Các hình thức gian lận "nở rộ" trên không gian số
Thời gian qua, tình hình tội phạm và vi phạm pháp luật liên quan đến hoạt động lừa đảo chiếm đoạt tài sản xảy ra liên tục, tại nhiều địa phương, gây bức xúc trong dư luận xã hội, ảnh hưởng đến an ninh, trật tự, hoạt động sản xuất, kinh doanh của doanh nghiệp và đời sống nhân dân.
Các đối tượng sử dụng nhiều thủ đoạn tinh vi, liên tục thay đổi, sử dụng số điện thoại rác, tài khoản ngân hàng, tài khoản mạng xã hội ảo, nhằm trốn tránh, xoá dấu vết sau khi chiếm đoạt tiền. Cho dù liên tục được cảnh báo, nhưng nhiều người vẫn bị mắc lừa, số tiền bị chiếm đoạt lên tới hàng nghìn tỷ đồng.
Theo Cục An ninh mạng và phòng chống tội phạm sử dụng công nghệ cao, Bộ Công an, trong năm 2023, tổng số tiền người dân bị các đối tượng lừa đảo chiếm đoạt trên mạng khoảng 8.000 - 10.000 tỷ đồng, tăng gấp rưỡi so với năm 2022.
Đây là con số dựa trên những sự việc người dân đến trình báo cơ quan công an. Bộ Công an cũng cho biết, trong năm qua đã khởi tố 1.500 vụ án vì tội lừa đảo trên không gian mạng.
Cũng trong thời gian này, Bộ Thông tin và Truyền thông đã nhận được gần 17.400 phản ánh về trường hợp lừa đảo trực tuyến hướng đến người dùng Internet Việt Nam. Trong đó, tổng số tiền người dân đã bị lừa đảo được ghi nhận hơn 300 tỷ đồng.
Tại Toạ đàm Các giải pháp phòng, chống lừa đảo trên không gian mạng do Hiệp hội An ninh mạng quốc gia tổ chức ngày 13/5, chỉ ra một phương thức lừa đảo chính trên không gian mạng, ông Nguyễn Thế Na, Giám đốc Trung tâm Khoa học dữ liệu CTCP Giải pháp Thanh toán Việt Nam (VNPay) cho biết, tội phạm thường khai thác lỗ hổng thiết bị bằng cách lừa gạt cài đặt các ứng dụng chứa trojan thu thập thông tin sinh trắc học, điều khiển tự động thiết bị khách hàng; khai thác dựa trên công nghệ AI (sử dụng công nghệ AI-Deepfake để tạo dữ liệu khuôn mặt/video người dùng); khai thác lỗ hổng nghiệp vụ (mở tài khoản trùng tên ai đó và lừa người thân của họ; chuyển tiền lừa được lòng vòng, qua nhiều thiết bị, tài khoản khác nhau).
Dưới góc nhìn thực tiễn từ quy trình nghiệp vụ ngân hàng, ông Nguyễn Thành Long, Phó Tổng Giám đốc – Giám đốc Pháp chế và kiểm soát tuân thủ, VPBank nêu rõ các dạng gian lận lừa đảo phổ biến. Cụ thể:
Về chiếm tiền trực tiếp của khách hàng, kẻ gian giả mạo tài khoản người khác, đánh vào tâm lý, lợi dụng sự tin tưởng, để lừa đảo bạn bè/người thân của họ chuyển tiền hoặc đánh cắp/mua tài khoản bị lộ lọt của người khác, sau đó sử dụng tài khoản đó để lừa đảo bạn bè/người thân của họ.
Hoặc giả mạo cơ quan chức năng, đánh vào tâm lý, sự sợ hãi hoặc lòng tham để lừa đảo ép chuyển. Đe dọa những người cao tuổi/người ít cập nhật thông tin, có tài khoản ngân hàng/có tiền tiết kiệm. Còn hình thức khác, giả mạo doanh nghiệp lừa mua/thanh toán tiền dịch vụ và chiếm đoạt.
Về chiếm tiền gián tiếp thông qua chiếm đoạt thông tin xác thực, kẻ gian giả mạo cơ quan chức năng thuế/dịch vụ công/công an gọi điện thoại, gây sự sợ hãi và yêu cầu cài đặt phần mềm giả độc hại từ đó chiếm quyền điều khiển điện thoại và chiếm đoạt các thông tin xác thực, tài khoản internet banking và tiền.
Theo ông Nguyễn Thành Long, kẻ lừa đảo thường lợi dụng các xu hướng như kỳ quyết toán thuế, để lừa đảo cài phần mềm thuế/dịch vụ công hoặc lợi dụng kỳ cập nhật thông tin cá nhân cho căn cước công dân mới để yêu cầu cài đặt phần mềm dịch vụ công. Ngoài ra, tội phạm còn thu thập được từ trước các thông tin cá nhân như tên, tháng năm sinh, số CCCD, địa chỉ... để tạo sự tin tưởng và dễ thực hiện lừa đảo.
