Thực tế thời gian qua có rất nhiều các tổ chức tài chính, ngân hàng liên tục đưa ra những cảnh báo về việc đối tượng mạo danh ngân hàng, tiếp cận thông tin bảo mật, đánh cắp tiền trong tài khoản của khách hàng thông qua việc gửi các tin nhắn SMS có đường link giả mạo, các phương thức mời chào rút tiền từ thẻ tín dụng... Và đã có không ít khách hàng bị lừa bởi những thủ đoạn hết sức tinh vi.

TỘI PHẠM LUÔN LỢI DỤNG LÒNG THAM VÀ NỖI SỢ HÃI CỦA NGƯỜI DÙNG

Hiệp hội An toàn thông tin Việt Nam (VNISA) thừa nhận rằng có rất nhiều các kịch bản lừa đảo, đa dạng và thay đổi liên tục theo thời gian. Tuy nhiên, cái gốc rễ vấn đề là đánh vào lòng tham và sự sợ hãi. Trong đó, câu chuyện lừa đảo đánh vào lòng tham là nguyên nhân chính của những cuộc tấn công. 

Đặc biệt tinh vi hơn, kẻ xấu còn hack tài khoản của người khác sau đó gửi tin nhắn quảng cáo tới danh sách bạn bè của người đó để trục lợi. Thực tế, không hiếm trường hợp người dùng được bạn bè, người thân hỏi xác nhận thông tin mới phát hiện tài khoản của mình đã bị đánh cắp để phát tán thông tin giả mạo.

Ví dụ phổ biến cho thấy sự biến tướng của trò lừa đảo này là hình thức trúng thưởng. Chẳng hạn, nhân dịp kỷ niệm thành lập của một ngân hàng ABC nào đó, kẻ xấu gọi điện cho khách hàng thông báo trúng thưởng xe máy ở Đà Nẵng và đưa ra 2 sự lựa chọn. Một, khách hàng đi Đà Nẵng nhận xe và không mất phí. Hai, yêu cầu khách hàng chuyển khoản 2 triệu đồng để được giao xe tận nhà.

Và cũng đúng thời điểm này, ngân hàng ABC đang kỷ niệm thành lập. Rõ ràng, bọn tội phạm mạng đã tìm hiểu dễ dàng những thông tin này, những sự kiện đang hot trên thực tế để tạo sự tin tưởng cho người dùng… Đấy là những câu chuyện đánh vào lòng tham người dùng.

Trên thực tế, đã từng hỗ trợ một tình huống, rằng kẻ lừa đảo thông báo cho khách hàng vướng về mặt pháp lý và đề nghị chuyển tiền để giải quyết. Thậm chí, bọn chúng còn dùng ứng dụng cho phép gọi video-conference với nạn nhân và tạo hiện trường giả. Chẳng hạn, nạn nhân sẽ được nhìn thấy một phòng làm việc có người mặc quần áo quân phục, ngồi làm việc bình thường, nói chuyện bình thường… để tạo sự sợ hãi và nạn nhân tin là mình đang vướng vào vấn đề pháp lý thật sự. Tất nhiên tất cả những người đó đều giả mạo, mặc quần áo giả mạo. Tuy nhiên, người dùng cảm thấy sợ hãi và nó luôn có những kịch bản, thay đổi các hình thức lừa đảo.

NÂNG CAO NHẬN THỨC NGƯỜI DÙNG 

Thời gian gần đây, tội phạm mạng không ít lần gửi các tin nhắn SMS giả mạo khuyến cáo người dùng: tài khoản ngân hàng, tài khoản giao dịch chứng khoán của anh/chị đang tấn công và yêu cầu click vào đường link của trang web giả mạo ngân hàng, công ty chứng khoán (website có tên miền khá giống và giao diện y chang) để khóa tài khoản, đổi mật khẩu… 

Trước những yêu cầu này, hàng loạt ngân hàng, tổ chức tài chính và công ty chứng khoán đã liên tục thông báo đến khách hàng của mình qua email, SMS và khẳng định: ngân hàng, công ty chứng khoán không yêu cầu khách hàng truy cập vào bất cứ đường dẫn website nào để thay đổi hay cung cấp mật khẩu. Đồng thời, khuyến cáo các khách hàng không nên cung cấp mật khẩu, mã OTP cho bất cứ ai.

