Khốc liệt “cuộc chiến” chống lừa đảo trên không gian mạng - Bài 2: Sai mật khẩu ngân hàng và cái bẫy hoàn hảo

Bài 2: Sai mật khẩu ngân hàng và cái bẫy hoàn hảo

Trong “cuộc chiến” chống lừa đảo trên không gian mạng, so với các ngành nghề khác, doanh nghiệp tài chính khốn đốn nhất, bởi luôn bị tội phạm nhắm tới với trăm phương, ngàn kế. Mất 277 ngày lùng theo dấu vết, nhóm điều tra CyProtek (thuộc Dự án Chống lừa đảo trên không gian mạng) đã phát hiện thủ đoạn chiếm đoạt tài khoản ngân hàng tinh vi, nguy hiểm nhất đang bùng lên ở Việt Nam.

Thủ đoạn nguy hiểm nhất

Theo cảnh báo mới nhất của Cục An toàn thông tin (Bộ Thông tin và Truyền thông), tại Việt Nam đã bùng lên một thủ đoạn lừa đảo tinh vi và nguy hiểm. Đó là việc tội phạm dùng số tài khoản, tên chủ tài khoản, hoặc email, rồi cố tình nhập sai mật khẩu nhiều lần để khóa tài khoản ngân hàng của nạn nhân. Sau đó, chúng giả danh nhân viên ngân hàng, gọi điện để “hỗ trợ” mở khóa, dụ khách hàng truy cập link giả, tải app độc hại để chiếm quyền kiểm soát điện thoại, OTP và tin nhắn SMS.

Quảng cáo tuyển dụng người đi... lừa đảo (ảnh trái) và mua bán dữ liệu cá nhân (ảnh phải) bị nhóm điều tra CyProtek phát hiện.

Những mã độc này sau khi thâm nhập vào máy có thể yêu cầu cấp quyền truy cập sâu vào thiết bị, từ đó kẻ gian chiếm quyền điều khiển và đánh cắp dữ liệu, theo dõi thiết bị và người dùng từ xa, chiếm thông tin nhạy cảm như mật khẩu, mã OTP.

Hơn thế nữa, bọn chúng sẽ lấy hình ảnh khách hàng rồi lợi dụng sinh trắc học (khuôn mặt) để xác nhận giao dịch trên tài khoản của nạn nhân và chiếm đoạt tiền.

“Đây là một chiêu trò rất tinh vi và chuyên nghiệp, lợi dụng việc số tài khoản và số điện thoại thường được nhiều người công khai, có thể dùng chung hai số hoặc email để đăng nhập. Ngoài ra, thông tin này cũng được rao bán trên chợ đen dữ liệu và có nhiều cách để thu thập”, Cục An toàn thông tin (Bộ Thông tin và Truyền thông) nhận định.

Kịch bản tinh vi và 8 bước thực hiện

Theo Ngô Minh Hiếu (Hiếu PC, Giám đốc Dự án Chống lừa đảo trên không gian mạng), thủ đoạn lừa đảo nguy hiểm nói trên vốn là một trong nhiều kịch bản được hacker “mũ đen” sử dụng để lừa nạn nhân, thuộc chiến dịch tấn công mạng mang tên GoldFactory, diễn ra từ năm 2023 và đến nay biến hóa tinh vi hơn.

Đầu tiên, hacker thu thập và mua thông tin người dân (số điện thoại, email, danh sách các website đã truy cập, cookies, địa chỉ IP, tên đăng nhập và mật khẩu vào các website) trên các chợ đen giao dịch, hoặc các diễn đàn của giới hacker.

Bước 2, hacker sử dụng tên đăng nhập và mật khẩu từ tệp dữ liệu lộ lọt để thử đăng nhập vào các tài khoản liên quan. Trong một số trường hợp, chúng có thể truy cập tài khoản Internet Banking (ngân hàng điện tử) thành công, cho phép xem số dư tài khoản và thu thập thêm thông tin cá nhân của nạn nhân (lúc này, hacker không chuyển tiền đi từ tài khoản của nạn nhân được, vì cần mã OTP hoặc xác thực sinh trắc học).

Bước 3, không dừng lại ở việc khai thác thông tin, hacker sử dụng các tài khoản, rồi dùng mật khẩu ngẫu nhiên, cố tình đăng nhập sai nhiều lần, khiến tài khoản của nạn nhân bị khóa.

Khi tài khoản bị khóa, một số ngân hàng chỉ tạm thời khóa truy cập trong một khoảng thời gian nhất định; một số ngân hàng khác sẽ khóa hẳn tài khoản, khách hàng phải trực tiếp đến ngân hàng để khôi phục.

Hacker rất thông thạo cách vận hành của từng ngân hàng và thường sử dụng phương pháp loại trừ để tập trung vào các ngân hàng cho phép thiết lập lại tài khoản thông qua các thao tác online. Trong trường hợp này, nạn nhân có thể nhận mã OTP qua SMS, xác thực sinh trắc học trực tuyến, hoặc thực hiện các bước đơn giản, mà không cần đến quầy giao dịch.

Bước 4, hacker giả danh nhân viên ngân hàng và gọi điện trực tiếp để tiếp cận nạn nhân. Việc biết số điện thoại của nạn nhân không phải trở ngại lớn, bởi thông tin cá nhân, bao gồm số điện thoại, thường được giao dịch tràn lan trên thị trường chợ đen. Chỉ cần bỏ ra vài chục ngàn đồng, hacker đã có thể mua được thông tin từ các hội/nhóm chuyên mua bán dữ liệu cá nhân.

Bước 5, sau khi thao túng tâm lý của nạn nhân bằng các kịch bản được chuẩn bị kỹ lưỡng, tội phạm bắt đầu dẫn dụ nạn nhân tải ứng dụng (app) độc hại thông qua đường link giả hoặc quét mã QR chứa mã độc.

