Làm gì để tránh bị lừa đảo trực tuyến?

Yêu cầu chuyển tiền ngay lập tức cũng là một dấu hiệu cần cảnh giác

Những kẻ lừa đảo thường gây áp lực để nạn nhân phải hành động ngay lập tức, thúc giục hành động trước khi có thời gian suy nghĩ. Nếu gọi điện thoại, chúng sẽ bảo bạn không được cúp máy để bạn không có cơ hội nói chuyện với bất cứ ai khác hay gián đoạn vì việc gì khác. Chúng có thể đưa ra các lời đe dọa về sự nguy hiểm đến tính mạng, đe dọa về việc thu hồi các loại giấy phép như lái xe, kinh doanh, số điện thoại, các đe dọa đến tài sản, đến các hoạt động của bạn.

Để “giải quyết” các vấn đề nguy cấp trên (mà tất cả là không có thật), chúng yêu cầu bạn thực hiện giao dịch chuyển tiền khẩn cấp. Tội phạm mạng khi đã có thể dẫn dắt được “con mồi” thì muốn kết thúc nhanh chóng để tránh bị phát hiện.

Những tin nhắn hay cuộc gọi vay tiền của người quen

Hãy cảnh giác! Tội phạm có thể phá được mật khẩu của một người quen, vào tài khoản và giả mạo là người bạn đó. Thậm chí, tội phạm tạo tài khoản mới có tên y hệt người bạn của chúng ta và nhắn tin. Chúng cũng có thể gửi một video, nhưng là dùng công nghệ deepfake để giả mạo. Chúng ta không để ý kỹ, sẽ lầm tưởng đó là bạn bè, người thân của mình.

Hãy xem xét mọi trường hợp vay tiền gấp, cần xác minh bằng cách liên lạc với người thứ 3, hoặc gọi lại cho người đó theo số điện thoại đã lưu từ trước, vì rất có thể đó là lừa đảo.

Ai đó bỗng hỏi mã số OTP, đó chắc chắn là lừa đảo

Mã OTP (One Time Password) là mật khẩu nhưng chỉ dùng một lần duy nhất. Mã OTP thường là bảo mật lớp 2 của bảo mật 2 lớp trong các giao dịch với tài khoản ngân hàng hoặc giao dịch xác minh đăng nhập các tài khoản. Hỏi mã OTP như hỏi chìa khóa cửa nhà.

Nhà của ta vậy tại sao lại có người hỏi chìa khóa? Nhất định không thể tiết lộ.

Lừa đảo luôn có dấu hiệu khả nghi để có thể phát hiện ra. Điều quan trọng là chúng ta có đủ hiểu biết, bình tĩnh và nhạy bén để suy nghĩ, phân tích và nhìn nhận được hay không. Theo “Cẩm nang nhận diện và phòng chống lừa đảo trực tuyến” do Cục An toàn thông tin, Bộ Thông tin và Truyền thông (TT&TT) ban hành, 24 hình thức lừa đảo trực tuyến thì có 24 dấu hiệu liên quan để người dân xem xét.

Công nghệ và công cụ đằng sau những trò lừa đảo

Tội phạm sử dụng công nghệ để thực hiện lừa đảo trực tuyến. Tùy từng đối tượng, mục tiêu và trình độ của chính bản thân mà tội phạm sẽ dùng loại công nghệ gì, mức độ nào.

Công cụ và bộ công cụ lừa đảo (Phishing Tools and Kits)

Trên Internet có rất nhiều trang web giả mạo các tổ chức nổi tiếng. Tội phạm sử dụng các công cụ và phần mềm để tạo các trang web mạo danh này, thậm chí cả email hoặc tin nhắn giả mạo. Thông tin đăng nhập, chi tiết tài chính hoặc thông tin cá nhân mà người dùng cung cấp qua các trang web, email, tin nhắn giả mạo này là mục tiêu của chúng.

Các bộ công cụ lừa đảo, giống như các bộ công cụ lắp ráp xe hoặc máy bay mô hình. Chúng gồm các mẫu và tập lệnh được tạo sẵn, hoặc cả một trang lừa đảo được tạo sẵn, khá đơn giản để tải lên dịch vụ lưu trữ web. Trang web giả sao chép các yếu tố thiết kế từ trang web thật, đó là lý do tại sao người dùng khó phân biệt được trang giả mạo với trang chính thức. Ngay cả tên miền của trang lừa đảo có thể trông giống địa chỉ web thực của một thương hiệu nhất định, vì tội phạm mạng lấy tên và các dịch vụ của công ty đặt trong URL. Thủ thuật này được gọi là combosquat.

