Hàng loạt chiêu thức mới hack tài khoản ngân hàng

• Cảnh báo phương thức lừa đảo mới nhằm chiếm đoạt tài khoản ngân hàng
• Cuối năm, cẩn thận bị lừa tiền qua tài khoản ngân hàng

“Thả con săn sắt, bắt con... cá mập”

Anh Hoàng Phương, nhân viên một tổ chức quốc tế ở Hà Nội cay đắng nhớ lại. Một buổi trưa, anh đang lơ mơ ngủ thì nhận được một tin nhắn báo biến động tài khoản. Ngân hàng thông báo anh vừa nhận được một khoản tiền 200.000 đồng. Ban đầu anh không để ý vì số tiền nhỏ và có thể ai đó chuyển nhầm. Song, vài phút sau thì có một nữ giới gọi đến số điện thoại của anh. Cô gái có giọng nói khá dễ thương xưng là nhân viên ngân hàng S., cho biết tài khoản anh có một giao dịch đáng ngờ, đề nghị anh phối hợp xử lý.

Lúc này Phương mới hơi chột dạ, liền làm theo các bước hướng dẫn của cô nhân viên. Ban đầu là truy cập vào một đường link, dẫn đến trang chủ đăng nhập vài khoản và mật khẩu ngân hàng. Cho đến bước gửi xong mật khẩu OTP thì Phương mới cảm thấy có điều gì đó sai sai. Nhưng, không kịp nữa rồi, số tiền mấy chục triệu trong tài khoản đã nhanh chóng bị rút sạch.

Giống anh Phương, một buổi tối chị Mai Lan (giáo viên một trường THCS tại quận Long Biên) thấy tài khoản của mình được cộng 500.000 đồng. 2 phút sau, tài khoản của chị lại tiếp tục nhận được thêm 50.000 đồng kèm một tin nhắn với nội dung chuyển nhầm, mong chị cho xin lại. Vốn trước kia cũng từng chuyển nhầm vài lần, chị Lan liền chuyển lại ngay.

Tin nhắn thông báo tài khoản bị ngưng sử dụng để dụ bị hại truy cập website lừa đảo.

Tuy nhiên, lát sau có một người phụ nữ gọi điện đến nói rằng vài phút trước tài khoản của chị Lan có những giao dịch đáng ngờ, khả năng bị hack. Cô ta cũng đề nghị chị đăng nhập vào tài khoản Internet banking để thực hiện các biện pháp bảo mật. Sau khi bấm vào đường link gửi đến điện thoại, chị Lan thấy giao diện của ngân hàng T. hiện ra liền thực hiện việc đăng nhập tài khoản. Ít phút sau, chị choáng váng khi thấy hàng loạt giao dịch chuyển tiền được thực hiện. Số tiền hàng trăm triệu của chị đã bị đối tượng rút sạch sẽ.

Đại diện Ngân hàng Vietcombank cho biết, thời gian qua ngân hàng nhận được nhiều phản ánh của khách hàng bị lừa đảo chiếm đoạt tài sản bằng nhiều thủ đoạn tinh vi. Một trong đó là sau khi chuyển một khoản tiền nhỏ vào tài khoản khách hàng, các đối tượng lừa đảo sẽ mạo danh ngân hàng/tổ chức chuyển tiền quốc tế gọi điện hoặc gửi tin nhắn hiển thị tên thương hiệu ngân hàng đến số điện thoại khách hàng.

Tội phạm sẽ thông báo rằng khách hàng có một giao dịch chuyển tiền đến bị treo và yêu cầu khách hàng truy cập vào đường dẫn trong tin nhắn để tra soát giao dịch, xác thực thông tin, mở khóa lệnh chuyển tiền...

Khi truy cập vào các trang thông tin mạo danh, khách hàng sẽ được yêu cầu cung cấp tên truy cập, mật khẩu, mã OTP dịch vụ ngân hàng điện tử hoặc cung cấp thông tin thẻ. Từ các thông tin do khách hàng cung cấp, tội phạm sẽ thực hiện hành vi chiếm đoạt tiền trong tài khoản.

