Bảo vệ tài khoản ngân hàng, ngăn lừa đảo: Ngăn app dịch vụ công dỏm trộm tiền

[Tuổi trẻ] Từ chỗ gửi link qua tin nhắn SMS giả danh ngân hàng, mạo danh tòa án và công an, gần đây nở rộ hình thức lừa đảo mới là lạm dụng quyền trợ năng (accessibility) trên một số ứng dụng cài đặt trên điện thoại.

App giả mạo Cục Thuế TP.HCM để lừa đảo
App giả mạo Cục Thuế TP.HCM để lừa đảo

Cách gài bẫy phổ biến là giả danh lực lượng chức năng gọi hướng dẫn cài đặt, kích hoạt tài khoản định danh điện tử mức 2 (VNeid) hoặc app (ứng dụng) của Tổng cục Thuế…

Từ đó, tội phạm đánh cắp thông tin đăng nhập, mật khẩu, mã PIN, OTP, chiếm quyền điều khiển từ xa để lấy cắp tiền trong tài khoản.

Mạo danh app VNeid, app Tổng cục Thuế

Cuối tháng 8 vừa qua, Phòng an ninh mạng Công an tỉnh Đồng Tháp đã thông tin vụ việc người dân báo mất 1 tỉ đồng do bị kẻ lừa đảo giả danh Công an huyện Hồng Ngự gọi đến để hướng dẫn cài đặt, kích hoạt tài khoản định danh điện tử mức 2.

Ông này được yêu cầu truy cập vào một đường link lạ để tải ứng dụng. Sau cài đặt ứng dụng tên AN NINH MẠNG, có logo của Cục An toàn thông tin và thực hiện các thao tác theo hướng dẫn, ông phát hiện tài khoản ngân hàng đã bị mất số tiền lớn nên đã trình báo công an.

Trên thực tế, ông đã sa vào bẫy tải app giả mạo chứa mã độc có thể thu thập thông tin cá nhân, thông tin tài khoản ngân hàng, yêu cầu cấp quyền truy cập và từ đó kẻ xấu điều khiển từ xa, truy cập dữ liệu cá nhân và đọc được cả tin nhắn.

Khi kiểm soát được tài khoản ngân hàng và tin nhắn chứa mã OTP, chúng dễ dàng chuyển tiền đến tài khoản khác để chiếm đoạt.

Cuối tháng 7 vừa qua, Công an TP Hà Nội cũng phát thông tin cảnh báo về việc xuất hiện các phần mềm giả mạo ứng dụng của cơ quan thuế nhằm lấy cắp thông tin cá nhân, chiếm đoạt tài sản…

Người dân đã trình báo có kẻ giả danh là cán bộ chi cục thuế gọi điện, gửi đường link và hướng dẫn truy cập để cài đặt phần mềm nộp thuế. Làm theo, người trình báo nhanh chóng phát hiện tài khoản ngân hàng bị mất hơn 400 triệu đồng.

“Người dân không cho phép bất kỳ cá nhân nào truy cập trực tiếp vào máy tính, điện thoại của mình để hỗ trợ cài đặt, sử dụng phần mềm của cơ quan thuế.

Người dân khi cài đặt các ứng dụng cần kiểm tra kỹ thông tin về ứng dụng, quyền truy cập và các tính năng của ứng dụng trước khi tải về và cài đặt; tránh cài đặt ứng dụng yêu cầu cấp quyền, truy cập tệp tin, truy cập tin nhắn, điều khiển màn hình…”, Phòng an ninh mạng và phòng chống tội phạm sử dụng công nghệ cao Công an TP Hà Nội khuyến cáo.

Giao diện ứng dụng giả mạo để lừa đảo
Giao diện ứng dụng giả mạo để lừa đảo

Cẩn thận quyền trợ năng trên điện thoại

Ông Nguyễn Trần Nam – giám đốc khối ngân hàng số Ngân hàng Á Châu (ACB) – cho hay những khách hàng dùng app ngân hàng nói chung trên hệ điều hành Android (chưa ghi nhận trên hệ điều hành IOS) đang có nguy cơ bị theo dõi hành vi sử dụng điện thoại, bao gồm việc sử dụng mobile banking app và chiếm quyền điều khiển từ xa.

Theo đó, hacker điều khiển điện thoại thao tác mà người dùng không hay biết, từ đó đánh cắp thông tin đăng nhập, mật khẩu, mã PIN, OTP để chiếm đoạt tiền trong tài khoản.

Có một số ngân hàng đã báo cáo nhiều khách hàng bị mất tiền trong tài khoản, bắt đầu từ khoảng tháng 5 nhưng rộ lên thời gian gần đây.

