Đáng chú ý, hiện nay đang “nổi” lên nhóm tội phạm đánh cắp thông tin OTP (mật khẩu 1 lần sử dụng được nhắn qua tin nhắn khi giao dịch ngân hàng điện tử) để chiếm đoạt tài sản của chủ tài khoản. Đã có nhiều người là nạn nhân và cơ quan công an đã lên tiếng cảnh báo về loại tội phạm này.
Cần thận trọng khi giao dịch trực tuyến
Chị Nguyễn Phương Ng. (30 tuổi, trú tại quận Ba Đình, Hà Nội) có người thân định cư ở Đức. Một ngày nọ, chị nhận được tin nhắn qua mạng xã hội facebook của cô em họ nhờ nhận hộ 1.000 euro rồi chuyển cho bố mẹ ở quê. Do đã nhiều lần nhận tiền, hàng hóa, bưu phẩm... nên chị Ng. không nghi ngờ gì mà cứ thế làm theo. Sau khi cho số tài khoản ngân hàng của mình, chị Ng. nhận được một bức ảnh của “cô em họ” mang nội dung xác nhận chuyển tiền từ dịch vụ Western Union, số tiền là 1.100 euro. Tiền sẽ được “bắn” trực tiếp vào tài khoản của chị Ng. Lúc này chị Ng. thấy ngờ ngợ vì mọi lần chị đều ra văn phòng của hãng dịch vụ để nhận mà lần này lại thay đổi. Chị có hỏi lại thì phía bên kia nói rằng chuyển qua dịch vụ này phí thấp hơn và còn “biếu” riêng chị Ng. 100 euro nữa. Tiếp đó, qua phần mềm messenger, chị Ng. nhận được một đường link từ “cô em họ” báo bấm vào để hoàn tất giao dịch. Khi chị Ng. truy cập vào website đó thấy giống hệt như giao diện của dịch vụ Western Union. Cô em họ cho biết đó là trang liên kết giữa ngân hàng Việt Nam và dịch vụ chuyển tiền quốc tế. Chị Ng. không nghi ngờ gì mà lần lượt nhập tài khoản, mật khẩu của tài khoản. Tiếp đó còn nhập luôn cả mã OTP (mật khẩu sử dụng một lần) vào website đó.
Chủ tài khoản khi giao dịch trực tuyến cần bảo mật mã OTP.
Chỉ vài phút sau, chị Ng. tá hỏa khi phát hiện số tiền mấy chục triệu đồng trong tài khoản của mình tự nhiên “chạy” sang một tài khoản lạ. Ng. hỏi lại “cô em họ” thì không thấy hồi đáp. Mấy ngày sau, chị Ng. mới biết tài khoản facebook của cô em họ đã bị “hack”. Đối tượng lần theo những tin nhắn cũ của hai người và lên kế hoạch lừa đảo.
Tương tự chiêu trò ở phía trên chúng tôi đã đề cập, anh M. (28 tuổi, Đống Đa, Hà Nội) chuyên kinh doanh điện thoại di động và phụ kiện qua mạng internet cũng đã dính quả lừa cay đắng. Cụ thể, anh M. nhận được đơn đặt hàng từ một người Việt Nam định cư tại nước ngoài. Người này nói muốn đặt một chiếc điện thoại iPhone 7 rồi “ship” đến địa chỉ người thân của họ tại Việt Nam. Sau khi nhận được một ảnh chụp “giấy xác nhận chuyển tiền” từ dịch vụ Western Union thông báo đã nhận được yêu cầu chuyển số tiền là 990 USD. Khi anh M. nhắn lại là chiếc iPhone đó chỉ hết 900 USD thôi, thì người mua hàng nói rằng do sơ suất đã gửi nhầm. Và đề nghị anh M. cứ giữ lại 90 USD và sẽ trừ vào lần mua sau. Tiếp đó, anh M. nhận được đường link dẫn đến một trang web của dịch vụ chuyển tiền Western Union. Anh M. được đề nghị điền đủ thông tin để xác nhận. Sau khi thực hiện xong các thao tác, vài phút sau anh M. thấy tiền trong tài khoản của mình đã chuyển thẳng vào một tài khoản lạ hoắc.
Nhận diện các chiêu độc đánh cắp tài khoản
Những vụ việc nêu trên là một trong những trường hợp bị mất tiền trong tài khoản do OTP bị đánh cắp xảy ra gần đây. Qua làm việc với những người bị hại, cơ quan công an xác định một số phương thức tội phạm sử dụng để đánh cắp mã OTP. Theo đó, các đối tượng này giả mạo nhân viên ngân hàng gọi điện, nhắn tin cho chủ tài khoản thông báo có khoản tiền, quà tặng, khuyến mại... chuyển vào tài khoản; hoặc sử dụng mạng xã hội, e-mail, tin nhắn mạo danh ngân hàng điện tử thông báo tài khoản E-banking của chủ tài khoản bị xâm nhập trái phép và yêu cầu chủ tài khoản cung cấp thông tin đăng nhập, mã OTP. Sau khi có mã OTP, tội phạm chuyển tiền từ tài khoản của người bị hại đến tài khoản khác để chiếm đoạt.
Đoạn chat giả danh người thân chuyển tiền và tin nhắn thông báo đã chuyển tiền do các đối tượng lừa đảo tự soạn và gửi cho bị hại.
Một phương thức khác là đối tượng lừa đảo tạo facebook giả mạo của những người thân, bạn bè, sau đó nhờ “con mồi” nhận giùm tiền gửi qua các hình thức chuyển tiền từ nước ngoài. Nếu người dân truy cập vào trang web chuyển tiền quốc tế giả mạo do đối tượng lừa đảo cung cấp và nhập tên truy cập, mật khẩu thì đã vô tình cung cấp thông tin để tội phạm khởi tạo giao dịch chuyển tiền trên trang web của các ngân hàng. Thời điểm người dân nhập mã OTP của mình vào màn hình theo yêu cầu trên đường dẫn trang web giả mạo, đối tượng lừa đảo đã hoàn tất giao dịch gian lận, trong khi chủ tài khoản vẫn nghĩ rằng đang thực hiện giao dịch nhận tiền từ nước ngoài.
Theo ông Ngô Tuấn Anh - Phó Chủ tịch phụ trách an ninh mạng của Bkav cho biết, hacker tạo một ứng dụng độc hại, thường là núp bóng ứng dụng phổ biến hoặc phần mềm bẻ khóa (crack) rồi đẩy lên internet. Khi người dùng tải về và sử dụng, mã độc sẽ được kích hoạt để đánh cắp thông tin cá nhân, tài khoản, mật khẩu. Chiếm được tài khoản của người dùng, tin tặc sẽ tiến hành các giao dịch lấy cắp tiền.
Bên cạnh đó, hacker cũng tạo ra các website có giao diện giống hệt trang của ngân hàng, dịch vụ chuyển tiền... Bước tiếp theo, chúng mạo danh ngân hàng, người thân, bạn bè gửi đường dẫn trang web đó tới nạn nhân. Trên trang giả mạo, người dùng sẽ được yêu cầu nhập thông tin cá nhân, tài khoản. Một khi thực hiện theo các hướng dẫn này là người dùng đã tự cung cấp tài khoản của mình cho hacker. Khách hàng cần cảnh giác khi bấm vào các đường link nhận được qua email, chat; đặc biệt các website quan trọng sẽ có chữ “s” trong cụm “https”. Trong trường hợp cảm thấy nghi ngờ, cần xác thực qua một kênh an toàn khác như gặp trực tiếp hoặc gọi điện trước khi tiến hành giao dịch.