Mất quyền kiểm soát điện thoại, mất tiền
Thời gian gần đây, các vụ việc chiếm đoạt tiền trong tài khoản cá nhân lại rộ lên. Kẻ gian chỉ mất chưa đến 1 phút là chuyển sạch tiền trong tài khoản của nạn nhân. Chị L.S (Hà Nội) mới đây bị kẻ lừa đảo chiếm đoạt quyền kiểm soát điện thoại, đột nhập tài khoản ngân hàng và chuyển đi gần 500 triệu đồng. Làm trong lĩnh vực tài chính, chị L.S cũng không ngờ chính mình lại rơi vào bẫy của kẻ gian và mất số tiền lớn như vậy. Trước đó, chị L.S nhận điện thoại của một đối tượng tự xưng là cán bộ công an yêu cầu chị cài đặt định danh mức độ 2. Do bận rộn nên sau nhiều lần cán bộ công an (giả) này liên lạc, để không bị làm phiền, chị L.S tải phần mềm mà người này chuyển qua tin nhắn để đăng ký theo hướng dẫn. Sau khi cài đặt, điện thoại chị L.S bị mất quyền kiểm soát và số tiền trong tài khoản gần 500 triệu đồng bị chuyển qua tài khoản lạ.
Trường hợp như chị L.S không phải hiếm, nhiều người dân ở Bình Phước, Lạng Sơn, Bình Dương… gần đây trở thành nạn nhân của những kẻ giả danh công an yêu cầu cài đặt app dịch vụ công giả mạo để chiếm đoạt tiền trong tài khoản ngân hàng. Đáng nói, thủ đoạn này xuất hiện từ năm 2023 và nay tái diễn ở nhiều tỉnh thành trên cả nước. Cũng với bẫy giả mạo cơ quan chức năng, một số trường hợp bị mất tiền tỉ. Chẳng hạn, một doanh nhân ở Bắc Ninh mất 11,9 tỉ đồng trong tài khoản khi tải ứng dụng lạ về điện thoại di động, từ đó bị kẻ gian chiếm quyền sử dụng điện thoại, truy cập tài khoản ngân hàng để chuyển số tiền nói trên qua tài khoản khác.
Làm gì khi người lạ chuyển nhầm tiền vào tài khoản ngân hàng?
Ông Ngô Anh Tuấn, Tổng giám đốc Công ty an ninh mạng SCS, cho biết thời gian qua, các vụ tấn công nhằm đánh cắp tiền được thực hiện với nhiều thủ đoạn khác nhau, trong đó có thủ đoạn chính là kẻ xấu dẫn dụ người dùng cài đặt các ứng dụng giả mạo trên điện thoại (như ứng dụng giả mạo VNeID, giả mạo ứng dụng quyết toán thuế...). Các ứng dụng giả mạo này khi được cài đặt sẽ kiểm soát toàn bộ thông tin được lưu trữ trong điện thoại như mật khẩu, mã xác thực OTP... Do đó, với các điện thoại đã bị lừa cài đặt ứng dụng giả mạo, và nạn nhân có sử dụng ứng dụng mobile banking sử dụng phương thức xác thực như OTP sẽ bị kẻ xấu chiếm đoạt toàn bộ tiền trong tài khoản mà không cần bất kỳ sự tương tác nào tiếp theo của người dùng. Hacker sau khi xâm nhập thiết bị có cài ứng dụng mobile banking có thể âm thầm chuyển tiền mà nạn nhân không hề hay biết, cho tới khi nhận được thông tin về biến động số dư.
Theo Ngân hàng Nhà nước (NHNN), có đến 99% vụ việc lừa đảo qua mạng tội phạm không để lại dấu vết, vì tiền được chuyển đến tài khoản không chính chủ, được đối tượng mua bán trên mạng... Qua thống kê, hiện có 70% giao dịch chuyển tiền có giá trị dưới 10 triệu đồng. Do vậy, NHNN đã đưa ra ngưỡng giao dịch 10 triệu đồng trở lên phải xác thực khuôn mặt nhằm tăng tính bảo mật, ngăn chặn lừa đảo chiếm đoạt tài khoản, bảo đảm sử dụng tài khoản chính chủ... Đồng thời đưa ra ngưỡng 20 triệu đồng/ngày để tránh trường hợp tội phạm thực hiện nhiều giao dịch dưới 10 triệu đồng/lần. Xác thực sinh trắc học là khuôn mặt thật, không phải hình ảnh cài trên điện thoại. Tức là người thực hiện chuyển tiền phải soi khuôn mặt mình vào ứng dụng, nhìn lên nhìn xuống để bảo đảm đây là hình ảnh sống. Khuôn mặt của người thực hiện chuyển tiền được đối chiếu với dữ liệu sinh trắc học từ CCCD gắn chip do Bộ Công an quản lý. Nếu chẳng may bị hack thì việc chuyển tiền sẽ khó vì người thực hiện chuyển tiền phải xác thực sinh trắc học chính chủ.
