Trong 8 loại hình lừa đảo online nhắm tới cá nhân và tổ chức toàn cầu, có tới 4 loại nhắm vào doanh nghiệp, hộ kinh doanh và data “thượng đế” của họ. Những cú lừa này có thể khiến doanh nghiệp phá sản hoặc sụp đổ về uy tín thương hiệu.
Hiểu rõ các thủ đoạn chuyên biệt nhắm vào các tổ chức kinh tế là “lá chắn” sống còn để bảo vệ tài sản và lòng tin của khách hàng trong cuộc chơi số hóa của doanh nghiệp.
Bùng nổ lừa đảo mạo danh
Tổ chức Cảnh sát hình sự quốc tế (Interpol) định nghĩa, lừa đảo mạo danh là hành vi giả mạo các tổ chức hợp pháp hoặc người có thẩm quyền để thao túng nạn nhân chuyển tiền.
| |
Lừa đảo mạo danh lại được chia nhỏ thành các loại hình gồm: BEC, tức tấn công chiếm đoạt tài khoản email và mạo danh các giám đốc điều hành doanh nghiệp để thao túng nhân viên chuyển tiền. Loại thứ hai là kẻ phạm tội giả mạo quan chức nhà nước, gây ra nỗi sợ hãi hoặc lo lắng để lừa dối, chiếm đoạt tiền của nạn nhân.
Cuối cùng là thủ đoạn gian lận danh tính. Kẻ gian lận có thể tiếp cận thông tin cá nhân thông qua các kỹ thuật thao túng tâm lý (như lừa đảo qua email, tin nhắn, điện thoại, giả mạo danh tính…), thâm nhập hệ thống (thông qua việc sử dụng phần mềm độc hại hoặc các kỹ thuật tấn công mạng) và trộm cắp vật lý.
Chainalysis - công ty dữ liệu blockchain có trụ sở tại Mỹ, chuyên cung cấp phần mềm, dữ liệu và dịch vụ điều tra cho chính phủ, sàn giao dịch và tổ chức tài chính, trong báo cáo mới đây cho hay, năm 2025, các vụ lừa đảo online, đặc biệt loại hình mạo danh, tăng hơn 1.400% so với năm 2024, với số tiền bị chiếm đoạt tăng hơn 600%.
Dự báo năm 2026, loại hình tội phạm này còn tiếp tục lộng hành và nguy hại lớn hơn nữa khi có sự kết hợp của trí tuệ nhân tạo (AI).
Ngành thuế bị mạo danh để lừa đảo
Với hệ thống data khách hàng hiện hữu, các tổ chức kinh tế đang trở thành miếng mồi ngon cho những tập đoàn tội phạm lừa đảo online xuyên quốc gia. Chúng nhắm tới hai mục tiêu: hoặc chiếm đoạt tiền của chính doanh nghiệp, hoặc lừa khách hàng của họ.
Tại Việt Nam, chưa có một báo cáo nào của các cơ quan chức năng về loại hình lừa đảo mạo danh BEC. Tuy nhiên, thủ đoạn mạo danh cơ quan nhà nước nhắm vào doanh nghiệp và khách hàng của họ thì tràn ngập.
Đáng lưu ý, có sự khác biệt giữa mạo danh lừa đảo doanh nghiệp với lừa đảo cá nhân. Với cá nhân, kẻ lừa đảo thường mạo danh tất cả các cơ quan, tổ chức, phổ biến nhất là công an. Nhưng với tổ chức kinh tế thì ngành thuế bị mạo danh lừa đảo phổ biến nhất, đặc biệt cuối năm 2025 và năm 2026. Đây là thời điểm ngành thuế triển khai các chủ trương, chính sách lớn, tác động đến hàng triệu tổ chức kinh tế như số hóa phương pháp quản lý thuế; chuyển đổi mô hình từ thuế khoán sang kê khai đối với hộ kinh doanh; khai thuế trên ứng dụng như eTax Mobile; lập hóa đơn điện tử; nâng hạn mức chịu thuế...
