Ảnh minh họa. Nguồn NDTV

Thủ đoạn mới: vượt qua lớp bảo mật OTP/PIN

Theo trang NDTV của Ấn Độ, nhiều nạn nhân nhận được tin nhắn giả mạo từ ngân hàng hoặc sàn thương mại điện tử, kèm đường link “xác nhận giao dịch” hoặc “nhận quà tặng”. Khi bấm vào, thiết bị tự động cài phần mềm độc hại, cho phép kẻ gian truy cập ứng dụng ngân hàng và thực hiện giao dịch trái phép.

Đặc biệt, thủ đoạn này không cần người dùng để lộ OTP hay PIN. Phần mềm độc hại hoặc kỹ thuật chuyển tiếp cuộc gọi sẽ giúp hacker lấy được thông tin xác thực, từ đó rút tiền trực tiếp trong tài khoản.

Một phụ nữ 26 tuổi tại New Delhi (Ấn Độ) sau khi mua laptop trên sàn thương mại điện tử nhận được SMS thông báo “trúng phiếu quà tặng” kèm đường link yêu cầu điền thông tin, bao gồm dữ liệu ngân hàng. Cô phát hiện dấu hiệu bất thường của tin nhắn, không bấm vào liên kết và nhờ đó tránh được vụ lừa đảo có thể khiến tài khoản bị rút sạch trong tích tắc.

Trong một vụ khác, một cảnh sát Ấn Độ đã mất số tiền lớn sau khi cài đặt ứng dụng ngân hàng giả mạo được gửi qua tin nhắn. Ứng dụng này chứa tệp APK/RAT, cho phép hacker kiểm soát thiết bị, truy cập ví điện tử và thực hiện rút tiền trái phép. Trường hợp này cho thấy mức độ nguy hiểm của việc cài phần mềm không rõ nguồn gốc và hậu quả pháp lý, khi thiết bị đã bị chiếm quyền, nạn nhân vừa mất tài sản vừa gặp khó khăn trong việc thu thập chứng cứ ban đầu.

Chỉ với một tin nhắn chứa liên kết giả mạo, nếu người dùng sơ ý bấm vào, toàn bộ tiền trong tài khoản sẽ bị chiếm đoạt ngay lập tức. Cụ thể, các đối tượng lừa đảo thường thu thập dữ liệu cá nhân từ những nơi người dùng từng để lại số điện thoại. Sau đó, chúng dựa vào thói quen mua sắm để soạn tin nhắn “trúng thưởng” hay “khuyến mãi” đánh đúng tâm lý. Một khi nạn nhân nhấp vào liên kết trong tin nhắn, phần mềm độc hại lập tức kích hoạt và rút tiền khỏi tài khoản mà không cần OTP.

Ba thủ đoạn nguy hiểm được ghi nhận

Thứ nhất, “phishing link” chứa phần mềm độc hại. Khi nạn nhân cài đặt ứng dụng giả mạo (APK) hoặc click vào liên kết độc hại, mã RAT (Remote Access Trojan) có thể được kích hoạt, cho phép hacker điều khiển từ xa điện thoại, truy cập ví điện tử, ứng dụng ngân hàng và dữ liệu cá nhân.

Thứ hai, “ghép cuộc gọi” (call merging). Kẻ gian giả danh người quen, mời nạn nhân tham gia sự kiện; đồng thời, một cuộc gọi khác từ số lạ xuất hiện và chúng đề nghị “ghép” hai cuộc gọi. Khi hợp nhất, kẻ xấu có thể nghe lén để lấy mã OTP gửi qua điện thoại và dùng mã đó để chiếm đoạt tài khoản ngân hàng và quyền truy cập vào mạng xã hội hay các dịch vụ khác.

Thứ ba, chuyển hướng cuộc gọi (call forwarding). Nạn nhân được hướng dẫn thực hiện một dãy thao tác hoặc quay một mã đặc biệt (ví dụ mã 21 + số điện thoại #), vô tình kích hoạt chức năng chuyển tiếp toàn bộ cuộc gọi, bao gồm cả mã OTP sang máy kẻ phạm tội.

Những thủ thuật này trực tiếp vượt qua cơ chế xác thực đa lớp vốn được coi là “hàng rào cuối cùng” bảo vệ tài khoản.

Những nguyên tắc người dùng  phải tuân thủ để tự bảo vệ

Người dùng cần tuân thủ những nguyên tắc tối thiểu: tuyệt đối không bấm vào link lạ; chỉ cài ứng dụng từ kho chính thức; không cung cấp OTP, PIN qua điện thoại hay tin nhắn; kiểm tra và hủy chức năng chuyển tiếp cuộc gọi; khi nghi ngờ bị lừa đảo, cần  khóa tài khoản, lưu giữ chứng cứ và thông báo cho ngân hàng cùng cơ quan công an.

Thủ đoạn chiếm đoạt tài khoản mà không cần OTP/PIN là sự kết hợp tinh vi giữa lỗ hổng kỹ thuật và thao túng tâm lý. Bảo vệ người tiêu dùng đòi hỏi giải pháp đa tầng: nâng cấp kỹ thuật bảo mật của các tổ chức tài chính, hoàn thiện khung pháp lý bảo vệ nạn nhân và nâng cao nhận thức kỹ năng số cộng đồng. Chỉ khi công nghệ, luật pháp và nhận thức đi cùng nhau, người dùng mới có thể an toàn trước mối hiểm họa ngày càng tinh vi này.

An Lâm