Chỉ hạn chế, vẫn phải cảnh giác tối đa
Ông Ngô Anh Tuấn nhận định an ninh mạng là cuộc chiến giữa kẻ xấu và các giải pháp an ninh mạng. Việc sử dụng giải pháp xác thực mạnh như sinh trắc học, chữ ký số sẽ giảm thiểu được nguy cơ lừa đảo bởi các yếu tố xác thực mạnh hơn. Cụ thể khi thực hiện giao dịch, cần sử dụng xác thực sinh trắc học với tương tác thực tế của chủ tài khoản, thông qua quét khuôn mặt hoặc vân tay, kích hoạt xác thực chữ ký số. Nhưng khi chúng ta sử dụng sinh trắc học, kẻ xấu cũng sẽ sử dụng các công nghệ giả mạo như trí tuệ nhân tạo (AI), deepfake để ngụy tạo dữ liệu sinh trắc học. Về lý thuyết và trong các thực nghiệm (PoC) các công nghệ này có thể vẫn tạo ra được dữ liệu giả mạo để đánh lừa hệ thống sinh trắc học. Tuy nhiên, việc tấn công trong thực tế cũng không quá dễ dàng và mức độ an toàn vẫn ở trong ngưỡng chấp nhận được.
Là người từng bị mất 457 triệu đồng trong tài khoản hồi cuối năm ngoái, chuyên gia tài chính Nguyễn Trí Hiếu cho rằng việc áp dụng sinh trắc học bằng khuôn mặt hay mống mắt… sẽ hạn chế được phần nào tình trạng lừa đảo, nhất là trong trường hợp tài khoản bị hack, chiếm quyền kiểm soát. Với sự phát triển công nghệ ngày càng nhanh, nhất là AI, thì đều có thể làm giả khuôn mặt, dấu vân tay… Ngoài ra, tin tặc am hiểu về công nghệ, nhất là lĩnh vực tài chính ngân hàng nên sẽ tìm ra các lỗ hổng để tấn công. Vì vậy, giải pháp này cũng chỉ hạn chế chứ không phải là tuyệt đối. Còn trong trường hợp khách hàng tin tưởng bọn lừa đảo và chủ động chuyển khoản thì tất nhiên là "bó tay".
Tương tự, PGS-TS Nguyễn Hữu Huân (Đại học Kinh tế TP.HCM) đồng quan điểm rằng áp dụng biện pháp sinh trắc học trong chuyển khoản cũng chỉ hạn chế phần nào chứ không thể chống được hết các thủ đoạn lừa đảo. Vì hiện nay công nghệ deepfake rất tinh vi, vẫn có thể giả mạo dấu hiệu sinh trắc học của con người. Trong khi đó, người VN bị lộ thông tin sinh trắc học cá nhân khá nhiều thông qua các ứng dụng về tạo video AI hoặc rò rỉ thông qua các ứng dụng mà họ sử dụng hằng ngày. Ông khuyến cáo kẻ lừa đảo luôn đi trước và khi nạn nhân phát hiện mình bị lừa thì mới tìm cách ngăn chặn nên không thể lường trước hết được các dấu hiệu vì quá nhiều.
"Công nghệ càng phát triển thì lại xuất hiện càng nhiều các hình thức lừa đảo mới. Việc ứng dụng công nghệ vào lĩnh vực thanh toán chỉ là cách giảm thiểu và cố gắng ngăn chặn càng sớm càng tốt, chứ không thể loại trừ hoàn toàn. Hệ thống do con người làm ra thì lúc nào cũng sẽ xuất hiện lỗ hổng bảo mật, không thể hoàn thiện 100%. Thậm chí app của ngân hàng cũng có thể bị hack khi tin tặc tìm được lỗ hổng bảo mật", ông Huân phân tích và cảnh báo: "Cái gì cũng mang tính tương đối, không thể phòng ngừa hết các chiêu lừa đảo. Do đó người dùng cần tự bảo vệ mình bằng cách liên tục cập nhật các kiến thức về bảo mật, không chia sẻ thông tin cá nhân dưới bất cứ hình thức nào cũng như không tải app lạ. Các ngân hàng cũng nên liên tục cảnh báo khách hàng về những dấu hiệu lừa đảo, bộ phận quản trị rủi ro và an ninh mạng của ngân hàng cập nhật liên tục trường hợp lừa đảo mới để khách hàng tránh".
Bên cạnh việc áp dụng các biện pháp sinh trắc học, việc ứng dụng các giải pháp nâng cao như chữ ký số, đặc biệt là chữ ký số cá nhân, không những tăng cường khả năng xác thực, mà còn có khả năng chống tấn công lừa đảo, đảm bảo toàn vẹn dữ liệu khi giao dịch.
Ông Ngô Anh Tuấn, Tổng giám đốc Công ty an ninh mạng SCS |
(Theo TNO)