Lừa đảo cài đặt sinh trắc học: Chiêu công nghệ cao lách qua các lớp bảo mật

Công nghệ cao lừa đảo xác thực sinh trắc học

Lợi dụng việc các ngân hàng thực hiện thu thập sinh trắc học, các đối tượng lừa đảo đã giả mạo nhân viên ngân hàng để hỗ trợ cập nhật thao tác này cho người dùng.

Đối tượng mà những kẻ lừa đảo nhắm tới là người cao tuổi vốn dễ gặp khó khăn khi cung cấp thông tin sinh trắc học hoặc thao tác kết nối NFC - nhằm thực hiện hành vi chiếm đoạt tài sản.

những kẻ lừa đảo đã mạo danh cán bộ ngân hàng gọi điện, liên hệ với "con mồi" thông qua các nền tảng mạng xã hội như Facebook, Zalo... để hỗ trợ làm các thủ tục xác thực sinh trắc học.

Một số phương thức lừa đảo phổ biến đang được các đối tượng thực hiện, gồm:

Mạo danh cán bộ ngân hàng gọi điện, liên hệ với "con mồi" bằng các hình thức như gọi điện, nhắn tin, kết bạn qua các mạng xã hội (Zalo, Facebook,... ) để hướng dẫn thu thập thông tin sinh trắc học.

Lập nick gây nhầm lẫn như “nhân viên ngân hàng”, “hỗ trợ khách hàng"... và trà trộn tương tác với những bình luận của khách hàng dưới các bài đăng trên trang mạng xã hội chính thức của ngân hàng, đề nghị liên hệ riêng (inbox) nhằm dẫn dụ, lừa đảo lấy thông tin của khách hàng.

Yêu cầu khách hàng cung cấp thông tin cá nhân, thông tin tài khoản, hình ảnh CCCD, hình ảnh khuôn mặt,... để được hỗ trợ. Thậm chí các đối tượng còn yêu cầu cuộc gọi video để thu thập thêm giọng nói, cử chỉ.

Đề nghị khách hàng truy cập vào đường link lạ để tải và cài đặt ứng dụng hỗ trợ thu thập sinh trắc học trên điện thoại. Những ứng dụng/phần mềm chứa mã độc này có giao diện, hình ảnh gần tương tự với ứng dụng chính thống của Bộ Công an, cơ quan quản lý nhà nước hay các tổ chức tín dụng.

Khi nạn nhân tải về các phần mềm, chúng sẽ dễ dàng theo dõi các thao tác mà nạn nhân thực hiện trên thiết bị, từ đó khai thác sâu hơn các thông tin quan trọng.

Sau khi lấy được thông tin của khách hàng, đối tượng lừa đảo sẽ tiến hành chiếm đoạt tiền trong tài khoản ngân hàng của khách.

Bên cạnh hình thức lừa đảo hỗ trợ cập nhật sinh trắc học đang rộ lên những ngày gần đây, các chuyên gia của Bkav cũng cảnh báo nguy cơ lừa đảo deepfake (công nghệ sử dụng trí tuệ nhân tạo để tạo ra các hình ảnh, video hoặc âm thanh giả có thể bắt chước hoàn hảo giọng nói và ngoại hình của một cá nhân) trong giao dịch ngân hàng.

Theo đó, những kẻ xấu có thể lạm dụng công nghệ này để lừa đảo người dùng, thực hiện các giao dịch tài chính trái phép. Theo BkAV, dù các biện pháp xác thực sinh trắc học như nhận diện khuôn mặt, vân tay hay giọng nói đang được áp dụng rộng rãi nhằm đảm bảo an toàn cho các giao dịch, deepfake vẫn có thể lách qua những biện pháp bảo mật này.

Theo Bộ Công an, ngay khi Việt Nam triển khai chính sách mới, sự kiện mới, một số đối tượng ở nước ngoài đã liên hệ với các cá nhân ở Việt Nam để nhanh chóng triển khai phương thức lừa đảo, giả danh nhân viên ngân hàng thực hiện hỗ trợ cập nhật sinh trắc học cho người dân.

Ông Phạm Tiến Dũng, Phó Thống đốc NHNN, cho biết yêu cầu giao dịch trên 10 triệu đồng phải xác thực khuôn mặt là thêm một bước bảo vệ để bảo đảm người chuyển tiền là chính chủ. Nhưng tất cả giải pháp đều không có gì là an toàn tuyệt đối bởi tội phạm sẽ luôn tìm ra các thủ đoạn chống phá. Do đó, NHNN yêu cầu các ngân hàng liên tục nâng cấp ứng dụng mobile banking để có thể đối phó với các thủ đoạn mới, bảo đảm an ninh an toàn cho người dùng.

