Xuất hiện chiêu lừa đảo mượn cớ “xác thực Face ID”

Kịch bản lừa đảo tinh vi

Chị T.A. (huyện Nhà Bè, TPHCM) kể, trưa 17/6, chị nhận được cuộc gọi từ số máy lạ, thông báo ứng dụng Ngân hàng thương mại cổ phần (TMCP) Phương Đông (OCB) mà chị đang dùng bị lỗi hệ thống, yêu cầu chị phải làm một số thao tác để thuận tiện cho việc đăng ký sinh trắc học Face ID.

Do bận việc, chị A. tắt máy. Người này tiếp tục gọi điện, dọa rằng nếu chị A. không nhanh chóng đăng ký Face ID, sẽ bị công an xử phạt. Sau đó không lâu, một người khác gọi cho chị, tự nhận là cán bộ Bộ Công an, đề nghị chị A. phải phối hợp với cán bộ ngân hàng, tức kẻ vừa gọi cho chị trước đó. Sau đó, những người này kết bạn với chị A. qua Zalo, yêu cầu tải đường dẫn (link) mà họ nói là “ứng dụng ngân hàng”. Định làm theo nhưng hơi nghi ngờ nên chị hỏi tổng đài OCB thì nhận cảnh báo đây là chiêu thức lừa đảo.

Một khách hàng đang xác thực gương mặt để thanh toán qua ứng dụng ví điện tử MoMo

Chị T.P. (quận 3, TPHCM) cũng nhận được cuộc gọi của kẻ tự xưng là nhân viên Ngân hàng TMCP Công thương Việt Nam (VietinBank), thông báo tài khoản ngân hàng của chị bị khóa do chưa cập nhật Face ID, yêu cầu chị làm theo hướng dẫn để mở khóa. Kẻ này sau đó gọi lại, hối thúc chị làm nhanh. Chị P. mở ứng dụng VietinBank kiểm tra thì thấy ứng dụng bị khóa thật. Tuy nhiên, khi gọi điện thoại tới tổng đài VietinBank kiểm tra, chị được thông báo có ai đó đã nhập sai mật khẩu hơn 3 lần nên tài khoản tự động bị khóa. Tất nhiên, người nhập không phải là chị.

Ông Phạm Nguyễn Hoàng Bảo - Trưởng phòng Nghiên cứu và Phát triển, Trung tâm Đào tạo quản trị mạng và an ninh mạng quốc tế Athena - lý giải: có thể trước đó, chị P. đã vô tình tải một ứng dụng nào đó có chứa mã độc, chấp nhận “quyền trợ năng” nên kẻ xấu đã theo dõi, thu thập, đánh cắp toàn bộ thông tin trên điện thoại. May là chị chưa dùng điện thoại để mở ứng dụng ngân hàng nên kẻ xấu chưa đánh cắp được mật khẩu đăng nhập ứng dụng để chiếm đoạt tiền, phải bày ra kịch bản “đăng ký Face ID” mà nhiều người đang quan tâm để thao túng tâm lý.

Cần sự phối hợp liên ngân hàng

Ông Lê Anh Dũng - Phó vụ trưởng Vụ Thanh toán, Ngân hàng Nhà nước (NHNN) - cho biết, quy định mới về xác thực sinh trắc học đối với giao dịch từ 10 triệu đồng/lần hoặc 20 triệu đồng/ngày là nhằm bảo vệ quyền lợi người tiêu dùng, ngăn chặn lừa đảo trực tuyến, hạn chế tài khoản không chính chủ chuyển tiền đã chiếm đoạt của nạn nhân để tẩu tán. Tội phạm mạng đã lợi dụng quy định này để lừa đảo.

Theo ông Ngô Minh Hiếu (Hiếu PC), công tác tại Trung tâm Giám sát an toàn không gian mạng quốc gia, Bộ Thông tin và Truyền thông), quy định xác thực Face ID là một bước tiến trong việc bảo mật giao dịch, giúp giảm thiểu rủi ro về an toàn thông tin khi giao dịch, nhưng việc xác thực vẫn có thể có lỗ hổng mà tội phạm có thể lợi dụng. Chẳng hạn, nếu chúng thuyết phục được nạn nhân thực hiện các giao dịch một cách tự nguyện thì việc xác thực Face ID cũng trở nên vô nghĩa. Hay khi điện thoại bị nhiễm mã độc, chúng có thể điều khiển thiết bị từ xa và thu lại video các thao tác trên máy cũng như hình ảnh, video khuôn mặt của nạn nhận và dùng nó để rút tiền từ tài khoản của nạn nhân.

Ông Ngô Minh Hiếu cho rằng, để ngăn chặn các giao dịch từ tiền lừa đảo, cần triển khai hệ thống “báo động đỏ liên ngân hàng” để sớm đóng băng các tài khoản lừa đảo mà tội phạm sử dụng. Hệ thống này giúp các ngân hàng và cơ quan chức năng nhanh chóng trao đổi thông tin về các tài khoản có hoạt động đáng ngờ và từ đó áp dụng các biện pháp can thiệp kịp thời, giảm thiểu rủi ro, mất mát cho khách hàng. “Để hệ thống này hoạt động hiệu quả, cần có sự phối hợp chặt chẽ giữa các ngân hàng cùng những quy định và hướng dẫn rõ ràng từ cơ quan quản lý nhà nước, đồng thời cũng cần nguồn lực để triển khai và duy trì hệ thống” - ông nói.

Ông Ngô Tấn Vũ Khanh - Giám đốc quốc gia hãng Kaspersky tại Việt Nam - thông tin, theo khảo sát của Kaspersky, những rủi ro trong giao dịch thanh toán điện tử đều do người dùng chưa ý thức rõ về tính an toàn thông tin, bảo mật trên các thiết bị của mình. Một trong những thách thức của ngân hàng là khó xác định được giao dịch chuyển tiền do ai thực hiện, nên việc ngân hàng quy định đăng ký sinh trắc học là hợp lý, giúp họ xác định được người thực hiện giao dịch và ngăn được tội phạm trực tuyến mà không làm gián đoạn tiến trình thanh toán. Tuy nhiên, trong lĩnh vực bảo mật, không có giải pháp nào được xem là an toàn tuyệt đối mà luôn có lỗ hổng và kẻ gian dựa vào đó để lập ra các kịch bản lừa đảo.

Ông Ngô Tấn Vũ Khanh cũng đồng tình với việc có thêm nhiều giải pháp để bảo vệ người dùng, trong đó có hệ thống “báo động đỏ liên ngân hàng” mà các nước phát triển đang áp dụng khá
hiệu quả.

Thanh Hoa