Cảnh báo hình thức lừa đảo Vishing từ sự cố Thủy điện Rào Trăng 3

Gia đình của một trong những nạn nhân tử nạn tại sự cố Thủy điện Rào Trăng 3 đã bị chiếm đoạt số tiền 100 triệu đồng trong tài khoản ngân hàng bằng thủ đoạn công nghệ cao. Theo ông Nguyễn Hữu Trung, Nhà sáng lập và Giám đốc điều hành của Công ty an ninh mạng CyStack, đây là hình thức lừa đảo Voice Phishing hay còn gọi là Vishing.

20201028-ta1.jpg

Sáng 21/10, Công an huyện Krông Nô, tỉnh Đắk Nông cho biết, đã tiếp nhận đơn trình báo của gia đình chị Lê Thị Thu Thảo (24 tuổi, vợ của anh Trần Văn Lộc - một trong những nạn nhân tử nạn tại sự cố Thủy điện Rào Trăng 3) về việc bị một đối tượng “lạ” dùng thủ đoạn tinh vi để chiếm đoạt số tiền 100 triệu đồng ủng hộ gia đình chị trong những ngày qua. Sau khi biết thông tin về hoàn cảnh khó khăn của gia đình chị, nhiều nhà hảo tâm đã gửi tiền giúp đỡ, chia sẻ khó khăn với gia đình. Tuy nhiên, bằng thủ đoạn công nghệ cao, một đối tượng đã lừa đảo chiếm đoạt số tiền 100 triệu đồng trong tài khoản ngân hàng của chị.

Theo đơn trình báo của chị Thảo, sau khi nhận được sự ngỏ ý sự giúp đỡ của các nhà hảo tâm, chị đã mở số tài khoản đứng tên mình tại Ngân hàng Vietcombank Chi nhánh thị xã Quảng Trị. Chỉ trong mấy ngày, gia đình đã nhận được hỗ trợ số tiền hơn 250 triệu đồng. Tuy nhiên, vào trưa 20/10, có một số điện thoại lạ gọi vào số máy của chị Thảo hỏi rất nhiều chuyện. Sau cuộc gọi này, số tài khoản của chị bỗng nhiên bị trừ mất 100 triệu đồng. Người gọi điện cho chị xưng tên Nghị, hiện đang sinh sống tại TP Đà Nẵng.
 
“Người này ngoài động viên, chia sẻ thì có hỏi rằng đây có phải là số điện thoại, số tài khoản ngân hàng của tôi hay không. Sau khi tắt máy, người này gửi cho tôi một tin nhắn có gắn thêm một đường dẫn đề nghị tôi nhập thông tin cá nhân vào đường dẫn đó. Người này còn không quên nhắc nhở rằng, đây là tiền của Nhà nước ủng hộ nên phải nhập đầy đủ thông tin mới nhận được. Anh ta nói chuyện rất chậm rãi, hướng dẫn tôi làm từng bước một. Tin tưởng, tôi đã sử dụng một chiếc điện thoại khác để đăng nhập vào đường dẫn này, làm đúng như lời anh ta. Thế nhưng, đang trong lúc nói chuyện thì tài khoản của tôi 2 lần bị trừ mất tổng cộng 150 triệu đồng”, chị Thảo nói.
 
Sau khi phát hiện tài khoản của mình bị trừ, người này gọi điện đến thì chị Thảo không bắt máy nữa. “Do mình không bắt máy nữa nên số tiền 50 triệu đồng bị rút lần thứ 3 được hoàn trả lại tài khoản. Sau khi được mọi người tư vấn, tôi đã liên lạc với ngân hàng tạm thời khóa tài khoản cá nhân, đồng thời cùng gia đình trình báo Cơ quan Công an”, chị Thảo buồn bã nói.
 
Hiện tại, Ngân hàng Vietcombank đã ghi nhận sự việc và đang phối hợp cung cấp toàn bộ thông tin liên quan cho cơ quan công an để sớm tìm ra kẻ lừa đảo, bảo vệ quyền lợi cho chị Thảo. Ngân hàng cũng đã quyết định tạm ứng cho chị Thảo 100 triệu đồng để trang trải chi phí cuộc sống, đồng thời tiếp tục làm việc với cơ quan điều tra, tìm ra thủ phạm để thu hồi số tiền này.
 
