11:19 05/06/2021

Bùng phát mạo danh ngân hàng để lừa đảo: Nguy cơ từ những đường link rút gọn

Phạm Vinh

An toàn, an ninh mạng trở thành mối quan tâm chính của các nền kinh tế số, nhu cầu cốt lõi để cung cấp một xã hội bền vững và an toàn cho người dùng trực tuyến.

Tung tin giả trên mạng xã hội bị phạt từ 10-20 triệu đồng
Tung tin giả trên mạng xã hội bị phạt từ 10-20 triệu đồng

Thời gian gần đây xuất hiện hiện tượng một số đối tượng lợi dụng các tính năng của mạng xã hội như phát sóng trực tuyến (livestream), chia sẻ hình ảnh, video clip, gửi tin nhắn SMS/email có đường link rút gọn, giả mạo nhằm lấy cắp tiền của người dùng... gây nhiều bức xúc trong cộng đồng.

NGUY CƠ BỊ LỪA TỪ NHỮNG LINK RÚT GỌN

Vào tháng 3/2021, hàng loạt vụ việc mạo danh brandname ngân hàng để lừa đảo, chiếm đoạt tài khoản người dùng đã bùng phát tại Việt Nam. Các ngân hàng sau đó đã phát đi thông báo hướng dẫn người dùng cần cảnh giác với các đường link nhận được qua tin nhắn, kể cả tin nhắn brandname của ngân hàng, trong đó đặc biệt nhấn mạnh người dùng cần chú ý chỉ bấm vào các đường link có chứa tên miền chính thức của ngân hàng. 

Tuy nhiên theo các chuyên gia Bkav, còn một nguy cơ khác dẫn tới người dùng có thể bị lừa đảo chiếm đoạt tài khoản ngân hàng, đến từ việc sử dụng các đường link rút gọn. Khảo sát của Bkav, nhiều ngân hàng tại Việt Nam đang sử dụng đường link rút gọn như Bit.ly để gửi các đường link về các chương trình khuyến mãi, tặng quà cho khách hàng. Bên cạnh đó, một số ngân hàng còn hướng dẫn khách hàng tải phần mềm SmartBanking thông qua các đường link rút gọn.

Việc sử dụng dịch vụ đường link rút gọn tuy giúp các tin nhắn, hướng dẫn của ngân hàng trông ngắn gọn hơn, nhưng kèm với đó lại phát sinh một nguy cơ khác có thể bị lợi dụng để lừa đào. Dưới đây là sơ đồ về nguyên lý của link rút gọn:

Sơ đồ nguyên lý sử dụng link rút gọn
Sơ đồ nguyên lý sử dụng link rút gọn

Ban đầu, người dùng bấm vào link rút gọn do Ngân hàng A gửi, ví dụ Bit.ly/ ChuoiKyTu. Sau đó, thiết bị của người dùng sẽ được kết nối đến Server của nhà cung cấp link rút gọn, ở đây là Server của Bit.ly để ánh xạ từ link rút gọn sang link đầy đủ

Kế đến, thiết bị của người dùng nhận được đường link đầy đủ. Thiết bị của người dùng truy cập server của Ngân hàng A theo đường link đầy đủ đã nhận được.

Theo sơ đồ trên, người dùng đã chủ động bấm, sau đó, các quy trình còn lại được diễn ra tự động. Tuy nhiên, khách hàng khi bấm vào link rút gọn lại chưa biết link này có dẫn tới địa chỉ của ngân hàng hay không vì link đầy đủ chỉ xuất hiện sau đó. Đây chính là nguy cơ dẫn tới có thể bị lừa đảo.

Nếu kẻ xấu cũng chuẩn bị một đường link rút gọn kiểu Bit.ly tương tự, thay đổi các ký tự trong ChuoiKyTu đi thì người dùng rất khó để phân biệt đâu là link thật và đâu là link giả. Từ đó kẻ xấu có thể lừa người dùng truy cập vào các website giả mạo để chiếm đoạt tài khoản ngân hàng.

Bùng phát mạo danh ngân hàng để lừa đảo: Nguy cơ từ những đường link rút gọn - Ảnh 1

Để tránh các nguy cơ bị kẻ xấu lợi dụng, lừa đảo người dùng, các chuyên gia Bkav khuyến cáo ngân hàng hạn chế tối đa việc sử dụng link rút gọn, chỉ nên sử dụng link rút gọn trên website chính thức của ngân hàng. Không gửi link rút gọn theo tin nhắn, sử dụng đường link đầy đủ có tên miền “chính chủ” đã được công bố chính thức.

Đối với người dùng, nếu nhận được đường link rút gọn cần mở trong môi trường cách ly an toàn, sau đó kiểm tra lại kỹ website cuối cùng sau khi trình duyệt hoàn thành việc mở link rút gọn, xem link cuối cùng đó có phải đúng là website chính thức của ngân hàng hay không.