Kẻ gian còn có hình thức giả mạo tin nhắn SMS thương hiệu ngân hàng thông qua BTS giả, kèm theo đường link lừa đảo để khách hàng nhập thông tin xác thực.
Hoặc giả mạo nhân viên ngân hàng, gọi điện giới thiệu chương trình miễn phí thẻ thường niên/tăng hạn mức thẻ/ưu đãi. Sau đó kết bạn zalo và gửi link website giả mạo, từ đó chiếm đoạt các thông tin xác thực/thông tin thẻ, mã OTP – từ đó chiếm đoạt tiền.
Ông Nguyễn Thành Long chỉ ra 3 nguyên nhân chính dẫn đến nguy cơ gian lận, lừa đảo.
Thứ nhất, giới hạn công nghệ. Theo đó, tội phạm liên tục cập nhật, khai thác giới hạn trong các công nghệ giao dịch điện tử mới. Các biện pháp xác thực giao dịch ngân hàng vẫn phụ thuộc nhiều vào các yếu tố truyền thống
Thứ hai, quy trình nghiệp vụ. Kẽ hở từ quy trình mở, thuận tiện dễ dàng cho khách hàng. Cơ chế, quy trình phối hợp, xử lý các vụ việc lừa đảo mất tiền hiện nay còn khá phức tạp và mất nhiều thời gian.
Thứ ba, con người. Theo ông Long, nhận thức an ninh bảo mật chưa tốt, sự mất cảnh giác và dễ dàng cung cấp các thông tin nhạy cảm như thông tin xác thực, thông tin cá nhân lên mạng internet.
Phát triển các giải pháp an toàn số
Các đối tượng lừa đảo không ngừng thay đổi và áp dụng các kỹ thuật mới để dễ dàng lấy được lòng tin hơn. Điều này đòi hỏi các tổ chức phải liên tục cập nhật và nâng cao khả năng phòng ngừa và phát hiện các hình thức lừa đảo.
Chia sẻ các giải pháp tại MoMo, ông Thái Trí Hùng, Phó Tổng Giám đốc cấp cao MoMo cho biết, đối với hiện tượng lừa đảo người dùng tự thanh toán, liên kết thanh toán: xây dựng các công cụ để xác định các page, group, url giả mạo MoMo lừa đảo người dùng trên mạng xã hội và phối hợp cơ quan chức năng/đơn vị để ngăn chặn; xây dựng các công cụ tự động dựa vào rule-based và AI-based để phát hiện và ngăn chặn dựa theo các hành vi bất thường; truyền thông cho người dùng biết, nhận thức các thông tin giả mạo, các kịch bản thực hiện của các đối tượng lừa đảo.
Đối với hiện tượng lừa đảo người dùng cài đặt phần mềm độc hại: Triển khai thêm việc mã hóa dữ liệu ở payload để đảm bảo tính toàn vẹn dữ liệu phân tích hành vi của mã độc; xác định các tài khoản ngân hàng mà các đối tượng sử dụng; chặn chuyển tiền đến các tài khoản nhận tiền của các đối tượng; khóa cashout user bật tính năng accessibility và app nghi ngờ app dính mã độc; chặn user login vào app khi bật tính năng accessibility; liên hệ với khách hàng để hướng dẫn khách hàng để xử lý; giám sát, cảnh báo, phối hợp xử lý các cảnh báo các hành vi bất thường của các loại mã độc….
Thông tin về các giải pháp đang nghiên cứu và hợp tác phát triển, ông Đinh Văn Kiệt, Giám đốc Sản phẩm, Công ty An ning mạng Viettel chia sẻ về 3 lớp giải pháp bảo vệ liền mạch: Network - Endpoint device - Home router. 3 lớp giải pháp này sẽ xây dựng nguồn dữ liệu về các domain độc hại, phishing,.. tại Việt Nam, kết nối với các cơ quan nhà nước, đồng thời trải nghiệm bảo vệ người dùng thống nhất, hơn các giải pháp đứng riêng lẻ, parental control và báo cáo được cá nhân hóa.
Bên cạnh đó, ông Đinh Văn Kiệt nhấn mạnh, để hoá giải các thách thức lừa đảo trên không gian mạng, cần nghiên cứu và áp dụng các công nghệ xử lý dữ liệu lớn và AI để phát hiện các hoạt động lừa đảo, trục lợi thông qua việc phân tích dữ liệu lớn và nhận biết các dấu hiệu bất thường; hợp tác giữa các tổ chức và cơ quan thực thi pháp luật có thể tăng cường khả năng phòng chống lừa đảo; chia sẻ thông tin về các hình thức lừa đảo mới và các kỹ thuật phát hiện hiệu quả giữa các tổ chức giúp bảo vệ được khách hàng và làm giảm tổn thất do lừa đảo….