Tóm tắt:
Trong thời gian thực hiện giãn cách xã hội phòng, chống dịch Covid-19, các hoạt động thanh toán trực tuyến ngày càng gia tăng và đây cũng là cơ hội phát sinh những hoạt động lừa đảo. Cùng với sự phát triển nhanh chóng của các dịch vụ ngân hàng hiện đại, tội phạm công nghệ cao ngày càng có nhiều chiêu thức lừa đảo vô cùng tinh vi. Bài viết khái quát một số thủ đoạn, hành vi lừa đảo của bọn tội phạm công nghệ cao trong lĩnh vực ngân hàng trực tuyến; đồng thời, đề xuất một số khuyến nghị nhằm giúp khách hàng tăng cường cảnh giác trước các chiêu trò lừa đảo.
Từ khóa: Covid-19, hình thức lừa đảo, lừa đảo ngân hàng.
1. Giới thiệu
Cùng với sự phát triển của các công nghệ hiện đại, các gian lận trong ngân hàng trực tuyến cũng gia tăng đáng kể trong những năm gần đây. Gian lận trong lĩnh vực ngân hàng đã trở thành một vấn đề đáng lo ngại đối với hầu hết các quốc gia trên toàn cầu, gây ra những thiệt hại đáng kể về tài chính và phi tài chính cho ngân hàng, khách hàng, các bên liên quan khác và nền kinh tế (Mangala và Soni, 2022). Các hình thức lừa đảo trực tuyến cũng ngày càng gia tăng cùng với sự phát triển của các dịch vụ ngân hàng trực tuyến. Những kẻ lừa đảo đã giăng ra nhiều cái bẫy mới như sử dụng các ứng dụng giả mạo, số điện thoại trợ giúp, đánh cắp thông tin cá nhân từ sim điện thoại, sử dụng tài khoản mạng xã hội giả của các ngân hàng, người thân để lừa đảo khách hàng...
Đại dịch Covid-19 cùng với những yêu cầu về giãn cách xã hội, phong tỏa, hạn chế tiếp xúc đã làm thời gian sử dụng Internet của người tiêu dùng Việt Nam tăng cao, vì thế các vụ lừa đảo trực tuyến có xu hướng gia tăng rõ rệt. Một cuộc khảo sát cho biết, trước dịch Covid-19, cứ 10 giao dịch thì có 6 - 8 giao dịch là thanh toán bằng tiền mặt nhưng trong dịch, con số này giảm xuống chỉ còn 4 - 5 giao dịch. Số lượng giao dịch tiền mặt trung bình cũng giảm đáng kể từ trước dịch; 65% người được khảo sát đã giảm tiền mặt trong ví để chuyển sang thanh toán thẻ, ví điện tử, chuyển khoản... Mặt khác, cấu trúc thiết kế hệ thống giao dịch ngân hàng trực tuyến của mỗi ngân hàng hiện nay có sự khác biệt tùy theo cách vận hành của từng ngân hàng và từng nghiệp vụ phát sinh. Vì vậy, nếu bị lỗi hoặc bị tấn công thì hệ thống dịch vụ ngân hàng trực tuyến sẽ không còn giao dịch chính xác và đáng tin cậy nữa.