Ngoài ra, các gói công cụ lừa đảo nâng cao còn bao gồm một trung tâm điều khiển giao diện người dùng. Có những công cụ sử dụng khóa địa lý, từ điển, để bản địa hóa các cuộc tấn công lừa đảo. Ví dụ: các cuộc tấn công lừa đảo được viết bằng tiếng Nhật có các trang chỉ có thể mở được từ địa chỉ IP của Nhật Bản.

Các công cụ này còn sử dụng một số thủ thuật như: Mật mã Caesar (Caesar cipher), Mã hóa nguồn trang (Page source encoding), Thẻ HTML vô hình (Invisible HTML tags), Cắt chuỗi (String slicing), Thuộc tính HTML ngẫu nhiên (Randomized HTML attributes) [2].

Các bộ công cụ lừa đảo đã được phát hiện có thể tạo ra các bản sao của Facebook, tập đoàn ngân hàng Hà Lan ING, ngân hàng Sparkasse của Đức, cũng như Adidas và Amazon.

Mạng Botnet

Botnet là mạng gồm các máy tính bị nhiễm phần mềm độc hại và bị những kẻ lừa đảo kiểm soát. Chúng có thể được sử dụng để thực hiện các cuộc tấn công từ chối dịch vụ (DDoS), gửi thư rác hoặc phát tán phần mềm độc hại. Botnet cho phép những kẻ lừa đảo tự động hóa hoạt động của chúng, tạo ra khối lượng lớn tin nhắn lừa đảo hoặc kiểm soát nhiều tài khoản để thực hiện các hành vi lừa đảo phối hợp.

Giao thức thoại qua Internet (VoIP)

Công nghệ VoIP cho phép thực hiện cuộc gọi điện thoại qua Internet thay vì mạng điện thoại truyền thống. Các con số xuất hiện khi có cuộc gọi VoiP này không phụ thuộc vào địa điểm, do đó, không thể tìm ra được điện thoại từ đâu gọi đến, từ quốc gia nào gọi đến. Các nhóm khủng bố thường sử dụng VoIP để liên lạc với nhau. Những kẻ lừa đảo sử dụng VoIP để giả danh đại diện ngân hàng, cơ quan chính phủ hoặc bộ phận hỗ trợ kỹ thuật.

Theo BBC, năm 2015 thất thoát do gian lận thẻ tín dụng là 16 tỷ USD trên toàn cầu, thì trong đó lừa đảo bằng giọng nói (vishing) là 1 tỷ USD. [3] Tội phạm gọi cho nạn nhân khai thác thông tin liên quan họ tên, địa chỉ, số điện thoại và số thẻ tín dụng. Chúng có thể bắt đầu từ một lượng thông tin nhỏ về sở thích hay điểm yếu nào đó của người mà chúng gọi và tận dụng các thông tin đó để tạo ra cảm giác cấp bách liên quan đến một vấn đề trong cuộc sống của nạn nhân. Chúng sẽ đưa ra một giải pháp đơn giản cho vấn đề cấp bách đó với các giọng điệu phù hợp để thuyết phục nạn nhân làm theo chúng.

Phần mềm độc hại và phần mềm tống tiền (Malware and Ransomware)

Các phần mềm này có thể là vi-rút máy tính (virus), sâu máy tính (worm) hoặc chương trình Trojan (Trojan horse). Các phần mềm độc hại có thể được phát tán thông qua các tệp đính kèm email, qua các trang web hoặc do người dùng vô tình tải về máy tính. Sau khi phần mềm độc hại lây nhiễm vào thiết bị, những kẻ lừa đảo có thể truy cập trái phép, đánh cắp thông tin cá nhân hoặc triển khai phần mềm ransomware mã hóa dữ liệu của nạn nhân và yêu cầu tiền chuộc.