Thông qua các câu chuyện cảnh báo thời gian qua, các chuyên gia cho rằng điều quan trọng nhất là nhận thức của người dùng. Các tổ chức tài chính, ngân hàng cần có nhiều biện pháp tăng cường nâng cao nhận thức người dùng, bảo vệ khách hàng và cũng chính là bảo vệ hình ảnh doanh nghiệp, uy tín của ngân hàng…

Có một nguyên tắc “không có gì là miễn phí; không có gì là dễ dàng”. Người sử dụng chỉ cần trang bị những kỹ năng rèn luyện trên thực tế, dần dần nâng cao kỹ năng và nhận thức của mình để tạo sự an toàn cho chính bản thân mình, gia đình và bạn bè.

Rõ ràng, tội phạm mạng với thủ đoạn mạo danh các tổ chức tài chính, ngân hàng để lừa đảo nhằm chiếm đoạt tài sản, gây ra những thiệt hại và hệ lụy không nhỏ cho người tiêu dùng, làm ảnh hưởng đến thương hiệu của nhiều tổ chức tài chính, ngân hàng.

NHỮNG THIỆT HẠI KHÓ ĐO ĐẾM 

Để đánh giá về những thiệt hại mà tội phạm mạng đang gây ra cho người dùng từ các hình thức lừa đảo mạo danh trong thời gian qua, các chuyên gia cho rằng rất khó đo đếm được người dùng cá nhân bị mất bao nhiêu tiền. Tuy nhiên, có một điều chắc chắn là số lượng các cuộc tấn công ngày càng tăng và hình thức người dùng bị dẫn dụ ngày càng tinh vi hơn. 

Dẫn chứng số liệu ước chừng của một hãng bảo mật, đối với một cuộc tấn công mạng thì tổng thiệt hại rơi vào tầm 1-2 triệu USD/cuộc tấn công. Thời gian qua, Công ty cổ phần An ninh mạng Việt Nam (VSEC) đã phát triển công cụ nâng cao ý thức người dùng trong doanh nghiệp. Cụ thể, công cụ này giúp người quản trị có thể tự động tạo ra trang web lừa đảo và đo lường mức độ phản ứng của nhân viên trước hình thức lừa đảo đó. Thống kê cho thấy, tấn công lừa đảo qua email chiếm nhiều nhất, tăng 1,2 lần mỗi năm.

Rất khó đo lường, tính toán thiệt hại cho một vụ lừa đảo. Lừa đảo ảnh hưởng đến thiệt hại người dùng nếu họ có trình báo thì ghi nhận được. Còn lừa đảo gây thiệt hại cho tổ chức tài chính, ngân hàng đa phần liên quan đến kỹ thuật. Nó gây ra rất nhiều hệ lụy, dẫn dắt nhiều cái thực thi phía sau như lây nhiễm mã độc, các mã độc này sau đó tiếp tục lây nhiễm và tấn công. 

Các hình thức tấn công hiện nay chủ yếu nhằm vào các tổ chức, chính phủ, ngân hàng nhiều hơn (tấn công có chủ đích APT), tấn công vào các cá nhân (đặc biệt trẻ em và người lớn tuổi). Khi bị tấn công, người dùng cần liên hệ các đơn vị hỗ trợ như Trung tâm Ứng cứu khẩn cấp không gian mạng Việt Nam (VNCERT/CC, Bộ Thông tin và Truyền thông) hay Phòng An ninh mạng và Phòng chống tội phạm sử dụng công nghệ cao (PA05).

Số liệu từ Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (Bộ Công an) cho thấy có khoảng 4.000 vụ việc liên quan đến tấn công an ninh mạng, trong đó có lĩnh vực ngân hàng như khách hàng bị lừa mất tiền qua tài khoản do bị lừa đảo, kẻ gian mạo danh nhân viên ngân hàng hoặc gửi link giả mạo ngân hàng… Tổng thiệt hại của những vụ tấn công trên khoảng 100 tỷ đồng, trong đó vụ một ngân hàng bị hacker tấn công có chủ đích gây thiệt hại 44 tỷ đồng. Tuy nhiên, con số 100 tỷ đồng đó mới chỉ được ghi nhận và xử lý còn những sự vụ khi xảy ra tấn công nhưng người dùng ít biết thông tin trình báo để xử lý.