Đối tượng thường giả mạo ngân hàng, ví điện tử, hoặc gửi các đường link có giao diện quen thuộc để lấy cắp thông tin đăng nhập. Không ít khách hàng chỉ vì một lần mất cảnh giác đã bị chiếm đoạt toàn bộ tiền trong tài khoản.

Một cú click mất trắng

N.H (25 tuổi, TP. Hà Nội) vẫn chưa hết hoang mang khi nhớ lại vụ việc vừa xảy ra. Chỉ vì muốn bán lại vài bộ quần áo không mặc tới, chị bị kẻ gian chiếm đoạt gần hết số tiền tiết kiệm trong tài khoản ngân hàng.

“Bình thường tôi chỉ đăng bài lên một số hội nhóm trên mạng xã hội để thanh lý đồ. Một hôm có người nhắn tin, nói là đang ở nước ngoài, thấy bài đăng của tôi nên muốn mua để gửi về cho người thân ở Việt Nam. Người này viết tiếng Việt khá rành, xưng hô lễ phép, nên tôi cũng không nghi ngờ gì”, chị N.H kể.

Sau khi chốt vài món đồ, đối tượng gửi một đường link, nói là “dịch vụ chuyển tiền quốc tế” để người bán xác nhận. Vì giao diện giống hệt website ngân hàng nên chị N.H tin tưởng và đăng nhập, thậm chí nhập cả mã OTP để hoàn tất giao dịch.

“Chỉ vài phút sau, điện thoại báo tin nhắn trừ tiền liên tục. Chưa kịp phản ứng thì tài khoản của tôi đã bị rút gần hết”, chị nghẹn ngào. Ngân hàng cho biết toàn bộ thông tin đăng nhập của chị đã bị kẻ gian chiếm đoạt qua đường link giả mạo.

Một cú click nhầm có thể khiến người dùng mất toàn bộ tiền trong tài khoản.

T.A (24 tuổi, TP.Hà Nội), cử nhân ngành Kinh tế, hiện là nhân viên kinh doanh tại một công ty phân phối phần mềm, cho biết anh mở riêng một tài khoản ngân hàng chỉ để phục vụ công việc. “Khi khách hàng chuyển tiền, tôi sẽ nhận và nộp lại toàn bộ cho công ty. Hôm đó, số tiền phải giao dịch là 100 triệu đồng”, T.A nói.

Trong lúc chờ tiền về, T.A bất ngờ nhận được email khảo sát từ trường đại học cũ. Nội dung yêu cầu cung cấp thông tin cơ bản như họ tên, niên khóa, khoa, lớp… nên anh hoàn toàn không cảnh giác. Sau khi điền xong biểu mẫu, T.A mở ứng dụng ngân hàng để chuyển tiền thì điện thoại bất ngờ tối màn hình gần một phút. Khi sáng trở lại, toàn bộ số dư trong tài khoản đã biến mất.

Câu chuyện của chị H. hay T.A không phải cá biệt. Thống kê của Bộ Công an cho thấy, trong năm 2023, cả nước ghi nhận khoảng 1.500 vụ án lừa đảo trên không gian mạng, với số tiền bị chiếm đoạt ước tính từ 8.000 đến 10.000 tỷ đồng. Sang năm 2024, tình hình thậm chí nghiêm trọng hơn, thiệt hại do lừa đảo trực tuyến được ước tính lên tới gần 18.900 tỷ đồng. 

Báo cáo An ninh mạng của VNPT Cyber Immunity cho thấy, Việt Nam nằm trong top 10 quốc gia bị tấn công mạng nặng nề nhất trong nửa đầu năm 2025. Các lĩnh vực tài chính, ngân hàng, viễn thông, công nghệ và dịch vụ công trở thành mục tiêu chính.

Hơn 70% vụ tấn công xuất phát từ việc tin tặc khai thác tài khoản hệ thống. Các tài khoản bị đánh cắp thông qua kỹ thuật brute-force, mã độc thu thập thông tin, hay các cuộc xâm nhập trực tiếp. Những dữ liệu nhạy cảm bị phát tán làm gia tăng rủi ro, gây ảnh hưởng nghiêm trọng đến tính bảo mật, an toàn thông tin của các tổ chức, doanh nghiệp lẫn cá nhân.

Khách hàng cần trở thành “tường lửa” vững chắc cho tài khoản của mình

Chuyên gia an ninh mạng Hiếu PC nhìn nhận, các vụ chiếm đoạt tài sản qua tin nhắn giả mạo hay link lừa đảo đang tăng mạnh vì tội phạm tận dụng tâm lý tin tưởng và tốc độ giao dịch online. Khi ngân hàng số hóa sâu, tội phạm cũng “số hóa” thủ đoạn, từ giả mạo thương hiệu đến tạo website, app giả tinh vi, khiến người dùng rất dễ sập bẫy.

Điểm yếu lớn nhất nằm ở thói quen bất cẩn của người dùng là click link lạ, tiết lộ OTP hoặc thông tin cá nhân mà không kiểm chứng. Dù đã được cảnh báo, nhưng tâm lý sợ bỏ lỡ (FOMO), tin tưởng vào hình ảnh ngân hàng quen thuộc và giao diện giả mạo khiến người dùng dễ lặp lại sai lầm.

Chuyên gia an ninh mạng Hiếu PC.

Đứng trước thực trạng này, các ngân hàng đã phải chạy đua để tăng cường lớp bảo mật. Nếu trước đây phần lớn khách hàng chỉ dùng SMS-OTP thì nay nhiều ngân hàng đã chuyển sang app-OTP, tức mã được sinh ra ngay trong ứng dụng chính thức, giảm hẳn nguy cơ bị giả mạo. 

Một số ngân hàng còn cung cấp thiết bị token bảo mật cho khách hàng doanh nghiệp hoặc khách hàng có nhu cầu giao dịch lớn. Từ giữa năm 2024, theo yêu cầu của Ngân hàng Nhà nước, nhiều giao dịch trực tuyến giá trị cao đã bắt buộc xác thực bằng sinh trắc học. Người dùng phải quét khuôn mặt hoặc vân tay mới có thể hoàn tất giao dịch, nhằm ngăn kẻ gian lợi dụng việc chỉ có OTP. 

Song song đó, ứng dụng ngân hàng cũng được bổ sung tính năng cảnh báo thông minh: hệ thống ngay lập tức gửi thông báo khi có đăng nhập từ thiết bị lạ, hoặc yêu cầu xác nhận thêm bước nữa nếu giao dịch vượt hạn mức bất thường.

Tuy nhiên, dù công nghệ có hiện đại đến đâu, sự cảnh giác của người dùng vẫn là lớp phòng vệ quan trọng nhất. Người dùng cần thay đổi thói quen, không mở đường link lạ, không cung cấp OTP dưới bất kỳ hình thức nào, chỉ cài ứng dụng từ kho chính thức, và luôn bật xác thực sinh trắc học khi có thể. 

Khi ngân hàng ngày càng siết chặt bảo mật, thì chính mỗi khách hàng cũng phải trở thành “tường lửa” vững chắc cho tài khoản của mình.

Thu Hương