Kỹ thuật tương tác xã hội (Social Engineering Techniques)

Các công cụ khác

Điện thoại thông minh: cổng cho những kẻ lừa đảo, khi có thể tải xuống nhiều loại ứng dụng hỗ trợ các khía cạnh khác nhau của hành vi lừa đảo. Sử dụng điện thoại thông minh, những kẻ lừa đảo có thể hoạt động kín đáo, gây khó khăn cho việc theo dõi danh tính và hoạt động của chúng.

Ứng dụng mạng xã hội: nơi ươm mầm cho những kẻ lừa đảo, khi mà tội phạm tạo các tài khoản giả mạo để kết bạn và thu hút người theo dõi. Những người tương tác với các tài khoản mạng xã hội giả mạo này mang đến một lượng lớn nạn nhân tiềm năng cho chúng.

Ứng dụng nhắn tin: đường dẫn lừa dối, khi các ứng dụng này được tội phạm sử dụng để tương tác với nạn nhân. Các ứng dụng này dễ dàng thiết lập và tùy chỉnh tài khoản, yêu cầu tối thiểu thông tin cá nhân nên đảm bảo tính ẩn danh của tội phạm.

Thẻ quà tặng: một công cụ tiện lợi để rửa tiền, bởi những thẻ này cung cấp cho những kẻ lừa đảo một phương tiện để rửa tiền trong khi vẫn ẩn danh và trốn tránh sự giám sát của cơ quan chính phủ. Sự chấp nhận rộng rãi và tính dễ sử dụng khiến thẻ quà tặng trở thành công cụ lý tưởng để những kẻ lừa đảo khai thác.

Tiền điện tử: phương thức thanh toán lén lút. Do tiền điện tử, đặc biệt là bitcoin có bản chất ẩn danh khiến việc theo dõi các giao dịch cá nhân trở nên cực kỳ khó khăn. Lợi dụng sự thiếu hiểu biết của các nạn nhân về công nghệ tiền điện tử, những kẻ lừa đảo4 gian dối trong việc thanh toán bằng loại tiền này để chiếm đoạt.

Lưu ý đặc biệt: deepfake video AI

Công nghệ deepfake sử dụng trí tuệ nhân tạo (AI) để tạo ra các hình ảnh và âm thanh giả mạo nhưng trông và nghe giống như thật. Công nghệ này thu hình ảnh chất lượng cao khuôn mặt của một đối tượng nhất định, sau đó thay thế hoàn toàn khuôn mặt của một người khác trong video. Các tập tin âm thanh deepfake được tạo ra bằng cách sử dụng bản ghi âm thực để huấn luyện máy tính nói chuyện giống hệt đối tượng cụ thể

Những kẻ lừa đảo sử dụng công nghệ này bắt chước giọng nói và diện mạo của thành viên gia đình, bạn bè hoặc đồng nghiệp của một ai đó và yêu cầu hỗ trợ tài chính hoặc hỏi các thông tin nhạy cảm, dẫn đến tổn thất tài chính hoặc đánh cắp danh tính, thông tin, thậm chí lừa đảo tình cảm.

Phòng tránh lừa đảo: nhất định không để bị lừa thêm nữa

Trên không gian mạng, bất cứ khi nào, bất cứ ai cũng có thể là mục tiêu của tội phạm lừa đảo. Cách duy nhất để phòng tránh lừa đảo là mỗi cá nhân trước hết phải biết tự bảo vệ chính mình, luôn có ý thức cảnh giác. Tội phạm mạng ngày càng gia tăng, không có biên giới quốc gia, ngày càng tinh vi và phức tạp, có nghĩa, chúng ta luôn “sống chung với lũ”. Trong bối cảnh đó, không có cách nào khác là phải cẩn thận trước mọi thông tin nhận được. Những người sử dụng Internet cần thực hiện:

(1). Luôn cập nhật hệ thống và phần mềm và cài đặt chương trình chống vi-rút mạnh, uy tín.

(2). Cẩn thận khi kết nối với mạng Wi-Fi công cộng và không thực hiện bất kỳ giao dịch nhạy cảm nào, kể cả mua hàng qua các mạng công cộng.

(3). Tạo cụm mật khẩu mạnh (đa dạng các ký tự) và duy nhất cho mỗi tài khoản trực tuyến, thay đổi các cụm mật khẩu đó thường xuyên.