Hình thức lừa đảo Vishing khá phổ biến và nguy hiểm
 
Trả lời Tạp chí An toàn thông tin, ông Nguyễn Hữu Trung, Nhà sáng lập và Giám đốc điều hành của Công ty an ninh mạng CyStack cho biết, đây là một hình thức lừa đảo trực tuyến, được gọi là Voice Phishing hay Vishing. Phần lớn các cuộc lừa đảo này thực hiện thành công do kẻ lừa đảo đã khai thác được điểm yếu tâm lý của nạn nhân, tạo niềm tin ở nạn nhân và sau đó dễ dàng thực hiện được ý đồ của mình.
 
Dù không biết rõ chi tiết về nội dung cuộc nói chuyện giữa nạn nhân và kẻ lừa đảo, nhưng ông suy đoán quy trình tấn công như sau:
 
1) Kẻ lừa đảo gọi điện cho nạn nhân, tác động tâm lý thông qua việc hỏi han, sau đó gửi một đường dẫn để nạn nhân nhập thông tin đăng nhập Internet Banking của ngân hàng. Đường dẫn này dẫn đến một website lừa đảo để đánh lừa nạn nhân. Sau khi nạn nhân gửi yêu cầu đăng nhập, kẻ lừa đảo đã có thông tin tài khoản ngân hàng (username và password) của nạn nhân.
 
2) Tiếp đến, kẻ lừa đảo dùng thông tin đăng nhập tài khoản lấy được để đăng nhập vào hệ thống Internet Banking hợp lệ của nạn nhân, thực hiện lệnh chuyển tiền qua tài khoản kẻ lừa đảo nắm giữ. 
 
3) Để chuyển tiền thành công, sẽ cần có mã xác thực 2 bước (OTP) từ ngân hàng gửi trực tiếp đến nạn nhân. Có thể, kẻ lừa đảo đã yêu cầu nạn nhân cung cấp qua cuộc điện thoại trực tiếp, chính vì thế đã có chi tiết là lần chuyển tiền thứ 3 thực hiện không thành công do nạn nhân không nghe điện thoại nữa. Cũng do giới hạn định mức chuyển tiền nên kẻ lừa đảo phải thực hiện việc chuyển tiền nhiều lần.
 
Vishing là hình thức lừa đảo (phishing) sử dụng gọi điện trực tiếp (voice) khá phổ biển trên thế giới. Theo Công ty giải pháp minh bạch cuộc gọi và dữ liệu điện thoại First Orion (Mỹ),  số cuộc gọi rác và lừa đảo tại Mỹ chiếm 3,7% tổng số cuộc gọi đến trong năm 2017, 29% năm 2018 và khoảng 44% năm 2019. Khoảng 75% nạn nhân đã bị yêu cầu cung cấp thông tin cá nhân, 6% nạn nhân báo cáo rằng họ đã bị lừa đảo mất tiền.
 
Cách phòng tránh đối với người dùng
 
Để tránh loại hình lừa đảo này cũng như các hình thức lừa đảo khác trên Internet, CyStack khuyến nghị người dùng:
 
- Không truy cập các website lạ, nhấp vào đường dẫn lạ hoặc mở các file đính kèm được gửi qua tin nhắn, email không rõ nguồn gốc hay qua mạng xã hội.
 
- Không trả lời tin nhắn, cuộc gọi, email yêu cầu cung cấp thông tin cá nhân hoặc chuyển tiền, nạp tiền vào số tài khoản mà người nhận không quen biết.
 
- Không chia sẻ tài khoản, mật khẩu đăng nhập các dịch vụ Internet Banking, mã xác thực OTP, dãy số thẻ tín dụng, số CVV... cho bất cứ ai, trên bất kỳ ứng dụng, phần mềm, website không rõ nguồn gốc hay mạng xã hội nào.