Chiếm đoạt SIM để "cuỗm" tiền tỉ: Hacker đã làm điều đó như thế nào?

Thủ đoạn chiếm đoạt SIM hoặc thông tin cá nhân để lấy trộm tiền từ tài khoản ngân hàng không mới, nhưng nhiều người vẫn bị sập bẫy.

Cùng với sự phát triển của công nghệ và dịch vụ Internet Banking, việc người dùng tận dụng nền tảng ngân hàng trực tuyến để gửi tiền tiết kiệm ngày càng trở nên phổ biến. Điều này dẫn đến cơ hội cho tội phạm mạng tấn công và đánh cắp tiền từ tài khoản của khách hàng. Thủ đoạn chiếm đoạt SIM hoặc thông tin cá nhân để lấy trộm tiền từ tài khoản ngân hàng không mới, nhưng nhiều người vẫn bị sập bẫy.

SIM điện thoại có thể bị kẻ gian hack, chiếm đoạt.

Trao đổi với PV về thực trạng này, bà Võ Dương Tú Diễm - Giám đốc vùng Kaspersky Việt Nam, Myanmar và Cambodia nhận định, tội phạm mạng đã và đang không ngừng đổi mới trong các thủ đoạn tấn công và đánh cắp thông tin của khách hàng trên môi trường kỹ thuật số. Việc nạn nhân bị đánh cắp tiền trong tài khoản cũng đồng nghĩa với việc thông tin cá nhân của họ như email, số điện thoại, mã OTP bị rò rỉ và bị tội phạm mạng chiếm đoạt.

Theo bà Diễm, tội phạm mạng có thể sử dụng nhiều chiến thuật khác nhau để thu thập thông tin người dùng, chẳng hạn như lợi dụng AI để xây dựng các kịch bản gian lận tự động, mạo danh các tổ chức tài chính hoặc thu thập thông tin cá nhân được công khai trên internet. Chỉ cần có tài khoản email và SIM điện thoại, kẻ gian có thể chiếm đoạt hầu hết các tài khoản trên điện thoại thông minh của người dùng, từ đó đánh cắp hàng tỉ đồng từ thẻ tín dụng hoặc tài khoản tiết kiệm online của nạn nhân.

"Ngoài những công nghệ tinh vi như sử dụng AI, tội phạm mạng còn lợi dụng những kẽ hở trong việc bảo mật thông tin của khách hàng. Hãy tưởng tượng rằng nếu bạn đang đi trên đường và gặp một người tự xưng là cảnh sát và yêu cầu cung cấp thông tin cá nhân, điều quan trọng là bạn phải quan sát và xác minh thêm về chức vụ thật sự của người này trước khi cung cấp giấy tờ tùy thân của bạn", bà Diễm ví von.

Tương tự, trên môi trường số, bà Diễm cho rằng: Cho dù công nghệ bảo mật của nhà mạng và ngân hàng có tiên tiến đến đâu, việc cung cấp thông tin cá nhân cho người lạ tự xưng là nhân viên của nhà mạng hoặc tổ chức tài chính, cũng không đảm bảo an toàn cho thông tin cá nhân của bạn.

Nó thậm chí có thể gây hại và khiến bạn tiêu tốn hàng tỉ đồng nếu gặp phải kẻ lừa đảo. Trong trường hợp này, điều quan trọng là người dùng phải tỉnh táo và trang bị đầy đủ kiến thức để tránh rơi vào bẫy của bọn tội phạm mạng. Việc bảo mật thông tin cá nhân như địa chỉ email, số điện thoại, tài khoản ngân hàng trên mạng xã hội là vô cùng quan trọng.

Bà Võ Dương Tú Diễm - Giám đốc vùng Kaspersky Việt Nam, Myanmar và Cambodia.

"Nếu điện thoại bị xâm nhập, hầu hết các trojan ngân hàng di động đều cố gắng truy cập vào các tin nhắn SMS, thông qua đó ngăn chặn mã xác nhận một lần từ các ngân hàng. Sau khi có được mã, kẻ sở hữu phần mềm độc hại có thể thực hiện thanh toán hoặc rút tiền mà nạn nhân không nhận ra. Đồng thời, nhiều trojan di động sử dụng tin nhắn SMS để lây nhiễm sang nhiều thiết bị hơn bằng cách gửi cho các liên hệ của nạn nhân một liên kết tải xuống phần mềm độc hại", bà Diễm cảnh báo.

