"Giăng bẫy" mùa báo cáo tài chính

Như thường lệ cuối quý 1 hằng năm, doanh nghiệp bước vào giai đoạn bản lề cho hoạt động sản xuất, kinh doanh, đồng thời được xem “mùa cao điểm” về công tác tài chính - kế toán. Các hoạt động từ hoàn tất báo cáo tài chính, quyết toán thuế đến đối soát dữ liệu và làm việc với cơ quan quản lý, mọi quy trình đều vận hành với cường độ cao, áp lực lớn và yêu cầu chính xác tuyệt đối.

Đây cũng thời điểm các đối tượng lừa đảo trên không gian mạng bước vào “mùa săn mồi”, nhắm trực diện vào doanh nghiệp, đặc biệt là bộ phận kế toán, tài chính.  

Ghi nhận từ nhiều doanh nghiệp tại TP.HCM và các khu vực lân cận cho thấy, các hình thức lừa đảo mạo danh cơ quan chức năng đang gia tăng với tần suất dày đặc trong thời điểm đầu năm.

Hộp thư email của một số doanh nghiệp và bộ phận kế toán thường xuyên nhận được thông báo "lạ" trong mùa báo cáo tài chính

Chị Nguyễn Thu Thảo (đã đổi tên) - kế toán của một doanh nghiệp tại phường Bến Cát cho biết, trong vài tuần gần đây, hộp thư email của công ty liên tục nhận được các thông báo mang danh nghĩa cơ quan thuế. Nội dung thường xoay quanh việc phát hiện sai sót trong hồ sơ báo cáo tài chính hoặc kê khai thuế, kèm theo yêu cầu “truy cập đường link để cập nhật thông tin”.

Điểm đáng chú ý là các email này được thiết kế rất tinh vi: từ tên miền gần giống cơ quan thuế, chữ ký điện tử giả mạo đến nội dung mang tính chuyên môn cao, khiến người nhận dễ tin tưởng.

“Tuy nhiên, khi kiểm tra lại trên cổng thông tin chính thức và đối chiếu hồ sơ nội bộ, tôi xác định đây là email giả mạo,” chị Thảo chia sẻ.

Theo chị Phạm Thị Phi Yến  - một kế toán thâm niên của một doanh nghiệp tại TP.HCM đánh giá, hình thức lừa đảo về vấn đề thuế qua Email không mới, kế toán cần cẩn thận với tất cả các Email được gửi tới. Cần rà soát chính xác nguồn gửi và đặc biệt không truy cập vào các “đường link cũng như file đính kèm” nào để tranh rủi ro.

“Điểm chung của các kịch bản này là tạo ra cảm giác “công việc bắt buộc phải xử lý ngay”, đánh vào tâm lý sợ sai sót, sợ bị xử phạt của doanh nghiệp trong giai đoạn quyết toán”, chị Yến chia sẻ.

Theo chuyên gia an ninh mạng, một trong những chiêu phổ biến là gửi email hoặc tin nhắn giả mạo cơ quan thuế, thông báo doanh nghiệp có sai sót trong kê khai và yêu cầu truy cập vào một đường link để “cập nhật hồ sơ”, “bổ sung dữ liệu” hoặc “xác nhận nghĩa vụ thuế”.

Các đường link này thường dẫn đến website giả mạo, có giao diện gần giống cổng thông tin điện tử của cơ quan thuế, nhằm đánh cắp thông tin đăng nhập, mã số thuế, tài khoản ngân hàng hoặc cài mã độc vào hệ thống doanh nghiệp.

Một kịch bản khác tinh vi hơn là giả danh cán bộ thuế, gọi điện trực tiếp cho kế toán doanh nghiệp, thông báo về việc “kiểm tra đột xuất”, “phát hiện sai phạm” hoặc “có quyết định xử phạt cần xử lý trước hạn”.

Đối tượng thường yêu cầu chuyển tiền vào một tài khoản cá nhân với lý do “nộp phạt nhanh”, “hỗ trợ xử lý nội bộ” hoặc “tránh bị thanh tra sâu hơn”. Trong bối cảnh áp lực công việc lớn, không ít doanh nghiệp đã mất cảnh giác và thực hiện theo yêu cầu.

Ngoài ra, hình thức lừa đảo qua file đính kèm cũng gia tăng trong giai đoạn này. Các email giả mạo thường gửi kèm file có tên như “Báo cáo quyết toán thuế”, “Thông báo thanh tra”, “Danh sách doanh nghiệp kiểm tra”…

Khi mở file, mã độc được kích hoạt, cho phép đối tượng xâm nhập vào hệ thống nội bộ, đánh cắp dữ liệu kế toán, hợp đồng, thông tin khách hàng hoặc chiếm quyền điều khiển email doanh nghiệp để tiếp tục thực hiện các hành vi lừa đảo khác.

Kịch bản quen, nhưng thủ đoạn mới

Mặc dù cơ quan chức năng đã nhiều lần cảnh báo với nội dung: Mọi thông báo chính thức cơ quan thuế và các đơn vị quản lý Nhà nước đều được thực hiện qua cổng thông tin điện tử, hệ thống thuế điện tử hoặc văn bản có xác nhận rõ ràng.

