Tin vào quảng cáo trúng thưởng, đường link lạ, nhiều nạn nhân mất tiền oan vì lộ mã OTP
Hàng loạt tài khoản ngân hàng bị đánh cắp đồng nghĩa với việc số tiền có trong tài khoản cũng nhanh chóng bốc hơi. Điều này cho thấy mã OTP đang dần trở nên mong manh hơn trong hoạt động bảo mật.
Liên tiếp mất tiền vì lộ mã OTP
Xã hội và công nghệ ngày càng phát triển dẫn đến việc thanh toán qua Internet Banking cũng trở nên phổ biến. Quả thật ngân hàng điện tử đã mang lại rất nhiều lợi ích cho người dùng và các ngân hàng. Thế nhưng ngoài lợi ích là những hệ lụy, những vụ lừa đảo, chiếm đoạt tài sản liên tiếp diễn ra.
Thời gian qua, hàng loạt tài khoản ngân hàng mất tiền lo để lộ hoặc bị chiếm đoạt mã OTP (mật khẩu dùng 1 lần) dưới các hình thức phổ biến như: Giả mạo nhân viên ngân hàng, giả mạo cơ quan chức năng, giả mạo bạn bè người thân, lừa đảo nhận quà từ nước ngoài, lừa đảo trúng thưởng, lừa đảo làm nhiệm vụ hoa hồng…
Cuối tháng 7/2023, Hoàng Trọng Vỹ, Trần Văn Xuân và 6 đối tượng khác đã bị Công an TPHCM khởi tố về hành vi “Sử dụng mạng máy tính, mạng viễn thông, phương tiện điện tử thực hiện hành vi chiếm đoạt tài sản". Vụ việc này xảy ra tại Công ty TVX Group.
Được biết tháng 1/2023, Vũ và Xuân có được thông tin khách hàng được cấp thẻ tín dụng tại các ngân hàng. Biết các ngân hàng sẽ áp dụng mức phí cao khi thực hiện việc rút tiền mặt bằng thẻ tín dụng, Vỹ và Xuân đã bàn nhau thuê thêm người đóng giả nhân viên ngân hàng, tổ chức tín dụng để gọi điện đến khách hàng. Đồng thời đề nghị hỗ trợ rút tiền mặt từ hạn mức thẻ được cấp mà không mất phí.
Sau đó, nhóm đối tượng này đã yêu cầu khách hàng phải cung cấp thông tin thẻ, mã OTP, rồi rút tiền thông quá các ví điện tử, trang thương mại trực tuyến. Chỉ trong khoảng thời gian ngắn, nhóm đối tượng đã chiếm đoạt 136 tỉ đồng khi rút tiền từ 7.012 thẻ tín dụng.
Cách đây chưa lâu, anh N.T.A (ở P. Bắc Sơn, Bỉm Sơn, Thanh Hóa) làm nghề bán quần áo trên mạng đã đến trụ sở Công an thị xã Bỉm Sơn trình báo về việc bị mất gần 400 triệu do nhập tài khoản, mã OTP ngân hàng khi nhấp vào đường link lạ.
Trong đơn trình báo, anh A. cho biết có một đối tượng sử dụng tài khoản Facebook “Thanh Ngo Kim” đã tiếp cận anh và hỏi mua quần áo.
Khi thống nhất số lượng và giá cả, “Thanh Ngo Kim” đã gửi cho anh A. đường link lạ và yêu cầu anh đăng nhập để nhận tiền đặt cọc. Tin lời, anh A. bấm vào đường link và nhập thông tin, mã OTP giao dịch. Ngay sau đó, anh phát hiện gần 400 triệu trong tài khoản ngân hàng của mình đã “không cánh mà bay”.
Nhận được tin báo của anh A., Công an thị xã Bỉm Sơn đã khẩn trương vào cuộc và phối hợp với các đơn vị chức năng điều tra, xác minh, làm rõ vụ việc. Sau một thời gian ngắn, cơ quan chức năng xác định Lê Phú Quốc( 22 tuổi, trú tại xã Tân Lập, huyện Hướng Hóa, tỉnh Quảng Trị) là thủ phạm chính của vụ lừa đảo.
Ngày 5/7, Công an thị xã Bỉm Sơn đã khởi tố vụ án, khởi tố bị can và tạm giam đối với đối tượng Lê Phú Quốc về hành vi lừa đảo chiếm đoạt tài sản.
Tại tỉnh Quảng Ngãi, sau khi nhận được tin nhắn thông báo trúng thưởng kèm dường link lạ, nạn nhân đã vô tình tải một ứng dụng có chứa mã độc, bị chiếm mã OTP và mất luôn tài khoản ngân hàng. Ngay sau đó, nạn nhân cũng mất hơn 40 triệu đồng trong tài khoản.
Mã OTP ngày càng mong manh
Đó chỉ là 3 trong số rất nhiều vụ việc bị lừa tiền, chiếm đoạt mã OTP từ người dùng tài khoản ngân hàng. Bên cạnh đó còn có rất nhiều người mất tiền do bị lừa đảo trúng thưởng, nhận quà từ nước ngoài.
Thông qua các tin nhắn, email hoặc các trang web giả mạo, các đối tượng lừa đảo đã tạo ra những cuộc thi trúng thưởng không có thật với mục đích chiếm thông tin cá nhân hoặc lừa đảo tiền bạc của người nhẹ dạ, cả tin. Đánh vào lòng tham của con người, các thông điệp của nhóm lừa đảo thường nhấn mạnh việc trúng thưởng số tiền lớn, quà khủng, yêu cầu thanh toán tiền mới được nhận thưởng, dụ dỗ làm nhiệm vụ, cung cấp mã OTP tài khoản ngân hàng hoặc yêu cầu cung cấp thông tin cá nhân.
Và tất nhiên sau khi chuyển tiền, nạn nhân không còn liên lạc được với công ty hay tổ chức chương trình trúng thưởng nữa. Đối tượng lừa đảo hoàn toàn biến mất và không để lại dấu vết khiến nạn nhân rất khó đòi được số tiền đã mất. Với thủ đoạn này, nhiều nạn nhân đã sập bậy số tiền lớn từ vài triệu, chục triệu, trăm triệu thậm chí là hàng tỉ đồng.
Trong báo cáo nghiên cứu về hoạt động xác thực ngành tài chính toàn cầu năm 2022, Phó Cục trưởng Cục An toàn thông tin, Bộ Thông tin và Truyền thông Trần Đăng Khoa cho biết có tới 99% người tham gia nghiên cứu đồng ý rằng OTP hiện nay không còn đủ mạnh. Cụ thể trước các cuộc tấn công ngày càng hiện đại, tinh vi như hiện nay thì các phương pháp xác thực truyền thống, chỉ dựa vào mật khẩu và xác thực một lần OTP sẽ không còn thể bảo vệ tài khoản.
Tổng Giám đốc của Công ty Cổ phần dịch vụ an ninh mạng VinCSS - ông Đỗ Ngọc Duy Trác cho hay khu vực châu Á - Thái Bình Dương đang trải qua giai đoạn thay đổi quan trọng, khi các mối nguy về tấn công mạng nhắm vào các phương thức xác thực truyền thống hay OTP ngày càng gia tăng và để lại những hậu quả nặng nề. Điều này đã được chứng minh qua các cuộc tấn công lừa đảo thông qua email (phishing), mã độc đánh cắp thông tin tài khoản và thói quen sử dụng mật khẩu yếu của người dùng.