NGĂN CHẶN, LÊN ÁN HÀNH VI TẤN CÔNG MẠNG

Bộ trưởng Bộ Thông tin và Truyền thông Nguyễn Mạnh Hùng mới đây cũng đã ra Chỉ thị 22/CT-BTTTT (ngày 26/5/2021) về tăng cường công tác phòng ngừa, chống vi phạm pháp luật và tội phạm trên mạng Internet. 

Chỉ thị 22 nêu rõ, toàn ngành thông tin và truyền thông cần nhanh chóng phát hiện, kịp thời xử lý các hành vi vi phạm trên mạng; đặc biệt áp dụng công nghệ mới để phát hiện, cảnh báo, ngăn chặn các hành vi tấn công mạng, bảo đảm hệ thống thông tin theo quy định của pháp luật.

Ngoài ra, Bộ trưởng cũng yêu cầu toàn ngành tiếp tục quán triệt, thực hiện triển khai có hiệu quả Chỉ thị 14/CT-TTg (ngày 7/6/2019) của Thủ tướng Chính phủ về tăng cường bảo đảm an toàn, an ninh mạng nhằm cải thiện chỉ số xếp hạng của Việt Nam và Đề án tăng cường hiệu quả công tác phòng ngừa, chống vi phạm pháp luật và tội phạm trên mạng Internet.

Cùng với đó, ngành cũng cần tăng cường thông tin, tuyên truyền, cảnh báo về đặc điểm, dấu hiệu, phương thức, thủ đoạn thực hiện hành vi vi phạm để người dân nhận biết, phòng tránh; nâng cao khả năng phân biệt thông tin chính thức và thông tin không chính thức; có hiểu biết pháp luật khi đăng phát, chia sẻ, lưu trữ, sử dụng thông tin trên mạng Internet; chủ động phòng tránh, không thực hiện hành vi vi phạm pháp luật hoặc tiếp tay cho hành vi vi phạm pháp luật.

Trên cơ sở đó, Cục An toàn thông tin phải áp dụng công nghệ mới, tổ chức tiếp nhận, thu thập, tổng hợp, phân tích, xử lý các phản ánh về thông tin sai phạm trên mạng Internet; triển khai hệ thống cảnh báo, đánh giá tín nhiệm mạng, cổng kiểm soát quốc gia chặn lọc các truy cập thông tin sai phạm từ người dùng, hỗ trợ người dân báo cáo, phản ánh các trang web, mạng xã hội vi phạm pháp luật, lừa đảo trên mạng.

Đồng thời, Tư lệnh ngành Thông tin và Truyền thông cũng yêu cầu các Sở Thông tin và Truyền thông có trách nhiệm tham mưu Ủy ban Nhân dân tỉnh, thành phố chỉ đạo các cơ quan chuyên môn nâng cao trách nhiệm, phối hợp đồng bộ trong việc phòng ngừa, chống vi phạm pháp luật và tội phạm trên mạng Internet; tham mưu chỉ đạo, hướng dẫn các cơ quan báo chí, phát thanh, truyền hình, hệ thống truyền thông cơ sở xây dựng các chương trình thông tin, tuyên truyền về biện pháp phòng, chống vi phạm, tội phạm trên mạng Internet.

Các doanh nghiệp trong ngành triển khai biện pháp kỹ thuật bảo vệ an toàn các hệ thống thông tin nhằm cung cấp các dịch vụ bảo đảm an toàn cho người sử dụng đồng thời phải chủ động thực hiện, phối hợp với các cơ quan có thẩm quyền xác minh, cung cấp thông tin người sử dụng theo quy định của pháp luật; phối hợp ngăn chặn kịp thời thông tin xấu độc, tấn công mạng và các hành vi vi phạm trên mạng Internet.

 

Thận trọng khi chia sẻ trên mạng xã hội

- Không công bố thông tin di chuyển, chẳng hạn kế hoạch du lịch sắp tới, vì thông tin đó tiết lộ việc bạn sẽ vắng nhà trong thời gian này.

- Không tiết lộ quá nhiều thông tin như ngày sinh, nơi làm việc, không đăng địa chỉ nhà hoặc số điện thoại tại bất kỳ diễn đàn công cộng nào.

- Hãy tắt tính năng định vị, không chia sẻ công khai vị trí khi dùng mạng xã hội nếu thật sự không cần thiết. 

- Không tham gia những trò chơi đố vui đôi khi xuất hiện trên mạng xã hội. Tin tặc có thể lợi dụng các câu trả lời công khai này để xâm nhập vào tài khoản.

- Khóa điện thoại bằng mật mã khó đoán.

- Chỉ sử dụng ứng dụng và trò chơi từ các cửa hàng ứng dụng hợp pháp.

- Không bẻ khóa hoặc root điện thoại. Điều đó có thể mở đường cho tin tặc sửa đổi hay cài đặt mã độc.

- Có thể cài một ứng dụng có khả năng xóa từ xa tất cả dữ liệu trên điện thoại, giúp bạn dễ dàng xóa thông tin trong trường hợp điện thoại bị đánh cắp.

- Luôn cập nhật phần mềm và thận trọng khi truy cập vào các liên kết trực tuyến.

Ông Chris Connell, Giám đốc Điều hành

Khu vực châu Á - Thái Bình Dương Kaspersky