Chỉ riêng chính sách hạn mức thuế đã tác động tới khoảng 2,56 triệu hộ kinh doanh có doanh thu dưới 1 tỷ đồng. Con số đó, với tội phạm lừa đảo, chính là những “kho mồi” khổng lồ, có tiền nhiều hơn cá nhân, chịu áp lực về pháp lý cũng như thời gian lớn, nên dễ bị lừa.
Còn doanh nghiệp, cuộc chuyển đổi số của ngành thuế (đặc biệt là hóa đơn điện tử và hệ thống thuế điện tử) đã tạo ra tác động sâu rộng đến gần như toàn bộ cộng đồng doanh nghiệp. Theo thống kê, hiện ngành thuế quản lý khoảng 1 triệu doanh nghiệp. Cũng tức, đối với tội phạm lừa đảo online thì có cả triệu “con mồi”.
Hơn thế, tấn công vào doanh nghiệp mang lại lợi nhuận lớn hơn nhiều so với lừa đảo cá nhân. Lại nữa, khác với cá nhân, thông tin của doanh nghiệp, đặc biệt doanh nghiệp niêm yết (tên công ty, mã số thuế, địa chỉ, người đại diện pháp luật, các hoạt động sản xuất kinh doanh, báo cáo thường niên) được công khai trên các cổng thông tin của Nhà nước hoặc của chính doanh nghiệp, nên càng thuận lợi hơn cho lừa đảo sử dụng miễn phí để dễ dàng tạo ra một kịch bản thuyết phục.
Mặt khác, đối với doanh nghiệp, các vấn đề về thuế luôn “nhạy cảm” nhất. Tội phạm tận dụng tối đa chiêu thức đánh vào tâm lý sợ sai của bộ phận kế toán, muốn giải quyết nhanh để tránh rắc rối cho công ty.
Khảo sát của chúng tôi cho thấy, lừa đảo mạo danh ngành thuế thường bùng phát mạnh vào mùa quyết toán thuế thu nhập doanh nghiệp và thu nhập cá nhân (tháng 3 và tháng 4). Bùng phát mạnh vào thời điểm thay đổi chính sách liên quan đã và đang diễn ra như thay đổi thuế khoán, kê khai thuế hộ kinh doanh, triển khai eTax… Tình trạng này phổ biến đến mức, thời gian qua, các cơ quan thuế từ Trung ương tới địa phương đều liên tục cảnh báo tới doanh nghiệp phải nâng cao cảnh giác.
Khi thủ đoạn lừa đảo bắt kịp “thời sự”
Nhiều vụ việc khiến ngay cả nạn nhân cũng không hiểu tại sao lừa đảo lại quá nhanh nắm được “đường đi nước bước” và rành rẽ từ họ tên, số điện thoại, email, thậm chí mã số thuế cá nhân của mình đến vậy.
Trò chuyện với chúng tôi, bà Nguyễn Thị V. Lan, chủ một hộ kinh doanh tại TP.HCM, thất thần: “Buổi chiều hôm trước tôi nhận được thư mời đóng dấu đỏ yêu cầu phải khai báo thông báo số tài khoản/ví điện tử cho cơ quan thuế, thì sáng hôm sau đã có người gọi điện, xưng đúng tên tuổi cán bộ thuế cơ sở, đọc đúng tên tuổi, mã số thuế, ngành nghề kinh doanh cơ sở của tôi. Tôi có kiểm tra thì thấy số điện thoại đang gọi cho mình đúng là số điện thoại cần liên lạc ghi trên thư mời nên yên tâm nói chuyện.
“Cán bộ thuế” đó hỏi tôi đã nhận được thư mời chưa, rồi hạch hỏi sao không thấy lên khai báo sớm. Tôi nói bận một chút nên chưa kịp, thế là “cán bộ thuế” kia hướng dẫn cách khai báo online, cần vào đường link này, đường link kia, điền các thông tin, số tài khoản…”.
Kết nối Zalo, làm theo lời vị “cán bộ thuế” đó, tài khoản của bà Nguyễn Thị V. Lan “bay” sạch cả trăm triệu đồng. Khi cố liên hệ với “cán bộ thuế” đó không được, bà mới biết là bị lừa đảo.