Do đó, để bảo vệ thông tin cá nhân và tài sản, người dùng chú ý:

- Chặn cài đặt chương trình từ các nguồn không xác định. Điều này sẽ giảm thiểu cơ hội sở hữu một số ứng dụng gây rối trong thiết bị.

- Không nhấp vào các liên kết trong tin nhắn SMS, đặc biệt nếu tin nhắn có dấu hiệu đáng ngờ. Ví dụ: Một người bạn bất ngờ nhắn cho bạn một liên kết tới hình ảnh thay vì gửi nó trong ứng dụng nhắn tin hoặc mạng xã hội.

- Không cấp quyền không cần thiết cho bất kỳ ứng dụng nào yêu cầu chúng. Ví dụ: Một ứng dụng chỉnh sửa ảnh yêu cầu truy cập tin nhắn, danh bạ.

- Hãy cảnh giác với các ứng dụng muốn truy cập vào dữ liệu nhạy cảm.

- Cài đặt một giải pháp bảo mật đáng tin cậy trên điện thoại.

Ngoài ra, theo bà Võ Dương Tú Diễm, mã QR thông minh cũng có thể ẩn chứa rủi ro. Khi người dùng chụp ảnh mã QR, liên kết mà mã đó lưu trữ sẽ được hiển thị đầu tiên trên màn hình của thiết bị. Tuy nhiên, tội phạm mạng cũng sử dụng các dịch vụ rút ngắn URL (chẳng hạn như bit.ly và các dịch vụ khác) để ngụy trang địa chỉ cuối cùng được lưu trữ trong mã QR.

"Điều này có thể dẫn đến một trang có phần mềm độc hại đánh cắp thông tin đăng nhập của người dùng hoặc một trang web lừa đảo. Tình hình còn phức tạp hơn bởi thực tế là không phải lúc nào trình duyệt trên thiết bị di động cũng có khả năng hiển thị URL đầy đủ của trang đã mở. Đây là một điểm bất lợi thực sự trong việc cố gắng phát hiện lừa đảo", bà cảnh báo thêm.

Để tránh mối đe dọa này, hãy làm theo ba khuyến nghị đơn giản sau đây:

- Trước khi quét mã QR, hãy đảm bảo mã đó không che các mã khác. Nếu nghi ngờ, đừng quét!

- Sau khi mở cửa hàng ứng dụng hoặc trang web trong trình duyệt trên thiết bị di động, hãy đảm bảo rằng mã QR đưa đến đúng nơi cần.

+ Nếu sắp cài đặt một ứng dụng, hãy đảm bảo ứng dụng đó được phát triển bởi công ty có quảng cáo hoặc thông tin mà bạn chắc chắn biết uy tín. Ngoài ra, hãy kiểm tra xem xếp hạng của ứng dụng và đánh giá của người dùng trước (nếu có rất ít hoặc không có đánh giá, tốt nhất nên hoãn lại việc cài đặt).

+ Nếu mã QR dẫn đến một trang web, hãy kiểm tra URL đầy đủ.

Hiện nay, người dùng cá nhân có thể tham khảo các giải pháp bảo mật như Kaspersky Internet Security. Đối với doanh nghiệp, Kaspersky có dịch vụ Digital Footprint Intelligence giúp ngân hàng tạo “chân dung kỹ thuật số”, sau đó theo dõi các dấu hiệu nguy hiểm. Đôi khi điều này hỗ trợ ngân hàng kịp thời ngăn chặn các sự cố mạng khá nghiêm trọng.

Ngoài ra, để bảo vệ khỏi các cuộc tấn công tinh vi, Kaspersky khuyến nghị ngân hàng nên sử dụng các dịch vụ như Managed Detection and Response. Nó cho phép đội ngũ an ninh mạng sử dụng sự trợ giúp của các chuyên gia bên ngoài để phát hiện và ngăn chặn các cuộc tấn công phức tạp vào cơ sở hạ tầng của công ty ở giai đoạn đầu.

Nguồn: [Link nguồn]Nguồn: [Link nguồn]