Theo đại diện ACB, kết hợp với thông tin từ ngân hàng bạn và Cơ quan cảnh sát điều tra thuộc A05 thì đối tượng lợi dụng một quyền trong hệ điều hành Android gọi là “accessibility” – tạm dịch là quyền trợ năng.

Quyền này được tạo ra nhằm mục đích hỗ trợ các khách hàng yếu thế như người già, khuyết tật, giới hạn chức năng như mắt mờ, tai nghe không rõ… sử dụng điện thoại thuận tiện hơn.

Tuy nhiên, hacker lợi dụng quyền này để thực hiện “record” – theo dõi hành vi người dùng và “remote” – điều khiển từ xa điện thoại của khách hàng.

Thủ đoạn là hacker dẫn dụ khách hàng nhấp vào đường link hoặc tải app giả mạo của các cơ quan như thuế, điện lực, tìm việc làm hoặc game giải trí… có chứa mã độc. App này sẽ xin quyền “accessibility” và khách hàng nếu không cẩn thận sẽ bấm “accept”, cấp quyền này cho app.

Kể từ đó, app giả mạo sẽ tiến hành theo dõi để thu thập thông tin đăng nhập của khách hàng mỗi lần khách hàng sử dụng app ngân hàng.

Sau khi có đủ thông tin, hacker sẽ đợi khi tài khoản khách hàng có nhiều tiền hoặc khi đêm khuya, khách hàng không để ý điện thoại để tiến hành remote vào điện thoại của khách hàng để chuyển tiền, chiếm đoạt.

Theo đại diện ACB, đại đa số vụ việc mất tiền là do lừa đảo, không phải do xâm nhập hệ thống ngân hàng.

Tiền bị lừa đảo thường khó thu hồi ngay cả khi bắt được đối tượng vì được chuyển đi ngay qua nhiều tài khoản hoặc được “rửa” qua một hệ thống phức tạp bằng cách chuyển đổi thành thẻ cào, tiền kỹ thuật số, hoặc nạp vào các tài khoản cá độ, chơi game bất hợp pháp.

Khách hàng rất khó có thể yêu cầu ngân hàng đền bù thiệt hại cho các giao dịch được xác thực bởi đầy đủ thông tin đăng nhập và mã OTP xác thực và trên cùng thiết bị mà khách hàng đang sử dụng cho các giao dịch bình thường khác.

Do đó, hệ thống ngân hàng xác nhận đây là các giao dịch hợp lệ và đã thực hiện như các giao dịch khác do chủ tài khoản thực hiện, đúng theo quy định cung cấp và sử dụng dịch vụ ngân hàng điện tử giữa khách hàng và ngân hàng.

Vì vậy, ngân hàng chỉ có thể phối hợp với cơ quan phòng chống tội phạm công nghệ cao, cơ quan công an và điều tra để hỗ trợ khách hàng trong việc cung cấp thông tin nhanh nhất và đầy đủ để cơ quan chức năng với đủ thẩm quyền và nguồn lực chuyên ngành để thực hiện các công tác điều tra và xử lý. Các ngân hàng và khách hàng đều phải đợi kết quả điều tra từ cơ quan chức năng.

“Khách hàng cần phải cảnh giác, hiểu rõ quyền và trách nhiệm của mình khi giao dịch ngân hàng, đặc biệt là trên không gian mạng; nâng cao nhận thức về các thủ đoạn mới, được truyền thông liên tục trên báo đài và từ các ngân hàng, để cảnh giác hơn trước đối tượng lừa đảo”, đại diện ACB khuyến cáo.

Dữ liệu: L.Thanh - Đồ họa: N.KH.
Dữ liệu: L.Thanh – Đồ họa: N.KH.

Ngăn nạn giả mạo giấy tờ khi giao dịch với ngân hàng

Đại diện HDBank cho biết đang đẩy mạnh các biện pháp ngăn chặn giả mạo giấy tờ tùy thân ngay từ bước đầu: luôn đảm bảo tuân thủ đúng và đầy đủ các quy định pháp luật, các văn bản do Ngân hàng Nhà nước ban hành về việc hướng dẫn nghiệp vụ mở và sử dụng tài khoản thanh toán/thẻ bằng phương thức điện tử. Đồng thời áp dụng công nghệ tốt nhất và được cập nhật liên tục như eKYC, OCR, RPA…

Song song đó, ngân hàng đang thực hiện các biện pháp như thử nghiệm kết nối với Cơ sở dữ liệu quốc gia về dân cư để áp dụng vào các giải pháp định danh khách hàng, xác thực chính xác mọi thông tin chính chủ khi khách hàng muốn mở tài khoản ngân hàng bằng thẻ CCCD gắn chip.