(4). Thiết lập xác thực đa yếu tố trên tất cả các tài khoản cho phép.

(5). Xem xét kỹ địa chỉ của các email gửi đến trước khi trả lời email. Tuyệt đối không tải file đính kèm, không bấm vào link liên kết khi các địa chỉ email đó có đặc điểm khác lạ.

(6). Xem xét kỹ các URL của trang web trước khi truy cập trang web. Tuyệt đối không bấm vào link liên kết khi địa chỉ trang web có đặc điểm khác lạ.

(7). Thận trọng với thông tin chia sẻ trong các hồ sơ khai trực tuyến và khi đăng ký các tài khoản mạng xã hội. Tên thú cưng, trường học và các thành viên trong gia đình có thể là gợi ý mà tội phạm cần để đoán mật khẩu của bạn hoặc câu trả lời cho các câu hỏi bảo mật tài khoản của bạn.

(8). Thận trọng khi kết bạn trên mạng xã hội. Tạo các nhóm đối tượng riêng cho từng nội dung chia sẻ nhằm bảo mật thông tin cá nhân.

(9). Kiểm tra cài đặt quyền riêng tư của bạn trên các mạng xã hội. Giới hạn người có thể gắn thẻ bạn trên ảnh và bình luận. Cân nhắc nội dung và các đối tượng có thể xem được những chia sẻ của bạn trên mạng xã hội.

(10). Không chuyển tiền theo yêu cầu của bất kỳ người lạ nào (dù đó là khi họ kêu gọi từ thiện; thông báo phần thưởng, ưu đãi, khuyến mại; hay yêu cầu nộp thuế, nộp phí.)

(11). Luôn xác minh lại những người quen hỏi vay tiền, bằng cách gọi lại cho họ theo số điện thoại đã lưu từ trước và gọi cho người thân của họ.

Nếu nhận được điện thoại hoặc tin nhắn từ người lạ xưng là từ tổ chức, yêu cầu thông tin cá nhân (tài khoản ngân hàng, số thẻ tín dụng, số sổ bảo hiểm, căn cước công dân...) hoặc giao dịch tài chính, hãy nghi ngờ. Xác minh danh tính của người đó thông qua các phương tiện khác, đồng thời liên lạc với người thân quen để chia sẻ câu chuyện.

(12). Luôn cập nhật thông tin về các trò lừa đảo công nghệ mới, đặc biệt qua AI: Điều này giúp cho bạn quan sát và nhận diện được các lừa đảo tốt hơn.

(13). Chặn các cuộc gọi và tin nhắn văn bản không mong muốn.

(14). Luôn nghi ngờ trước các yêu cầu thanh toán chỉ một hình thức duy nhất là dùng thẻ. Không bao giờ thanh toán cho người khăng khăng rằng bạn chỉ có thể thanh toán bằng tiền điện tử, qua dịch vụ chuyển khoản ngân hàng, qua ứng dụng thanh toán hoặc thẻ quà tặng.

(15). Luôn “dừng lại”, không vội vàng. Những doanh nghiệp trung thực sẽ cho bạn thời gian để đưa ra quyết định. Bất cứ ai gây áp lực buộc bạn phải trả tiền hoặc cung cấp cho họ thông tin cá nhân của bạn đều có thể là kẻ lừa đảo.

(16). Chia sẻ với người mà bạn tin tưởng trước khi bạn làm bất cứ điều gì khác liên quan các giao dịch trên mạng hay qua điện thoại, tin nhắn.

(17). Khi phát hiện ra lừa đảo:

(17.1). Dừng ngay việc chuyển tiền hoặc cung cấp thông tin khi nghi ngờ.

(17.2). Nhanh chóng thông báo với ngân hàng qua tổng đài hoặc đến trực tiếp chi nhánh gần nhất để trình báo vụ việc. Yêu cầu ngân hàng phong tỏa tài khoản, cảnh báo các giao dịch đáng ngờ từ tài khoản của mình để tránh thiệt hại về tài chính.

(17.3). Nếu đã bị đối tượng lừa đảo chiếm quyền điều khiển tài khoản ngân hàng, cần lập tức thay đổi mật khẩu và yêu cầu ngân hàng cấp lại mã OTP. Đồng thời, có thể yêu cầu ngân hàng cung cấp lại thông tin các giao dịch gần đây của tài khoản để cung cấp cho cơ quan điều tra.