Trường hợp bà N.T.L.A, chủ một doanh nghiệp bất động sản ở Vĩnh Long còn thảm hơn. Bà nhận được cuộc gọi từ một người tự xưng là cán bộ thuế, thông báo về việc Nhà nước đang có chính sách hỗ trợ giảm thuế thu nhập doanh nghiệp từ 8% xuống 6%, đồng thời cho biết sẽ có người liên hệ hướng dẫn thực hiện thủ tục.
Khoảng 20 phút sau, một người khác gọi điện, xưng là “thanh tra thuế” phụ trách doanh nghiệp, yêu cầu bà N.T.L.A tải ứng dụng có tên “Chính phủ” thông qua đường link được gửi qua ứng dụng Zalo để thực hiện đăng ký dịch vụ liên quan đến Kho bạc Nhà nước. Bà còn được yêu cầu thực hiện xác thực khuôn mặt để hoàn tất thủ tục.
Sau khi thực hiện theo hướng dẫn, điện thoại của bà N.T.L.A bỗng nóng máy, không thể đăng nhập vào các ứng dụng. Hoảng hốt, bà N.T.L.A vội liên hệ ngân hàng để khóa tài khoản. Nhưng trước khi kịp khóa, tài khoản thấu chi của bà đã bị thực hiện 2 giao dịch chuyển tiền với tổng số tiền gần 1 tỷ đồng.
Hàng loạt vụ việc cho thấy, lừa đảo mạo danh các cơ quan chức năng không chỉ nắm chắc chủ trương, chính sách, mà còn điều chỉnh các chiêu thức lừa đảo rất “thời sự”.
Điển hình, ngay khi cơ quan chức năng mở cao điểm hỗ trợ, tập huấn chuyển đổi mô hình từ thuế khoán sang kê khai, đăng ký mức thuế theo quy định mới, bọn lừa đảo online lập tức làm giả các văn bản giấy mời, thông báo mang danh nghĩa cơ quan thuế như “Giấy mời làm việc”, “Thông báo cập nhật thông tin thuế”, “Thư mời tập huấn chính sách thuế theo mô hình mới”, “Thông báo hoàn thuế giá trị gia tăng”, “Thông báo hỗ trợ chuyển đổi từ thuế khoán sang kê khai”… rồi gửi qua đường bưu điện, email hoặc các ứng dụng mạng xã hội tới tận hộ kinh doanh, doanh nghiệp để tạo cảm giác “chính thống”.
Đó là chưa nói, chúng còn cung cấp cho chủ hộ kinh doanh các đường link giả mạo y như thật như: “etax-gdt[.]online”, “thueviet-gdt[.]com”, “hotro-etax[.]vn” hoặc gửi trực tiếp file cài đặt có đuôi .apk qua Zalo, Messenger với tên gọi như “eTax Mobile”, “eTax Support”, “HoTroThue.apk”.
Các tên miền, ứng dụng giả đó đôi khi chỉ khác hàng “xịn” một dấu gạch ngang (-) hoặc dấu chấm (.) khiến các chủ doanh nghiệp khó lòng phát hiện.
“Thượng vàng hạ cám” giá dữ liệu cá nhân trên chợ đen
Theo Hãng bảo mật Kaspersky, sau khi đánh cắp được dữ liệu cá nhân, kẻ xấu thường tập hợp thành các “dump” (những lô dữ liệu lớn đã được xác thực) rồi đưa lên chợ đen để mua bán, trao đổi với giá cả phụ thuộc vào loại thông tin, độ mới, mức độ đầy đủ và khả năng mang lại lợi ích tài chính cho người mua.
Thông thường, các “dump” này được rao bán hàng loạt với mức giá chỉ từ 50 USD trở xuống. Nhưng các tài khoản có giá trị cao sẽ được bán với mức giá cao hơn, trung bình 105 USD cho tài khoản liên quan đến tiền ảo, 350 USD cho tài khoản ngân hàng, 82,5 USD cho tài khoản cổng dịch vụ công, khoảng 15 USD cho giấy tờ cá nhân (CMND/CCCD, hộ chiếu…).
(Còn tiếp)