Cú chuyển nhầm tai hại

Vào buổi tối một ngày đầu tháng 3-2021, chị Phạm Thị T. (trú tại quận Đống Đa, Hà Nội) trong quá trình thao tác trên ứng dụng ngân hàng S., đã chuyển nhầm 23 triệu đồng cho một tài khoản khác. Chị T. lên mạng Internet đăng bài viết nhờ bạn bè tìm cách lấy lại tiền đã chuyển nhầm. Sau đó chị T. liên hệ với tổng đài của ngân hàng S., thông báo việc chuyển nhầm tiền. Khoảng 15 phút sau, ngân hàng đã thực hiện thủ tục tra soát và tài khoản của chị T. nhận lại số tiền chuyển nhầm.

Bất ngờ, sáng hôm sau, chị T. nhận được một cuộc gọi nói là nhân viên ngân hàng, yêu cầu chị xác nhận đã nhận lại được tiền. Do nghĩ đây là các bước thủ tục cần thiết của ngân hàng trong việc giao dịch nên chị T. đã tin tưởng thực hiện theo. Người này sau đó nói rằng chị T. phải đăng nhập để xác nhận nên đã gửi cho chị T. một tin nhắn có đường link, hướng dẫn chị T, truy cập đăng nhập tài khoản, mật khẩu của chị T và đọc mã OTP cho đối tượng để hoàn tất thủ tục. Do nghĩ tiền đã về tài khoản nên chị T. hoàn toàn không mảy may nghi ngờ.

Ngay sau đó, chị T. tá hỏa khi phát hiện tài khoản ngân hàng “bay” mất 200 triệu đồng. Biết “sập bẫy” lừa của các đối tượng, chị T. đến Công an quận Đống Đa trình báo...

Một tin nhắn brandname giả mạo.

Tiếp nhận tin báo, chỉ huy Công an quận Đống Đa chỉ đạo Đội Điều tra tổng hợp phối hợp với các đơn vị liên quan tiến hành xác lập chuyên án đấu tranh, truy bắt đối tượng gây án. Đến cuối tháng 3-2021, bằng các biện pháp nghiệp vụ và tài liệu chứng cứ thu thập được, ban chuyên án đã làm rõ và bắt giữ nhóm đối tượng đã thực hiện hành vi chiếm đoạt tài sản của chị T. gồm: Trương Huy Cường (SN 1993), Lê Minh Hoàng (SN 1998) và Lưu Quốc Toàn (SN 1987, cùng trú tại tỉnh Quảng Nam).

Để thực hiện hành vi phạm tội, Lê Minh Hoàng lên mạng Internet mua tên miền và lập trang web http://bom... Sau đó, Hoàng lập trình thành trang web có giao diện giống giao diện của ngân hàng S., có ô để người bị hại điền tên đăng nhập và mật khẩu, đồng thời lập một tài khoản email được đăng nhập đồng thời 3 điện thoại của Lê Minh Hoàng, Trương Huy Cường và Lưu Quốc Toàn để cả ba quản lý.

Ngày 8-3-2021, Cường sử dụng Facebook tìm kiếm từ khóa “ck nhầm” thì thấy bài viết của chị T. đăng về bị chuyển khoản nhầm. Cường tìm và xác định số điện thoại của chị T. Đến sáng 9-3, Cường đã gọi cho chị T., giả danh là cán bộ của ngân hàng S., trao đổi về việc chuyển nhầm tiền và đề nghị chị T. cho Cường làm thủ tục tra soát giao dịch. Cường gửi tin nhắn có chứa đường link ngân hàng giả, yêu cầu chị T. đăng nhập và cung cấp mật khẩu.

Khi “con mồi” đã sập bẫy, Cường nhanh chóng đăng nhập Internet banking của chị T thì mừng húm khi thấy trong tài khoản có đến 700 triệu đồng. Tuy nhiên, hạn mức giao dịch chỉ là 200 triệu đồng/lần nên đã đặt lệnh chuyển 200 triệu đồng của nạn nhân. Sau đó, đối tượng tiếp tục liên lạc yêu cầu chị T. đọc mã OTP gửi về điện thoại. Lúc này chị T. không hề nghi ngờ nên đã đọc mã OTP cho đối tượng. Ngay lập tức, 200 triệu đồng trong tài khoản chị T. “không cánh mà bay”.

Sau khi chiếm đoạt được 200 triệu đồng, Cường thông báo với Toàn để “rửa tiền”. Các đối tượng sử dụng tiền thật để mua tiền “ảo” trong game, sau đó thao tác đổi từ tiền “ảo” trong game ra tiền thật với phí giao dịch là 20%, tài khoản của Toàn nhận về số tiền khoảng 160 triệu đồng, chia cho các đối tượng tiêu xài cá nhân.