Bên cạnh đó là xây dựng bộ lọc thông minh để phát hiện các trường hợp giả mạo, hạn chế thực hiện giao dịch tự động đối với các trường hợp có dấu hiệu đáng ngờ để thực hiện xác minh. Triển khai quy trình hậu kiểm chặt chẽ, dựa trên các tiêu chí nghi vấn rủi ro để đảm bảo loại trừ rủi ro. HDBank cũng liên tục giám sát, nhận dạng tình huống đáng ngờ và cải tiến công nghệ để phòng chống giả mạo, phòng chống gian lận.

Cách kiểm tra trang web giả mạo, lừa đảo

Người dùng có thể kiểm tra một trang web có phải là giả mạo nhằm mục đích lừa đảo, đánh cắp thông tin bằng cách truy cập vào địa chỉ https://soc.gov.vn/check-phishing. Đây là công cụ của Trung tâm Giám sát an toàn không gian mạng quốc gia.

Sau khi truy cập địa chỉ trên, người dùng nhập địa chỉ trang web muốn kiểm tra và nhấn nút “Kiểm tra”. Kết quả xuất hiện có thể không chính xác hoàn toàn nhưng mang có tính chất tham khảo. Website Phishing là website mà kẻ tấn công tạo ra, giả mạo.

Ngoài ra, người dùng còn có thể tự thẩm định bằng cách chú ý đường dẫn giả mạo thường chứa nhiều ký tự vô nghĩa và các chuỗi văn bản bổ sung. Bên cạnh đó, người dùng còn có thể kiểm tra chứng thư số của website, kiểm tra thanh địa chỉ để biết thông tin chi tiết của tổ chức…

Bạn trẻ cài app trên điện thoại - Ảnh: Q.ĐỊNH
Bạn trẻ cài app trên điện thoại – Ảnh: Q.ĐỊNH

Cách tránh bị chiếm quyền điều khiển điện thoại ra sao?

Theo chuyên gia Vũ Ngọc Sơn – Giám đốc Công nghệ, Công ty Công nghệ An ninh mạng Quốc gia Việt Nam (NCS), thông thường mỗi ứng dụng trên điện thoại được hệ điều hành tạo ra một “hộp cát” để thực thi (sandbox). Điều này giúp cho ứng dụng này không đọc được dữ liệu từ ứng dụng khác, không can thiệp được hoạt động của ứng dụng khác.

Tuy nhiên, trong hệ điều hành Android của Google lại có một thiết kế dịch vụ trợ năng (accessibility service) nhằm giúp những người khiếm thị hoặc mất khả năng vận động có thể dùng được smartphone.

Hacker lợi dụng tính năng này, sử dụng accessibility service để lập trình mã độc đọc được nội dung và tương tác được trên các ứng dụng khác. Dù Google đã sớm nhận ra và loại bỏ gần như toàn bộ ứng dụng sử dụng quyền này trên kho ứng dụng chính thống CH Play, nhưng hacker vẫn tìm ra khe hở bằng cách phát tán phần mềm trên mạng, nơi Google không thể can thiệp.

Đó là lý do các phần mềm độc hại không có trên CH Play mà vẫn gây tai họa tại Việt Nam vì chúng được đưa lên các link, tải trực tiếp dưới dạng tập tin .apk.

Đối tượng lừa đảo sẽ cố gắng để người dùng cấp quyền accessibility cho ứng dụng giả mạo. Sau khi được cấp quyền, chúng như chủ điện thoại, điều khiển các ứng dụng ngân hàng, nhập tài khoản, mật khẩu, sau đó là mã OTP để chuyển tiền.

“Hiện các ứng dụng giả mạo chỉ hoạt động trên hệ điều hành Android, đường dẫn tải phần mềm nằm ngoài chợ ứng dụng CH Play. Các điện thoại iPhone hiện tại không cho phép cài từ nguồn bên ngoài chợ ứng dụng Apple Store nên không bị tấn công theo dạng này”, ông Sơn cho biết cách phòng tránh.

Chuyên gia bảo mật khuyến cáo người dùng cần cảnh giác với những yêu cầu cài đặt phần mềm, đặc biệt là phần mềm trên hệ điều hành Android. Người dùng tuyệt đối không cấp quyền accessibility cho dù bất cứ lý do nào. Tất cả các ứng dụng của ngân hàng, thuế hay bất kỳ cơ quan nào khác đều không yêu cầu quyền này.

Với điện thoại Android, người dùng chỉ cài ứng dụng từ CH Play. Với điện thoại iPhone thì chỉ cài từ Apple Store. Tuyệt đối không bấm vào các đường dẫn nhận được qua tin nhắn. Nếu có nghi vấn, cần xác thực lại với cơ quan, tổ chức qua số điện thoại chính thức.

Nguồn: Tuổi trẻ