(17.4). Liên hệ với công ty viễn thông để yêu cầu khóa sim điện thoại hoặc cung cấp lại sim mới nếu đối tượng đã chiếm được quyền sử dụng sim của nạn nhân. Báo cáo cho các cơ quan chức năng như Công an, Cục An toàn thông tin (Bộ Thông tin và Truyền thông) để được hỗ trợ.

(17.5). Nhanh chóng thu thập, lưu giữ các bằng chứng như hình ảnh, đoạn tin nhắn, tài liệu giao dịch... có liên quan đến quá trình bị lừa đảo. Đồng thời, làm đơn tố cáo gửi đến cơ quan Công an gần nhất để có căn cứ điều tra, xử lý đối tượng.

Đổi mật khẩu các tài khoản mạng xã hội, thư điện tử... nếu nhận thấy có dấu hiệu bị đối tượng chiếm quyền kiểm soát. Đặt mật khẩu mới với độ phức tạp cao để đảm bảo an toàn thông tin.

Người dùng Internet có thể tự bảo vệ mình và tránh bị vướng vào đường dây lừa đảo bằng cách luôn cảnh giác. Điều quan trọng là không bao giờ gửi tiền cho ai đó gặp qua Internet, không bao giờ chia sẻ thông tin cá nhân hoặc tài chính với những người lạ và không bao giờ nhấp vào siêu liên kết hoặc tệp đính kèm trong email hoặc tin nhắn. Khi có nghi ngờ, người dùng Internet nên báo cáo hoạt động lừa đảo trực tuyến và email lừa đảo cho chính quyền.

Gian lận thẻ tín dụng cũng có thể tránh được bằng cách theo dõi chặt chẽ tài khoản ngân hàng, thiết lập thông báo về hoạt động thẻ tín dụng, đăng ký theo dõi tín dụng và sử dụng các dịch vụ bảo vệ người tiêu dùng.

Khuyến nghị

Để thực hiện giảm thiểu và ngăn chặn lừa đảo trực tuyến, cần tất cả các thành phần xã hội vào cuộc: Chính quyền các cấp, bản thân mỗi người dân. Ngoài các biện pháp về chính sách, kỹ thuật, nhân lực chuyên môn mà Chính phủ đã và đang triển khai, các biện pháp tuyên truyền, nâng cao nhận thức tới từng người dân là việc cần làm nhất hiện nay.

Đối với lực lượng công an: Công an phường, xã, thị trấn, thôn, bản đến gặp từng gia đình tại địa bàn để nhắc nhở, phổ biến. Mọi vấn đề liên quan làm việc với công an, tòa án đều phải qua chính đồng chí công an đó; người dân không tin vào bất cứ người nào khác xưng danh là công an.

Với ngành ngân hàng: Đào tạo nhân viên ngân hàng để cảnh giác và nhận biết trường hợp khả nghi, thực hiện hỗ trợ người dân trong các tình huống đáng ngờ. Ngân hàng cần lưu số điện thoại của cả những người thân của các khách hàng lớn tuổi.

Với chính quyền cấp xã, phường, thôn, bản: Tổ công nghệ số cộng đồng thực hiện tuyên truyền tới từng người dân và hỗ trợ người dân về kiến thức và kỹ năng phòng chống lừa đảo trực tuyến.

Với người dân: Cần thường xuyên nhắc nhở người thân, nhắc nhở các cụ già, trẻ em về tình trạng lừa đảo trên mạng, quan tâm, để ý tới các tình huống khi họ có các cuộc gọi từ người lạ.

Không nghe điện thoại, nhắn tin, trao đổi thông tin với người lạ mà mình chưa hề biết mặt, dù họ xưng là công an, tòa án, trường học, bệnh viện hay quan chức, chính quyền. Vì về mặt luật pháp, các cá nhân đại diện cho chính quyền muốn làm việc với người dân đều phải mời họ đến trụ sở, chứ không được phép đưa ra yêu cầu qua điện thoại.

Ngay lập tức phải thông báo cho người thân biết khi có các trường hợp nhắn tin, gọi điện của một người quen nào đó nói về tiền bạc, để thực hiện xác minh thông tin, vì có thể đó là trường hợp giả mạo.