Cao thủ brandname “fake”

Bên cạnh thủ đoạn trên, thời gian gần đây đã xuất hiện thủ đoạn mới, các đối tượng tấn công vào hệ thống gửi tin nhắn của ngân hàng để lừa đảo.

Đầu tháng 4-2021, anh Dương Văn K đến chi nhánh ngân hàng V. nộp vào tài khoản của mình 2 triệu đồng và được tin nhắn thông báo biến động số dư của ngân hàng V. thông báo tài khoản có thêm 2 triệu đồng.

Tuy nhiên, trên đường về nhà, anh được thêm một tin nhắn với nội dung: “V. tran trong thong bao, tai khoan cua quy khach hien tai da bi khoa. Dang nhap www.v...com de xac thuc ngay hom nay”. Đáng chú ý tin nhắn này nằm trong thông báo biến động số dư của ngân hàng V...

Nhóm đối tượng hack tài khoản chiếm đoạt 200 triệu đồng của chị T. bị Công an quận Đống Đa bắt giữ. Từ trái qua: Trương Huy Cường, Lê Minh Hoàng và Lưu Quốc Toàn.

Ngỡ rằng mình đang có nguy cơ bị chiếm đoạt tài khoản, anh K. đã nhấp vào đường link. Tại đường link này có logo của ngân hàng V. và anh K. đã thao tác theo các bước họ yêu cầu rồi mã OTP báo về điện thoại. Mã OTP cũng nằm trong sms banking, thông báo biến động số dư của ngân hàng V. nên anh K. vững dạ chuyển đi. Tuy nhiên, chỉ ít phút sau, tài khoản của anh đã bị rút hàng chục triệu đồng. Anh K. rất hoang mang, đã phản hồi lại ngân hàng V. đề nghị giải thích về việc tin nhắn lừa đảo lại nằm cùng với những tin nhắn mà trước đó ngân hàng gửi cho anh.

Theo ông Nguyễn Tử Quảng, Giám đốc điều hành Tập đoàn Bkav, sở dĩ các đối tượng có thể mạo danh Brandname ngân hàng hay bất kì đơn vị nào mà chúng mong muốn, là bởi chúng có một trạm phát sóng BTS giả.

Trạm này khi được kích hoạt cùng với một số thiết bị chuyên dụng, có thể phát ra sóng để đánh lừa các điện thoại xung quanh trong khu vực, rằng nó mới chính là trạm phát sóng của nhà mạng. Cùng với đó, hacker có thể dễ dàng mạo danh hệ thống để gửi tin nhắn lừa đảo tới người dùng theo nội dung và chức danh mà chúng mong muốn. “Khi điện thoại bị đánh lừa, đối tượng sẽ cho phát tin nhắn với Brandname tùy ý. Trong trường hợp gần đây là tên của các ngân hàng”, ông Quảng cho biết.

Đại diện Cục An toàn thông tin (Bộ Thông tin và Truyền thông) cũng cho biết các tin nhắn mạo danh này không xuất phát từ hệ thống của các tổ chức tài chính, ngân hàng và doanh nghiệp viễn thông mà được phát tán thông qua các thiết bị phát sóng di động giả mạo. Đây là các thiết bị có nguồn gốc từ nước ngoài, được các đối tượng mua bán, sử dụng trái phép nhằm mục đích thực hiện các cuộc tấn công phát tán tin nhắn rác lừa đảo người dùng, đặc biệt là người dùng tại các khu vực đô thị.

Vì thế, cơ quan chức năng khuyến cáo người dân khi tiến hành giao dịch online cần nâng cao cảnh giác. Khi phát hiện thấy tài khoản có sự bất thường hoặc chuyển nhầm, nhận nhầm thì  liên hệ trực tiếp với ngân hàng để giải quyết, không nên mang lên mạng để hỏi han, đồng thời không gửi mật khẩu OTP cho bất kỳ cá nhân nào yêu cầu. Hiện tại hầu hết các ngân hàng đều sử dụng phương thức Smart OTP, xác thực bằng sinh trắc học..., khách hàng cũng nên chuyển sang hình thức này, hạn chế sử dụng việc nhận mật khẩu OTP qua SMS để tránh bị lừa đảo...