Từ khách hàng tiềm năng đến "mỏ vàng" của tội phạm mạng

Mỗi ngày, người dùng mạng xã hội (như Facebook, Zalo, TikTok, Messenger và Instagram…) dễ dàng “bắt gặp” các biểu mẫu trực tuyến (online form) quảng cáo, marketting… ở hầu hết các lĩnh vực đến từ các doanh nghiệp.

Trong lĩnh vực marketing số, các biểu mẫu này được gọi là công cụ tạo “lead”, tức thu thập thông tin khách hàng tiềm năng. Chỉ cần điền thông tin vào các mục như “nhận tư vấn dự án”, “nhận quà tặng”, hay “check giá ưu đãi”, người dùng có thể nhanh chóng tiếp cận sản phẩm, dịch vụ mong muốn.

“Bẫy online form ” trên không gian mạng: Người dùng đang tự ‘bán’ dữ liệu cá nhân mà không biết. Ảnh minh hoạ

Về bản chất, đây là một hoạt động hợp pháp và phổ biến. Tuy nhiên, phía sau sự tiện lợi đó là một thực tế đáng lo ngại: mỗi lần bấm “Gửi”, người dùng có thể đang vô tình mở ra một chuỗi rủi ro liên quan đến dữ liệu cá nhân.

Trên thực tế, nhiều form còn thu thập thêm thông tin về nhu cầu tài chính, khả năng đầu tư, hoặc mục tiêu tiêu dùng. Khi kết hợp lại, những dữ liệu này không còn rời rạc mà tạo thành một “hồ sơ hành vi” có giá trị cao. Thứ mà giới kinh doanh gọi là “dữ liệu vàng”.

Một hình thức phổ biến khác, nhiều ứng dụng cài đặt ứng dụng trên smartphone, yêu cầu quyền truy cập danh bạ, vị trí, camera, thậm chí cả tin nhắn, dù không liên quan trực tiếp đến chức năng chính.

Khi người dùng bấm “đồng ý” mà không đọc kỹ, họ đã cho phép hệ thống thu thập và xử lý một lượng lớn dữ liệu cá nhân. Điều đáng nói là phần lớn người dùng không biết dữ liệu đó sẽ được lưu trữ ở đâu, sử dụng như thế nào và chia sẻ cho ai.

Chị Tiên, một nhân viên văn phòng tại TP. Hồ Chí Minh cho biết, các ứng dụng trên Smartphone thường xuyên gợi ý cho phép úng dụng truy cập Danh bạ, Micro, thậm chí cả hình ảnh trong điện thoại.

“Đôi khi sơ ý hoặc đang vội thường bấm đồng ý cho xong. Và sau những lần đó thường xuyên nhận được các tin nhắn, cuộc gọi chào bán sản phẩm thậm chí lừa đảo”, chị Tiên cho hay.

Từ biểu mẫu đến "chợ ngầm"

Theo chuyên gia an ninh mạng, hệ quả của việc “tự bán dữ liệu” không chỉ dừng ở những cuộc gọi quảng cáo làm phiền. Khi dữ liệu bị thu thập và phân tích, các đối tượng lừa đảo có thể dựng lên những kịch bản rất sát với thực tế của nạn nhân.

Các đối tượng nhận biết, người dùng đang có nhu cầu tìm mua nhà, biết bạn đang cần vay vốn...Từ đó, các chiêu trò giả mạo ngân hàng, môi giới, cơ quan chức năng trở nên tinh vi và khó nhận biết.

Dữ liệu cá nhân được rao bán trong thế giới ngầm. Ảnh minh hoạ

Đã có không ít trường hợp người dân bị lừa đảo vì chính những thông tin mà họ từng cung cấp trên mạng. Ví dụ, một người để lại số điện thoại tìm hiểu dự án bất động sản, sau đó nhận được cuộc gọi từ đối tượng giả danh môi giới, cung cấp thông tin rất chi tiết về dự án, tiến độ, giá bán.

Vì tin tưởng, người này đã chuyển tiền “giữ chỗ” và chỉ phát hiện bị lừa khi không liên hệ lại được. Những vụ việc như vậy cho thấy dữ liệu cá nhân, khi bị sử dụng sai mục đích, có thể trở thành công cụ trực tiếp phục vụ hành vi chiếm đoạt tài sản.

Một trường hợp khác, sau khi người dùng điền form, dữ liệu người dùng có thể đi theo nhiều “con đường” khác nhau. Trong trường hợp lý tưởng, thông tin được sử dụng đúng mục đích: nhân viên liên hệ tư vấn, cung cấp sản phẩm,

Tuy nhiên, thực tế thường phức tạp hơn. Thứ nhất, dữ liệu có thể được chia sẻ cho các bên thứ ba. Trong nhiều mô hình kinh doanh, đặc biệt là bất động sản, tài chính, bảo hiểm, việc trao đổi dữ liệu khách hàng giữa các đối tác là điều không hiếm gặp. Hệ quả là người dùng liên tục nhận được cuộc gọi từ nhiều nguồn khác nhau, dù chỉ đăng ký một lần.

Thứ hai, dữ liệu bị khai thác cho mục đích marketing không kiểm soát. Spam SMS, email quảng cáo, cuộc gọi “tư vấn” dồn dập trở thành hệ quả phổ biến. Đây là dạng lạm dụng dữ liệu nằm trong “vùng xám”, không hẳn vi phạm pháp luật rõ ràng, nhưng xâm phạm nghiêm trọng trải nghiệm và quyền riêng tư.