Từ bước số 5 trở đi, hầu hết hacker/kẻ lừa đảo thường giả mạo các cơ quan công an (ứng dụng VNeID), Bảo hiểm Xã hội Việt Nam (ứng dụng VssID), điện lực, thuế (ứng dụng eTax Mobile) hoặc các dịch vụ công trực tuyến để đánh lừa nạn nhân.

Bước 6, khi nạn nhân đã bị dẫn dụ cài đặt ứng dụng giả mạo độc hại, hacker yêu cầu nạn nhân sử dụng một thiết bị khác (thường là điện thoại hoặc máy tính bảng) để thực hiện video call. Trong cuộc gọi này, chúng đóng vai “nhân viên hỗ trợ” và “tận tình” hướng dẫn, chỉ dẫn nạn nhân cấp quyền truy cập sâu cho ứng dụng giả mạo, bao gồm quyền trợ năng, quyền truy cập tin nhắn, quyền truy cập tệp tin và dữ liệu cá nhân.

Bước 7, khi đã được cấp quyền truy cập, hacker có thể theo dõi toàn bộ thao tác của nạn nhân trên màn hình; ghi lại tên đăng nhập, mật khẩu, mã OTP từ ngân hàng hoặc các ứng dụng khác; xem và xóa tin nhắn trên các ứng dụng Zalo, Facebook Messenger…; điều khiển thiết bị từ xa, bao gồm cả việc gửi tiền, chuyển khoản, hoặc xóa dữ liệu để xóa dấu vết.

Lúc này, thiết bị điện thoại của nạn nhân hoàn toàn nằm trong tay hacker. Bọn chúng sẽ chèn lớp giao diện (overlay), hiển thị một màn hình giả phía trên. Điều này khiến nạn nhân không thể thấy các thao tác thật sự đang diễn ra phía sau, làm họ hoàn toàn mất cảnh giác.

Sau đó, chúng kích hoạt tính năng để ghi lại mọi thao tác bàn phím trên thiết bị. Điều này cho phép chúng thu thập mật khẩu tài khoản ngân hàng, ghi lại mã OTP hoặc các mã bảo mật được nhập, lưu lại bất kỳ thông tin nhạy cảm nào khác được nhập trên thiết bị, mở các ứng dụng ngân hàng, ví điện tử và chiếm đoạt tiền.

Bước 8, sau khi rút hết tiền từ tài khoản ngân hàng và ví điện tử, hacker thường xóa tất cả tin nhắn SMS và email có liên quan đến giao dịch; gỡ cài đặt các ứng dụng ngân hàng, bao gồm cả ứng dụng chính thống và ứng dụng đã chỉnh sửa; chặn hoặc ngắt liên lạc qua các kênh (như Zalo…) nhằm tránh bị truy vết hoặc đối phó với nạn nhân.

Để hoàn tất toàn bộ quá trình tấn công này, hacker thường mất 30 - 60 phút, tùy thuộc vào điều kiện cụ thể và khả năng phản ứng của nạn nhân.

Buôn bán cả giải pháp hack ngân hàng

Từng là hacker “mũ đen” chuyên nghiệp, nay “cải tà quy chính” thành hacker “mũ trắng”, Ngô Minh Hiếu rất hiểu về hoạt động của các nhóm hacker. Chuyên gia an ninh mạng này cho hay, các nhóm hacker “mũ đen” hoạt động tại Campuchia, Lào, hoặc Myanmar thường phát triển các công cụ hoặc giải pháp hack ứng dụng ngân hàng. Sau đó, chúng bán các giải pháp này cho các nhóm lừa đảo khác, giúp dễ dàng vượt qua các hệ thống bảo mật.

Một minh chứng điển hình là tuyên bố của một nhóm hacker Trung Quốc vào ngày 27/12/2024, liên quan đến một ngân hàng. Chúng viết: “Ai nói ngân hàng đã được nâng cấp? Dù có nâng cấp đến mức nào, chúng tôi vẫn phải hạ nó xuống!”. Điều này thể hiện thái độ quyết tâm của hacker trong việc tìm cách phá vỡ mọi biện pháp bảo mật, bất kể mức độ nâng cấp của ngân hàng.

Bên cạnh đó, hacker “mũ đen” chuyên nghiệp còn có thể sử dụng kỹ thuật dịch ngược để phân tích mã nguồn của các ứng dụng ngân hàng chính thống, mục tiêu là để hiểu rõ cơ chế bảo mật, như cách hoạt động của việc xác thực OTP, mã hóa dữ liệu và các biện pháp phát hiện thiết bị lạ, từ đó phát hiện các điểm yếu hoặc lỗ hổng có thể khai thác.

Khốc liệt “cuộc chiến” chống lừa đảo trên không gian mạng - Bài 1: Khách hàng của doanh nghiệp lớn thành “con mồi”

Sau khi dịch ngược thành công, hacker tạo ra các phiên bản ứng dụng ngân hàng bị chỉnh sửa, gọi là “app mod”. Những ứng dụng này sẽ loại bỏ hoặc làm vô hiệu hóa các cơ chế bảo mật, như cảnh báo thiết bị lạ hoặc phát hiện quyền trợ năng không an toàn; trông giống hệt ứng dụng ngân hàng chính thống, khiến người dùng khó phát hiện.

“Hacker luôn tìm cách vượt qua các rào cản bảo mật. Do đó, người dùng và ngân hàng cần không ngừng nâng cao ý thức và áp dụng biện pháp phòng ngừa để bảo vệ tài sản số”, Ngô Minh Hiếu khuyến nghị.

(Còn tiếp)

Ngô Nguyên
baodautu.vn