Không có cơ quan nào yêu cầu doanh nghiệp cung cấp phải cung cấp thông tin bảo mật qua email không chính thức, không gửi file chứa mã độc…Đặc biệt, không yêu cầu doanh nghiệp chuyển tiền vào tài khoản cá nhân để xử lý nghĩa vụ tài chính.

Tuy nhiên, điểm đáng lo ngại của các hình thức lừa đảo này, các đối tượng không nhắm vào lỗ hổng kỹ thuật, mà khai thác trực tiếp yếu tố con người - mắt xích dễ bị tổn thương nhất trong chuỗi bảo mật.

Một trong những thủ đoạn phổ biến là dẫn dụ người dùng truy cập vào các website giả mạo có giao diện gần giống cổng thông tin điện tử của cơ quan thuế. Khi người dùng nhập thông tin đăng nhập, toàn bộ dữ liệu sẽ bị thu thập và chuyển về cho đối tượng.

Ở cấp độ cao hơn, các email còn đính kèm file chứa mã độc với tên gọi “quen thuộc” như: “Báo cáo quyết toán thuế”, “Thông báo thanh tra”, “Danh sách doanh nghiệp kiểm tra”. Khi file được mở, mã độc lập tức kích hoạt, cho phép đối tượng xâm nhập vào hệ thống nội bộ doanh nghiệp.

Hệ quả không chỉ dừng lại ở việc đánh cắp thông tin đăng nhập. Trong nhiều vụ việc, kẻ tấn công đã chiếm quyền kiểm soát email doanh nghiệp, theo dõi các giao dịch tài chính, thậm chí giả mạo email nội bộ để yêu cầu chuyển tiền từ đối tác -một hình thức lừa đảo tinh vi thường được gọi là “Business Email Compromise” (BEC).

Đây là dạng tấn công có chi phí thấp nhưng hiệu quả cao, bởi không cần khai thác lỗ hổng phần mềm hay hạ tầng, mà chỉ cần khai thác sự mất cảnh giác của con người. Khi doanh nghiệp đang chịu áp lực về thời hạn quyết toán, bất kỳ thông tin nào mang tính “khẩn cấp” đều dễ khiến người xử lý mất đi sự tỉnh táo cần thiết.

 “Kẻ tấn công không cần phải giỏi hơn hệ thống, họ chỉ cần nhanh hơn con người trong những thời điểm con người dễ sai sót nhất”, một chuyên gia an ninh mạng nhận định.

Chuyên gia an ninh phân tích, việc tội phạm mạng tấn công nhắm vào bộ phận kế toán - tài chính có thể kéo theo những hệ lụy sâu rộng. Khi dữ liệu kế toán bị lộ, doanh nghiệp không chỉ mất tiền mà còn đối mặt với nguy cơ rò rỉ thông tin nhạy cảm như hợp đồng, báo giá, chiến lược kinh doanh hay dữ liệu khách hàng. Điều này có thể dẫn đến mất uy tín, tranh chấp pháp lý và ảnh hưởng lâu dài đến hoạt động kinh doanh.

Trong một số trường hợp, việc bị chiếm quyền kiểm soát email còn khiến doanh nghiệp trở thành “trung gian” phát tán lừa đảo đến đối tác, làm gia tăng mức độ thiệt hại và ảnh hưởng dây chuyền.

Xây dựng "lá chắn" từ quy trình đến con người

Để phòng tránh, doanh nghiệp cần thiết lập quy trình kiểm soát chặt chẽ trong giai đoạn cao điểm tài chính. Mọi yêu cầu liên quan đến thuế, báo cáo, thanh tra cần được xác minh qua kênh chính thức của cơ quan chức năng, không xử lý vội vàng qua điện thoại hay email lạ.

Bộ phận kế toán - tài chính cần được đào tạo nhận diện các dấu hiệu lừa đảo, đặc biệt là các email giả mạo, file đính kèm không rõ nguồn gốc và các yêu cầu chuyển tiền bất thường.

Bên cạnh đó, doanh nghiệp cần triển khai các biện pháp kỹ thuật như xác thực đa yếu tố cho hệ thống kế toán, phân quyền truy cập dữ liệu, sao lưu định kỳ và kiểm tra an ninh hệ thống cũng là yếu tố quan trọng giúp giảm thiểu rủi ro. Quan trọng hơn, doanh nghiệp cần xây dựng tư duy “chậm lại để kiểm tra” trong những tình huống có yếu tố tài chính, thay vì xử lý theo áp lực thời gian.

Khi kẻ gian không cần phá hệ thống mà chỉ cần đánh vào con người, thì chính sự tỉnh táo và quy trình kiểm soát nội bộ sẽ là “lá chắn” hiệu quả nhất. Trong môi trường số, một quyết định vội vàng có thể phải trả giá bằng toàn bộ dữ liệu và tài sản của doanh nghiệp.

Nguyễn Tiệp - Sỹ Đồng