“Nguy hiểm nhất là dữ liệu bị rò rỉ hoặc bị đánh cắp. Khi đó, thông tin cá nhân không còn nằm trong hệ thống doanh nghiệp mà trôi nổi trên các “chợ dữ liệu” ngầm. Tại đây, chúng được mua bán, trao đổi như một loại hàng hóa”, chuyên gia Dương Tiến Đánh đánh giá.

Điều khiến vấn đề trở nên đáng báo động không nằm ở từng mảnh dữ liệu riêng lẻ, mà ở khả năng kết nối và khai thác ngữ cảnh của chúng. Một số điện thoại đơn thuần có thể không đáng giá, nhưng khi đi kèm với thông tin “đang quan tâm mua nhà” hoặc “có nhu cầu vay vốn”, nó trở thành công cụ cực kỳ hữu hiệu cho các kịch bản lừa đảo.

Các đối tượng thường sử dụng kỹ thuật tấn công bằng thao túng tâm bằng cách giả danh nhân viên dự án bất động sản mà người dùng từng đăng ký; Nhân viên ngân hàng biết rõ nhu cầu vay vốn; Đơn vị tư vấn đầu tư đưa ra “cơ hội sinh lời cao” …

“Nhờ dữ liệu có sẵn, kịch bản lừa đảo trở nên thuyết phục hơn nhiều so với các hình thức lừa đảo đại trà. Đây chính là dạng lừa đảo cá nhân hóa - xu hướng đang gia tăng nhanh chóng trong thời gian gần đây”, ông Đạt phân tích.

Tự bảo vệ mình trong "ma trận" dữ liệu

Theo quy định tại Nghị định 13/2023/NĐ-CP, dữ liệu cá nhân là thông tin gắn liền với một cá nhân cụ thể, bao gồm dữ liệu cơ bản (họ tên, số điện thoại, địa chỉ…) và dữ liệu nhạy cảm (tài chính, sức khỏe, vị trí, sinh trắc học…). Nghị định này cũng nhấn mạnh nguyên tắc quan trọng: mọi hoạt động thu thập, xử lý dữ liệu cá nhân đều phải có sự đồng ý của chủ thể dữ liệu, và việc sử dụng phải đúng mục đích đã thông báo.

Tuy nhiên, trên thực tế, sự “đồng ý” của người dùng thường mang tính hình thức. Chỉ với một cú click “Tôi đồng ý”, người dùng đã chấp nhận hàng loạt điều khoản dài hàng chục trang mà không đọc, không hiểu, và cũng không kiểm soát được hệ quả phía sau. Điều này khiến quyền kiểm soát dữ liệu cá nhân vốn được pháp luật bảo vệ trở nên yếu ớt trong thực tế sử dụng.

Một câu hỏi đặt ra là: vì sao dữ liệu cá nhân lại dễ dàng bị khai thác đến vậy? Trước hết, nhiều doanh nghiệp vẫn chưa đầu tư đúng mức cho hệ thống bảo mật dữ liệu. Việc lưu trữ thông tin khách hàng trên các nền tảng thiếu an toàn, hoặc chia sẻ qua nhiều lớp trung gian, làm gia tăng nguy cơ rò rỉ.

Bên cạnh đó, nhận thức của người dùng về bảo vệ dữ liệu cá nhân còn hạn chế. Không ít người sẵn sàng điền thông tin vào bất kỳ biểu mẫu nào chỉ vì một lời hứa ưu đãi hoặc quà tặng nhỏ. Chính sự dễ dãi này vô tình tiếp tay cho chuỗi khai thác dữ liệu.

Ngoài ra, khung pháp lý dù đã có những bước tiến nhưng vẫn đang trong quá trình hoàn thiện. Việc giám sát và xử lý các hành vi mua bán, chia sẻ dữ liệu trái phép vẫn gặp nhiều thách thức.

Trong bối cảnh các hình thức lừa đảo ngày càng tinh vi, ranh giới giữa marketing và khai thác dữ liệu đang trở nên mong manh hơn bao giờ hết. Người dùng không thể hoàn toàn phụ thuộc vào doanh nghiệp hay cơ quan quản lý, mà cần chủ động bảo vệ chính mình.

Để hạn chế rủi ro, người dùng cần thay đổi cách tiếp cận đối với dữ liệu cá nhân. Trước hết, cần hiểu rằng mọi thông tin mình cung cấp đều có giá trị, và việc chia sẻ phải có chọn lọc. Không nên điền thông tin vào các biểu mẫu không rõ nguồn gốc, không cung cấp dữ liệu cá nhân chỉ để đổi lấy những lợi ích nhỏ như quà tặng, mã giảm giá. Khi cài đặt ứng dụng, cần kiểm tra kỹ quyền truy cập, chỉ cho phép những quyền thực sự cần thiết.

Bên cạnh đó, người dùng nên ưu tiên sử dụng các nền tảng, website chính thức của doanh nghiệp uy tín, hạn chế tương tác qua các đường link lạ được gửi qua tin nhắn hoặc mạng xã hội. Việc kích hoạt các lớp bảo mật như xác thực hai yếu tố, thay đổi mật khẩu định kỳ và theo dõi các dấu hiệu bất thường trên tài khoản cá nhân cũng là những biện pháp đơn giản nhưng hiệu quả.

Quan trọng hơn, khi phát hiện dữ liệu cá nhân có dấu hiệu bị lộ hoặc bị sử dụng sai mục đích, cần chủ động báo cơ quan chức năng theo quy định pháp luật. Đồng thời, yêu cầu tổ chức, doanh nghiệp giải thích, chỉnh sửa hoặc xóa dữ liệu...

Nguyễn Tiệp - Sỹ Đồng