Bạn đọc mã xác thực và cảm thấy yên tâm. Nhưng chỉ vài phút sau, tiền trong tài khoản đã biến mất. Ngân hàng từ chối hoàn tiền, với lý do bạn đã vi phạm điều khoản khi tự nguyện cung cấp mã xác thực.

Đây không phải là một trò lừa hiếm gặp hay cá biệt. Nó là một phần của xu hướng ngày càng phổ biến khắp mọi nơi: tội phạm mạng đang kết hợp các chiêu thức số hóa và đời thực theo cách khiến các vụ lừa đảo này thuyết phục hơn, khó ngăn chặn hơn và gây thiệt hại nặng nề hơn.

Mọi thứ bắt đầu từ dữ liệu bị đánh cắp

Những trò lừa đảo này không khởi đầu bằng email giả mạo hay ứng dụng độc hại. Chúng bắt đầu từ dữ liệu – dữ liệu của bạn – bị đánh cắp trong vô số sự cố vi phạm, chẳng hạn như vụ rò rỉ gần đây của hãng hàng không Qantas, nơi thông tin của tới 5,7 triệu khách hàng bị lộ.

Ảnh minh họa

Đôi khi, các dữ liệu cá nhân này được bán qua các bên môi giới dữ liệu thứ ba. Tên, số điện thoại, email, thậm chí cả thông tin thẻ đều thường xuyên bị rò rỉ và giao dịch trên mạng.

Khi đã có thông tin, kẻ lừa đảo bắt đầu hành động. Cuộc gọi bắt chước hoàn hảo một cuộc gọi từ ngân hàng, thậm chí có thể giả số gọi hiển thị. Nạn nhân bị thúc ép với lời lẽ cấp bách để “xác minh danh tính”, thường bằng cách đọc mã OTP – mã mà họ không biết thực ra đang xác nhận một giao dịch gian lận sử dụng chính thông tin thẻ của họ.

Chúng tôi gọi đây là “lừa đảo hội tụ” – nơi mà rò rỉ dữ liệu trực tuyến, thao túng tâm lý và sự lỏng lẻo trong quản lý kết hợp với nhau. Đây là một hình thức kết hợp tinh vi giữa trộm cắp kỹ thuật số và khai thác trong thế giới thực – và nó đang gia tăng.

Tổn hại nghiêm trọng từ những trò lừa đảo

Những trò lừa đảo này không chỉ gây thiệt hại tài chính, mà còn gây tổn hại đến cá nhân. Nhưng điều khiến những vụ lừa đảo đó đáng lo ngại hơn là sự thất bại mang tính hệ thống trong cách đối phó.

Trước hết, nhiều chính sách bảo hiểm gian lận thẻ tín dụng có điều khoản loại trừ nếu khách hàng “tự nguyện” cung cấp thông tin xác thực – bao gồm cả mã OTP – ngay cả khi họ bị lừa hoặc bị ép.

Một nạn nhân mà báo chí tiếp cận đã mất gần 6.000 đô la Australia sau khi một kẻ mạo danh nhân viên ngân hàng khiến họ đọc mã OTP qua điện thoại. Giao dịch được xác nhận bằng mã đó, và ngân hàng từ chối hoàn tiền. Trong phản hồi chính thức, ngân hàng cho rằng việc khách hàng chia sẻ mã OTP đã vi phạm Bộ Quy tắc thanh toán điện tử (epayments code), dù họ bị thao túng để làm vậy. Kết quả là khách hàng phải chịu trách nhiệm và không đủ điều kiện được hoàn trả.

Cảnh sát có thể không giúp

Ngay cả khi tội phạm để lại dấu vết vật lý, việc theo dõi cũng hiếm khi diễn ra. Cảnh sát thường chỉ ghi nhận báo cáo mà không điều tra. Họ không nói thẳng rằng vụ việc “quá nhỏ” hoặc “không đáng điều tra”, nhưng sự thiếu hành động của họ đã cho thấy điều đó – đặc biệt khi điều tra tội phạm mạng thường tiêu tốn nhiều nguồn lực.

Trong nhiều trường hợp, đặc biệt khi tổn thất không lớn, nạn nhân đơn giản bị hướng dẫn làm việc lại với ngân hàng – với giả định rằng ngân hàng sẽ hoàn tiền.

Trong một trường hợp chúng tôi xem xét, thông tin thẻ bị đánh cắp đã được sử dụng trực tiếp tại các cửa hàng lớn ở Australia như Woolworths và Coles – cho thấy thẻ đã bị sao chép và sử dụng vật lý. Các giao dịch này, về lý thuyết, có thể được truy vết qua hình ảnh CCTV tại cửa hàng. Nhưng không có cuộc điều tra nào được tiến hành.

Sự do dự trong việc hành động, ngay cả khi có bằng chứng rõ ràng, gửi đi một thông điệp nguy hiểm: rằng kẻ lừa đảo có thể hành động gần như không bị trừng phạt.

Trong khi đó, các ngân hàng và cơ quan quản lý vẫn chậm cập nhật hệ thống xác minh. Mã xác thực SMS vẫn được sử dụng rộng rãi, dù các chiêu lừa đảo khai thác chúng ngày càng phổ biến. Nạn nhân gần như không có kênh khiếu nại hiệu quả, và các bên môi giới dữ liệu – nguồn tiếp nhiên liệu cho lừa đảo – cũng không bị truy cứu trách nhiệm.

Chúng ta có thể làm gì để tự bảo vệ?

Với mỗi cá nhân, hàng rào phòng ngự đầu tiên rất đơn giản nhưng cực kỳ quan trọng:

• Tuyệt đối không chia sẻ mã OTP hoặc mã bảo mật qua điện thoại, dù người gọi có vẻ đáng tin cậy.
• Nếu nghi ngờ, hãy gác máy và tự gọi lại cho ngân hàng bằng số in trên thẻ.
• Cẩn trọng khi chia sẻ thông tin cá nhân, nhất là trên mạng xã hội hoặc các website không tin cậy. Chỉ cung cấp những gì thực sự cần thiết.

Giải pháp thực sự là thay đổi từ hệ thống

Các ngân hàng và tổ chức cần triển khai hệ thống xác minh danh tính mạnh mẽ hơn, không chỉ dựa vào mã xác thực qua SMS. Cần có sự minh bạch và quản lý chặt chẽ hơn đối với các công ty môi giới dữ liệu.

Điều quan trọng là phải có hành động thực thi pháp luật đối với gian lận mạng – đặc biệt khi có bằng chứng vật lý như giao dịch tại cửa hàng hoặc hình ảnh CCTV.

Ngân hàng cũng cần rà soát lại chính sách và quy trình giao tiếp với khách hàng. Nếu cuộc gọi lừa đảo dễ dàng bắt chước cuộc gọi thật, thì đã đến lúc thay đổi cách thức tiếp cận. Việc giáo dục chủ động hơn, cảnh báo rõ ràng hơn và thiết kế lại quy trình xác minh đều có thể giúp giảm thiểu rủi ro.

Mối nguy thực sự của các vụ lừa đảo hội tụ không chỉ là mất tiền. Đó là mất lòng tin vào ngân hàng, vào hệ thống an ninh, và vào các tổ chức đáng lẽ phải bảo vệ chúng ta.

Và một khi lòng tin đã mất, rất khó để lấy lại.

Nguyễn Yến (theo Conversation)