Nhận được tin nhắn khác lạ từ ngân hàng – Bạn cần làm gì?
Nếu nhận được tin nhắn từ đầu số ngân hàng có đường link yêu cầu cung cấp thông tin tài khoản cá nhân để nâng cấp hệ thông bảo mật tài khoản; để giải thay đổi mật khẩu, bạn sẽ làm gì? Hiện nay có rất nhiều người tiêu dùng bị bốc hơi tiền trong tài khoản vì điều đó.
Lỗ hổng tin nhắn thương hiệu
Các thủ đoạn lừa người dùng tự nhập thông tin cá nhân; được gọi chung là phishing. Trong cách lừa đảo này, kẻ thực hiện phải tạo ra sự tin tưởng cho người dùng; để họ sẵn sàng cung cấp thông tin.
Trước đây, nhiều người dùng đã bị lừa bằng tin nhắn qua Facebook; các dịch vụ OTT để bấm vào đường dẫn có địa chỉ gần giống trang web của các tổ chức tài chính. Gần đây, thủ đoạn giả mạo đầu số của ngân hàng (tin nhắn thương hiệu) ; nâng mức độ khai thác lòng tin người dùng lên một tầm mới
Lỗ hổng hiện tại đang bị khai thác là dịch vụ tin nhắn thương hiệu (SMS Brandname). Đây là dịch vụ tin nhắn cho phép hiển thị tên người gửi là tổ chức; doanh nghiệp khi nhắn tin đến thuê bao di động của người dùng. Việc hiển thị thương hiệu quen thuộc trong tin nhắn khiến người dùng dễ tin vào nội dung, mất cảnh giác.
Nội dung tin nhắn thương hiệu từ ngân hàng thường liên quan đến biến động số dư; xác thực qua tin nhắn hoặc các chương trình quảng cáo. Các nội dung mang tính hù dọa hoặc kích thích lòng tham thường là những cái bẫy giả mạo ngân hàng.
Ai cung cấp dịch vụ SMS Brandname?
Để đăng ký tin nhắn thương hiệu thì cá nhân hoặc doanh nghiệp; có thể làm việc trực tiếp với các nhà mạng hoặc nhà cung cấp dịch vụ bên thứ ba.
Trong trường hợp trực tiếp làm việc với nhà mạng; người làm thủ tục đăng ký cần cung cấp các giấy tờ liên quan như giấy phép kinh doanh; biểu mẫu công văn đăng ký gửi nhà mạng. Tuy vào lĩnh vực kinh doanh, nhu cầu sử dịch vụ, người đăng ký sẽ phải khai báo cũng như cung cấp thêm các thông tin khác nhau.
Đối với các bên thứ 3 cung cấp dịch vụ SMS Brandname khách hàng cũng cung cấp đầy đủ giấy tờ liên quan và khai chi tiết theo từng lĩnh vực hoạt động. Bên trung gian sẽ cung cấp thông tin khách hàng và gửi trực tiếp đến nhà mạng.
Chia sẻ với chúng tôi, đại diện của nhà mạng VNPT; Viettel đều khẳng định nhà mạng là đơn vị trực tiếp quản lý dịch vụ được cung cấp tới khách hàng mà không thông qua bên thứ 3 nào cả. Đối với bên thứ 3, các dịch vụ hay vấn đề liên quan đến khách hàng đều thuộc sự quản lý của nhà mạng.
Vì sao có thể giả mạo đầu số ngân hàng?
Trao đổi với chúng tôi, chuyên gia bảo mật Ngô Minh Hiếu; hiện làm việc tại TP.HCM nhận định cách tấn công, lừa đảo này khá tinh vi.
Theo ông Hiếu, có 3 kịch bản chính khiến người dùng nhận tin nhắn giả mạo từ đầu số thương hiệu.
Ở kịch bản đầu tiên, hacker sẽ tạo ra một trạm BTS (trạm phát sóng) bằng các thiết bị chuyên dụng. Từ đó, hacker sẽ gửi đi những gói tin nhắn đã được sửa đổi nội dung đến nạn nhân.
Với kịch bản thứ 2, hacker sẽ tấn công vào đơn vị cung cấp dịch vụ SMS brandname của các ngân hàng. Nếu làm được việc này, quy mô lừa đảo sẽ rất lớn bởi hacker sẽ gửi ồ ạt tin nhắn đến hàng triệu người dùng.
Ở kịch bản thứ 3, hacker sẽ đăng ký tin nhắn thương hiệu từ các quốc gia khác bên ngoài lãnh thổ Việt Nam trùng với tên của các ngân hàng bị ảnh hưởng vừa qua. Khi gửi tin nhắn, đầu số thương hiệu giống nhau có thể bị gộp lại cùng một luồng. Kịch bản này khả thi nhất so với hai kịch bản trên.
Vụ việc hiện vẫn đang trong quá trình điều tra, do vậy chưa thể kết luận kẻ gian đã sử dụng kịch bản nào để tấn công người dùng.
Làm gì khi nhận tin nhắn lừa đảo?
Trong trường hợp này, đối tượng lừa đảo đã giả mạo đầu số của ngân hàng, khiến người dùng dễ mất cảnh giác.
Nội dung đánh vào tâm lý lo sợ mất tài khoản, khi thông báo có người lạ đăng nhập cũng khiến người dùng dễ lo lắng, bấm vào đường dẫn hơn.
Tuy nhiên, vẫn có một số dấu hiệu để người dùng có thể nhận biết là giả mạo. Dưới đây là các bước kiểm tra từ ngân hàng:
- Đầu tiên, khi nhận tin nhắn từ một ngân hàng; người dùng có thể kiểm tra lại xem mình có phải khách hàng; dùng dịch vụ của ngân hàng đó hay không.
- Kiểm tra kỹ nội dung tin nhắn đến từ đầu số ngân hàng xem có giống cách trình bày của các tin nhắn phía trên; đã từng nhận của ngân hàng hay không.
- Ghi nhớ website giao dịch chuẩn của ngân hàng mà mình sử dụng. Nên kiểm tra kỹ địa chỉ website trong tin nhắn; nhất là các ký tự đặc biệt.
- Chỉ thực hiện giao dịch bằng ứng dụng; website chính thức của ngân hàng. Không nhấp vào đường link bên trong tin nhắn SMS lúc này.
- Cài đặt xác thực hai lớp. Xác thực hai lớp giúp giảm thiệt hại nếu người dùng lộ mật khẩu. Lớp xác thực thứ hai có thể là SMS, token, soft token; xác thực sinh trắc học trong ứng dụng ngân hàng.
- Tuyệt đối không chia sẻ, cung cấp thông tin đăng nhập cho bất kỳ ai; qua bất kỳ hình thức giao tiếp nào.
- Khi nghi ngờ bị mất thông tin, hoặc nghi ngờ một tin nhắn là giả mạo; bạn cần gọi ngay tới đường dây nóng của các ngân hàng, được đăng tải trên các website.
- Các nội dung mang tính hù dọa mất tiền hoặc kích thích lòng tham; bằng lợi nhuận cao thường là những cái bẫy.
Nguồn: zingnews.vn