Sự biến tướng của các "mồi nhử" mang vỏ bọc chính thống

Tại cuộc họp báo mới đây, Thượng tá Hồ Thọ Hải - Phó trưởng Phòng An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (PA05, Công an TP. Hồ Chí Minh), đã chỉ ra ba kịch bản lừa đảo phổ biến mà tội phạm mạng thường triển khai trong dịp Tết Nguyên đán.

Thứ nhất, các đối tượng lợi dụng danh nghĩa của Đảng, Nhà nước hoặc các chương trình an sinh xã hội, “đền ơn đáp nghĩa” để gửi đường link, yêu cầu người dùng tải ứng dụng giả mạo hoặc kích hoạt tập tin độc hại, từ đó chiếm quyền kiểm soát thiết bị hoặc đánh cắp dữ liệu cá nhân.

Thứ hai, kẻ gian giả danh các chương trình tặng quà, khuyến mãi lớn dịp Tết, dẫn dụ người dân truy cập đường link lạ, cung cấp thông tin hoặc thực hiện các giao dịch trực tuyến không rõ nguồn gốc, gây thiệt hại tài chính.

Thứ ba, lợi dụng nhu cầu tăng cao về đặt vé tàu xe, vé máy bay, phòng khách sạn trong kỳ nghỉ lễ, tội phạm sử dụng quảng cáo trên mạng xã hội và công cụ tìm kiếm để dẫn người dùng tới các website giả mạo, yêu cầu chuyển tiền trước khi xác minh dịch vụ.

Các đối tượng đã lợi dụng uy tín của tổ chức và doanh nghiệp để tung chiêu lừa đảo như "thưởng tết, "tri ân khách hàng", "trúng thưởng"...trong dịp cuối năm

Các chuyên gia an ninh mạng nhận định, so với trước đây, các chiêu thức lừa đảo hiện nay được “chính thống hóa” ở mức cao, khi mạo danh ngân hàng, ví điện tử, sàn thương mại điện tử hoặc thương hiệu quen thuộc. Nội dung tin nhắn, email, cuộc gọi với các thông điệp như “thưởng Tết cho khách hàng thân thiết”, “hoàn tiền cuối năm”, “quà tri ân dịp Tết” được thiết kế chuyên nghiệp, sử dụng logo, tên miền và giao diện gần giống hệ thống thật, khiến người dùng rất dễ mất cảnh giác.

Một hình thức đặc biệt phổ biến là giả mạo “lì xì điện tử” hoặc “quà Tết từ ngân hàng”. Các đường link yêu cầu “xác thực để nhận thưởng” thực chất dẫn tới website giả mạo, nhằm thu thập thông tin đăng nhập, dữ liệu cá nhân và đặc biệt là mã OTP - lớp xác thực cuối cùng của tài khoản ngân hàng số. Chỉ với một thao tác bấm link và nhập mã xác thực, toàn bộ số dư trong tài khoản có thể bị chiếm đoạt trong thời gian ngắn.

Kịch bản lừa đảo hoàn hảo kết hợp với chiêu thao túng tâm lý

Theo các chuyên gia an ninh mạng, mã OTP hiện đóng vai trò là lớp bảo vệ cuối cùng trong mô hình xác thực đa yếu tố (MFA) của các hệ thống tài chính số. Khi thông tin này bị lộ, chuỗi cơ chế phòng vệ gần như bị vô hiệu hóa, tạo điều kiện để đối tượng tấn công chiếm quyền kiểm soát tài khoản mà không cần khai thác lỗ hổng kỹ thuật.

Với kịch bản lừa đảo hoàn hảo kết hợp với thao túng tâm lý, kẻ gian đã khiến nhiều nạn nhận bị sập bẫy

Điểm chung của các kịch bản lừa đảo dịp cuối năm là việc kết hợp giả mạo thương hiệu (brand impersonation) với thao túng tâm lý (social engineering), đặc biệt là tạo cảm giác khẩn cấp như “chỉ áp dụng trong hôm nay”, “xác nhận trước 23h”, “sắp hết hạn nhận thưởng”. Trong bối cảnh cuối năm bận rộn, người dùng dễ bị cuốn theo tâm lý sợ bỏ lỡ quyền lợi, từ đó vô tình tự tay cung cấp thông tin xác thực cho tội phạm mạng.

“Mối nguy lớn nhất của các chiêu lừa này là người dân không cho rằng mình đang làm điều sai. Họ tin đây là quyền lợi chính đáng được hưởng vào dịp Tết, và chính niềm tin đó trở thành điểm yếu bị khai thác”, một chuyên gia an ninh mạng phân tích.

Các tổ chức tài chính, ngân hàng và ví điện tử đều khẳng định không bao giờ yêu cầu khách hàng cung cấp mật khẩu, mã OTP hay đăng nhập tài khoản thông qua đường link được gửi qua tin nhắn, mạng xã hội hoặc email không xác thực. Mọi chương trình ưu đãi hợp pháp đều được công bố công khai trên ứng dụng chính thức, website đã được xác thực hoặc các kênh truyền thông chính thống.

Nâng cao "miễn dịch an ninh mạng" cho người dùng

Công an TP. Hồ Chí Minh khuyến cáo người dân tuyệt đối không nhấp vào đường link lạ, không cài đặt ứng dụng không rõ nguồn gốc; chỉ tải ứng dụng từ các kho chính thức như Google Play hoặc App Store. Đặc biệt, mã OTP chỉ được sử dụng để xác nhận giao dịch, không bao giờ là điều kiện để “nhận tiền” hay “xác nhận thưởng”.

Các chuyên gia cho rằng, trong bối cảnh giao dịch số ngày càng phổ biến, việc nâng cao “miễn dịch an ninh mạng” cho người dùng cần được xem là một thành tố quan trọng của hệ sinh thái an ninh mạng quốc gia. “Bảo vệ OTP và thông tin xác thực cá nhân không kém phần quan trọng so với việc bảo vệ tiền mặt hay giấy tờ tùy thân. Chỉ khi người dùng duy trì được kỷ luật trong hành vi số, các chiêu lừa núp bóng ưu đãi, quà Tết mới có thể bị đẩy lùi”, chuyên gia khuyến nghị.

Ở góc độ quản lý, việc tăng cường cảnh báo sớm, truyền thông thống nhất, đồng thời phối hợp nhanh chóng trong phát hiện và xử lý các website, tài khoản giả mạo được xác định là giải pháp then chốt nhằm giảm thiểu rủi ro trong giai đoạn cao điểm cuối năm – thời điểm mà an ninh mạng gắn chặt, thậm chí trực tiếp chi phối, an toàn tài chính của mỗi người dân.

Khuyến nghị từ chuyên gia an ninh mạng

Để đảm bảo an toàn tài sản trong giai đoạn cao điểm này, người dùng cần tuyệt đối tuân thủ mô hình "Ba không - Một có":

Không truy cập vào bất kỳ liên kết nào được gửi từ SMS, Zalo, Facebook hoặc Email không xác thực, dù nội dung có hấp dẫn đến đâu.

Không cung cấp mật khẩu, mã OTP, mã PIN cho bất kỳ ai, kể cả người tự xưng là nhân viên ngân hàng hay cơ quan chức năng.

Không thực hiện đăng nhập tài khoản trên các thiết bị lạ hoặc mạng Wi-Fi công cộng không có bảo mật.

Có kiểm chứng thông tin ưu đãi trực tiếp qua Hotline chính thức hoặc ứng dụng (App) di động đã được xác thực của đơn vị cung cấp dịch vụ.

Nguyễn Tiệp - Sỹ Đồng