Trung tá Triệu Mạnh Tùng - Phó Cục trưởng Cục An ninh mạng và phòng chống tội phạm sử dụng công nghệ cao (A05 - Bộ Công an) - cho biết các ngân hàng đều đầu tư hạ tầng và giải pháp công nghệ để đảm bảo khi xác thực khuôn mặt của khách hàng phải là khuôn mặt thật đang thực hiện giao dịch. Nhưng vẫn có rủi ro như đối tượng lừa đảo sử dụng deepfake để vượt qua biện pháp kỹ thuật khi xác thực sinh trắc học.

Cẩn thận để tránh bị lừa đảo

Để tránh bị lừa đảo trong quá trình cập nhật sinh trắc học, các chuyên gia khuyến cáo người dùng cần hết sức cẩn trọng.

Các ngân hàng khuyến cáo khách hàng chỉ thực hiện đăng ký sinh trắc học theo một trong hai hình thức. Đối với khách hàng đã có CCCD gắn chip và điện thoại hỗ trợ NFC, khách hàng chủ động thực hiện trên ứng dụng ngân hàng số (app chính thức của ngân hàng) từ tính năng “Cập nhật sinh trắc học”. Với khách hàng chưa có CCCD gắn chip hoặc thiết bị của khách hàng không thực hiện được trên ứng dụng ngân hàng trực tuyến, khách hàng trực tiếp đến các điểm giao dịch của ngân hàng để được hỗ trợ.

Mọi hướng dẫn khác với hai hình thức này đều là giả mạo. Ngân hàng không yêu cầu khách hàng cung cấp bất cứ thông tin nào liên quan đến truy cập, mật khẩu, mã xác thực OTP,... để thực hiện đăng ký sinh trắc học.

Các ngân hàng cảnh báo, khách hàng tuyệt đối không cung cấp thông tin cá nhân qua các kênh như gọi điện, nhắn tin SMS, email, phần mềm chat (Zalo, Viber, Facebook messenger,... ). Đồng thời, tuyệt đối không bấm vào link, không cung cấp thông tin bảo mật tài khoản, dịch vụ ngân hàng số (tên đăng nhập, mật khẩu, mã OTP), dịch vụ thẻ (số thẻ, mã OTP), thông tin tài khoản hay bất cứ thông tin bảo mật dịch vụ ngân hàng, thông tin cá nhân nào khác.

Khách hàng không chia sẻ thông tin cá nhân, thông tin dịch vụ ngân hàng, thông tin giao dịch ngân hàng... lên mạng xã hội, tránh bị đối tượng lừa đảo lợi dụng mạo danh ngân hàng/cán bộ ngân hàng liên hệ, yêu cầu được hỗ trợ hoặc yêu cầu cung cấp thông tin nhằm thực hiện các hành vi lừa đảo, gian lận và chiếm đoạt tiền trong tài khoản.

Cơ quan chức năng khuyến cáo người dân đặc biệt cảnh giác khi nhận cuộc gọi thông báo từ "cơ quan chức năng" và yêu cầu cài đặt ứng dụng; chỉ cài đặt ứng dụng được cung cấp bởi các đơn vị phát triển đáng tin cậy từ các chợ ứng dụng App Store (iOS) và CH Play (Android); tuyệt đối không cài đặt ứng dụng qua đường link được gửi qua Zalo, SMS, Viber,… và các phần mềm tin nhắn hoặc qua đường link do người khác hướng dẫn truy cập.

Đồng thời, thực hiện khôi phục cài đặt gốc (reset) đối với điện thoại ngay nếu phát hiện dấu hiệu lạ trên điện thoại (máy chạy chậm, màn hình đen, có thông báo ứng dụng đòi quyền truy cập, xuất hiện app lạ trên điện thoại, máy nóng, nhanh hết pin); cập nhật ứng dụng ngân hàng phiên bản mới nhất và đăng ký sinh trắc học để tăng cường bảo mật.

Theo các chuyên gia, người dùng cần hết sức cẩn trọng khi thực hiện các giao dịch tài chính, ngay cả khi đã áp dụng các biện pháp xác thực sinh trắc học. Người dùng cần thường xuyên kiểm tra lịch sử giao dịch, không chia sẻ thông tin cá nhân và đề cao cảnh giác.

Các ngân hàng cần liên tục cập nhật các giải pháp công nghệ tiên tiến, kết hợp nhiều lớp bảo mật để chống lại các cuộc tấn công Deepfake. Việc nâng cao nhận thức và sự phối hợp chặt chẽ giữa ngân hàng và khách hàng là rất quan trọng để bảo vệ an toàn tài chính trong kỷ nguyên số.