽ tiến hành theo dõi để thu thập thông tin đăng nhập của khách hàng mỗi lần khách hàng sử dụng app ngân hàng.

Sau khi có đủ thông tin, hacker sẽ đợi khi tài khoản khách hàng có nhiều tiền hoặc khi đêm khuya, khách hàng không để ý điện thoại để tiến hành remote vào điện thoại của khách hàng để chuyển tiền, chiếm đoạt.

Trao đổi với Tuổi Trẻ, ông Phạm Anh Tuấn, vụ trưởng Vụ thanh toán Ngân hàng Nhà nước, đánh giá tình trạng người dân bị tội phạm công nghệ cao lừa đảo lấy trộm tiền trong tài khoản ngân hàng liên tục xảy ra, dù các ngân hàng đã khuyến cáo các chiêu thức của kẻ gian.

Một lãnh đạo Cục Công nghệ thông tin Ngân hàng Nhà nước cho hay hình thức chiêu trò thủ đoạn của tội phạm công nghệ ngày càng tinh vi. 

Chúng mạo danh các cơ quan nhà nước như thuế, công an... rồi đưa ra các tình huống cập nhật, đồng bộ lại tài khoản định danh điện tử mức độ 2, quyết toán thuế, thậm chí còn nói liên quan đến đường dây mua bán ma túy... để thao túng tâm lý người dân. 

  • Từ vụ chủ tịch huyện Nhơn Trạch mất cả trăm tỉ, làm gì để điện thoại không bị chiếm quyền?  第2张

    Tâm sự của Thị LộĐỌC NGAY

Sau đó, đối tượng lừa đảo dụ người dân truy cập vào đường link mà chúng gửi hoặc cài đặt các ứng dụng. Đây là những phần mềm có chứa mã độc có thể chiếm được quyền kiểm soát di động đối với điện thoại có hệ điều hành Android.

"Chiếm quyền kiểm soát điện thoại nghĩa là đối tượng lừa đảo đọc được dữ liệu cá nhân, đọc tin nhắn chứa mã OTP, kiểm soát được ứng dụng tài khoản ngân hàng trên điện thoại của người dân. 

Chủ điện thoại không hề nhận được tin nhắn gửi đến dù đang cầm điện thoại trên tay. Và khi vào được tài khoản ngân hàng của người khác, kẻ gian chuyển tiền, chiếm đoạt tài sản" - vị lãnh đạo Cục Công nghệ thông tin cho biết.

Khó lấy lại được tiền

Theo các ngân hàng, tiền bị lừa đảo thường khó thu hồi ngay cả khi bắt được đối tượng vì được chuyển đi ngay qua nhiều tài khoản hoặc được "rửa" qua một hệ thống phức tạp bằng cách chuyển đổi thành thẻ cào, tiền kỹ thuật số hoặc nạp vào các tài khoản cá độ, chơi game bất hợp pháp.

Khách hàng rất khó có thể yêu cầu ngân hàng đền bù thiệt hại cho các giao dịch được xác thực bởi đầy đủ thông tin đăng nhập và mã OTP xác thực và trên cùng thiết bị mà khách hàng đang sử dụng cho các giao dịch bình thường khác.

Do đó, hệ thống ngân hàng xác nhận đây là các giao dịch hợp lệ do chủ tài khoản thực hiện, đúng theo quy định cung cấp và sử dụng dịch vụ ngân hàng điện tử giữa khách hàng và ngân hàng.

Vì vậy, ngân hàng chỉ có thể phối hợp với cơ quan phòng chống tội phạm công nghệ cao, cơ quan công an và điều tra để hỗ trợ khách hàng. Các ngân hàng và khách hàng đều phải đợi kết quả điều tra từ cơ quan chức năng.

Các ngân hàng cũng khuyến cáo khách hàng phải thật cảnh giác, hiểu rõ quyền và trách nhiệm của mình khi giao dịch ngân hàng, đặc biệt là trên không gian mạng; nâng cao nhận thức về các thủ đoạn mới, được truyền thông liên tục trên báo đài và từ các ngân hàng, để cảnh giác hơn trước đối tượng lừa đảo.

