Chuyên gia an ninh mạng Hiếu PC cảnh báo chiêu lừa đảo qua điện thoại mới, người dân tuyệt đối không làm 3 điều này

Những năm gần đây, tình trạng lừa đảo trực tuyến gia tăng mạnh, khiến hàng nghìn người trở thành nạn nhân và bị chiếm đoạt tài sản. Trước diễn biến phức tạp này, chuyên gia an ninh mạng Ngô Minh Hiếu (Hiếu PC) liên tục lên tiếng cảnh báo về thủ đoạn lừa đảo với mức độ tinh vi cao, có thể khiến nạn nhân mất sạch tiền trong tài khoản nếu thiếu cảnh giác.

Theo đó, trên trang Facebook cá nhân, Hiếu PC nhấn mạnh: "Số điện thoại hiển thị trên màn hình chưa chắc là số thật đang gọi". Giải thích về chiêu thức lừa đảo này, chuyên gia an ninh mạng bày tỏ đây là kỹ thuật giả mạo số điện thoại hiển thị (Caller ID Spoofing).

Cụ thể, người gọi không nhất thiết phải dùng đúng số thật của họ khi thực hiện cuộc gọi nhưng điện thoại người nhận vẫn có thể hiển thị một số khác trên màn hình. Điều này có nghĩa, khi có cuộc gọi điện, số người nhận nhìn thấy hiển thị chưa chắc đã là số thật đang gọi. Hiếu PC cho biết, một số cơ quan quản lý viễn thông trên thế giới cũng đã cảnh báo rõ rằng kẻ gian có thể làm cho màn hình hiển thị bất kỳ số hoặc tên nào để tạo cảm giác tin tưởng.

Anh giải thích thêm, về mặt kỹ thuật, một cuộc gọi thường có phần đường đi thật trong mạng viễn thông và phần thông tin hiển thị cho người nhận. Hai phần này có thể giống nhau nhưng cũng có thể khác nhau. Các cơ quan quản lý viễn thông mô tả đây là sự khác nhau giữa số dùng trong mạng và số dùng để hiển thị ra màn hình. Vì vậy, việc điện thoại hiện đúng số ngân hàng, đúng tên nhân viên hoặc đúng số khách hàng không đủ để khẳng định người gọi là thật.

Thủ đoạn lừa đảo này thường lợi dụng các nền tảng gọi điện qua VoIP, tức là công nghệ cho phép thực hiện cuộc gọi qua Internet thay vì sử dụng mạng điện thoại truyền thống. Khi đó, cuộc gọi không xuất phát trực tiếp từ số thật mà được tạo ra thông qua một hệ thống trung gian.

Chia sẻ về kinh nghiệm của bản thân, Hiếu PC cho biết anh từng thử và vượt qua được cơ chế siết chặt bảo mật của Twilio hay MessageBird về xác thực số điện thoại người gọi. Nói đơn giản, nếu khâu xác minh quyền sử dụng số không chặt hoặc bị lạm dụng, nó có thể dẫn tới hiện tượng giả mạo Caller ID.

Theo anh, điều này rất nguy hiểm vì những cuộc gọi “giống như từ số quen”, nhưng nguồn gốc thật lại hoàn toàn khác. Bởi nếu người dùng tin tưởng vào số điện thoại hiển thị, kẻ gian có thể giả danh nhân viên ngân hàng, công an, nhân viên chăm sóc khách hàng... và dựng lên các kịch bản lừa đảo tinh vi như “Tài khoản có vấn đề”; “Có giao dịch gian lận”; “Cần xử lý gấp”; “Thẻ tín dụng bị khóa”... Tiếp đó, chúng hối thúc bị hại phải thực hiện theo các yêu cầu, không được chậm, phải giữ máy, không được cúp, bắt chuyển tiền để “bảo vệ tiền” hoặc yêu cầu cung cấp mã xác minh, OTP, thông tin thẻ, mật khẩu...

Chuyên gia Hiếu PC nhấn mạnh: "Bất kỳ ai gọi đến mà xin mã xác minh đều là lừa đảo. Các cuộc gọi mạo danh ngân hàng hoặc bộ phận chống gian lận thường dựng lên câu chuyện “tài khoản có vấn đề” để dụ nạn nhân làm theo".

Vì thế, anh cho rằng người dân tuyệt đối không nên trả lời các câu hỏi có thể khiến mình vô tình xác nhận, đặc biệt là các câu chỉ cần đáp “có” hoặc “không”. Mọi người không cung cấp thông tin cá nhân như số tài khoản, CCCD, mật khẩu, thông tin thẻ, mã OTP, hay bất kỳ dữ liệu định danh nào khi nhận cuộc gọi bất ngờ hoặc khi thấy nghi ngờ.

Nếu có người tự xưng là đại diện công ty hoặc cơ quan nhà nước, tốt nhất bạn hãy cúp máy và chủ động gọi lại theo số chính thức trên sao kê, website hoặc kênh liên hệ chính thống để kiểm tra. Với các yêu cầu thanh toán hoặc xử lý nghiêm trọng, thông thường đơn vị hợp pháp sẽ có thông báo chính thức bằng văn bản hoặc qua kênh xác thực khác, chứ không chỉ gọi điện bất ngờ để thúc ép.

Quan trọng nhất, mọi người đừng cố phân biệt thật - giả chỉ bằng số hiển thị bởi có lúc nó hiện đúng 100% số thật, có lúc thêm mã quốc gia như +1, có lúc lại hiện số lạ. Điều cần phân biệt là nội dung cuộc gọi: có hối thúc không, có xin mã xác minh không, có bắt chuyển tiền không...

Chuyên gia Hiếu PC cũng bày tỏ thêm, đối với các ngân hàng, rủi ro lớn nhất là tin vào số điện thoại hiển thị như một cách xác minh danh tính. Nếu chỉ dựa vào việc “gọi đúng số đăng ký” để xác nhận khách hàng, kẻ gian có thể giả mạo nhằm yêu cầu đổi mật khẩu, cập nhật thông tin hoặc chiếm quyền tài khoản.

Vì vậy, số điện thoại hiển thị chỉ nên mang tính tham khảo, không phải bằng chứng xác thực. Với các yêu cầu nhạy cảm, ngân hàng cần áp dụng thêm các lớp bảo mật như: Xác nhận qua ứng dụng chính thức; Gọi lại theo số đã lưu; Xác thực đa lớp (MFA).