Sơ đồ quy trình một chiêu lừa phổ biến trên mạng

Từ vụ chủ tịch huyện Nhơn Trạch mất cả trăm tỉ, làm gì để điện thoại không bị chiếm quyền?  第3张

Dữ liệu: L.Thanh - Đồ họa: N.KH.

Cảnh báo nạn giả danh cán bộ thuế để chiếm đoạt tiền

Hôm 23-3, Tổng cục Thuế phát đi cảnh báo về tình trạng giả danh cán bộ thuế để lừa đảo lấy trộm tiền trong tài khoản, nhất là thời điểm quyết toán thuế. Tổng cục Thuế cho biết các đối tượng giả mạo cán bộ thuế để gọi điện thoại, nhắn tin, kết bạn Zalo, cung cấp đường link và hướng dẫn người nộp thuế quyết toán thuế, hướng dẫn cài đặt các phần mềm giả mạo ứng dụng của cơ quan thuế nhằm lấy cắp thông tin cá nhân, thông tin tài khoản ngân hàng để chiếm đoạt tài sản.

Tổng cục Thuế tái khẳng định không ủy quyền cho bất cứ tổ chức, cá nhân ngoài ngành thuế nào thu thuế hộ. Nếu người nộp thuế nhận được các cuộc gọi như trên thì cần bình tĩnh, không cung cấp thông tin cá nhân qua điện thoại, email, không làm theo hướng dẫn cài đặt các ứng dụng, đường link giả mạo và cần liên hệ trực tiếp với cơ quan thuế qua kênh chính thức hoặc thông báo ngay cho cơ quan công an địa phương để được hỗ trợ và tư vấn.

Từ 1-7, chuyển trên 10 triệu phải xác thực khuôn mặt

Ông Phạm Anh Tuấn cho biết theo quyết định 2345 của Ngân hàng Nhà nước, từ 1-7 chuyển tiền 10 triệu đồng trở lên/giao dịch sẽ phải xác thực khuôn mặt, đảm bảo chính chủ đang thực hiện. Giải pháp này sẽ góp phần tăng cường an toàn bảo mật cho khách hàng.

Nói rõ hơn, ông Tuấn nhấn mạnh từ 1-7, giao dịch dưới 10 triệu đồng/lần thì không phải xác thực khuôn mặt. Nhưng tổng giá trị giao dịch trong ngày mà trên 20 triệu đồng thì sẽ phải xác thực khuôn mặt.

Từ vụ chủ tịch huyện Nhơn Trạch mất cả trăm tỉ, làm gì để điện thoại không bị chiếm quyền?  第4张

Người dân xác thực khuôn mặt để làm thẻ ngân hàng ở quận 7, TP.HCM - Ảnh: QUANG ĐỊNH

Theo ông Tuấn, việc đặt ra hạn mức là nhằm ngăn chặn được thiệt hại lớn cho người dân. Vì thời gian qua, tội phạm thường lấy cắp tiền vào buổi đêm. Chúng chuyển liên tục nhiều lần vào tài khoản được thuê, mượn, mua của người khác sau đó chuyển ra.

Vậy với giải pháp này, liệu có lấy lại tiền của người dân đã bị mất, khi nhiều trường hợp chính chủ tài khoản đã chuyển tiền cho đối tượng lừa đảo? Ông Tuấn khẳng định thiệt hại sẽ giảm tối đa. Bởi đa số tài khoản được chuyển đến là tài khoản mượn, thuê, không phải chính chủ.

Nên đối tượng phạm tội chỉ có thể chuyển tối đa được 20 triệu đồng/ngày. Còn nếu chúng chuyển vào chính tài khoản của chúng thì sẽ lưu vết trên hệ thống, cơ quan công an sẽ nhanh chóng tìm ra manh mối.

"Với quy định này, các ngân hàng phải đầu tư hệ thống lưu trữ, hệ thống xử lý dữ liệu sinh trắc học, phải sửa cả ứng dụng... Tất nhiên là tốn thêm chi phí nhưng ngân hàng buộc triển khai vì đây là một trong những giải pháp khá hữu hiệu để bảo vệ quyền lợi của khách hàng" - ông Tuấn nói.