Hơn nữa, dịch Covid-19 với những diễn biến phức tạp đã tạo nhiều cơ hội cho bọn lừa đảo thực hiện hành vi phạm tội. Các cuộc tấn công lừa đảo đều sử dụng kỹ thuật cũ nhưng lợi dụng các nội dung, thông tin thể hiện theo cách mới, đặc biệt là các thông tin liên quan đến tình hình dịch Covid-19 để làm cho người dân hoang mang, mất cảnh giác và dễ mắc lừa. Các hình thức đó là giả mạo cơ quan chính quyền tuyên truyền về thông tin dịch Covid-19, bán các sản phẩm y tế không minh bạch, ăn cắp các thông tin dữ liệu cá nhân như tài khoản ngân hàng, giả mạo kêu gọi ủng hộ từ thiện, tiếp thị các sản phẩm và dịch vụ lừa đảo. Thống đốc Ngân hàng Trung ương Philippines Benjamin Diokno cho biết, các đợt xâm nhập và tấn công bằng mã độc đã tăng 2.324% vào năm 2020, khi đất nước trải qua thời kỳ tồi tệ nhất của đại dịch Covid-19 và lừa đảo tăng 302%. Philippine Islands, ngân hàng lớn thứ tư của Philippine về quy mô tài sản cho biết, họ đã gỡ gần 2.000 trang web lừa đảo chỉ trong ba tháng đầu năm 2021. Các vụ lừa đảo ngân hàng ở Ấn Độ cũng đã tăng vọt từ tháng 11/2016 khi chính phủ Ấn Độ dừng sử dụng các tờ tiền giấy mệnh giá 1.000 và 500 rupee chỉ trong một đêm. Hàng triệu người Ấn Độ chuyển qua sử dụng dịch vụ Internet Banking khi tiền mặt khan hiếm. Người già và những người không thạo tiếng Anh dễ dàng trở thành mục tiêu của bọn lừa đảo. Các vụ lừa đảo qua ngân hàng trực tuyến đã tăng 162% từ năm 2017 - 2019. Hơn 83.000 trường hợp gian lận ngân hàng đã xảy ra vào năm 2021, gây thiệt hại 1.380 tỉ rupee (gần 27 tỉ USD) nhưng chưa đầy 1% số tiền bị mất được thu hồi (Ricky Hồ, 2022).
Tại Việt Nam, một số vụ lừa đảo xảy ra ảnh hưởng đến người dùng đã được ghi nhận cụ thể như: Sacombank bị làm giả thẻ tín dụng vào tháng 4/2017, Ngân hàng Đông Á cũng xảy ra trường hợp tương tự vào tháng 11/2018 (Nguyễn Văn Phương và Trần Văn Diễn, 2021). Tương tự, các vụ lừa đảo ngân hàng trực tuyến ở nhiều quốc gia châu Á cũng tăng cao trong mùa dịch như: Trung Quốc, Hàn Quốc, Hồng Kông, Nhật Bản. Trong thực tế, ngày càng nhiều khách hàng sử dụng điện thoại cho các giao dịch mua bán và thanh toán online. Điều đó làm cho việc đảm bảo an toàn thông tin của khách hàng trước sự tấn công của tin tặc ngày càng trở nên quan trọng. Việc một số khách hàng bị mất thông tin cá nhân hay bị thiệt hại về kinh tế lẫn tinh thần trong thời gian qua cũng là một hồi chuông cảnh báo, tìm hiểu và báo động để khách hàng cũng như các ngân hàng có những chủ trương, đối sách phù hợp trong thời gian tới.
2. Một số chiêu thức lừa đảo trong lĩnh vực ngân hàng
Mục tiêu chính của các cuộc tấn công trong giao dịch trực tuyến là đánh cắp thông tin xác thực tài khoản của người dùng, chiếm đoạt tài sản thông qua các chiêu thức lừa đảo hoặc sử dụng các phần mềm độc hại. Để gia tăng sự cảnh giác về mối đe dọa đối với khách hàng khi sử dụng dịch vụ ngân hàng trực tuyến, điều quan trọng là người sử dụng cần hiểu về những hình thức lừa đảo phổ biến, cụ thể như sau:
Một là, lừa đảo mạo danh. Những kẻ lừa đảo sẽ đóng giả là bất kỳ tổ chức đáng tin cậy nào để lấy lòng tin của khách hàng như giả danh ngân hàng, nhà bán lẻ, công ty tiện ích, cảnh sát hoặc thậm chí Chính phủ. Gần 15.000 trường hợp gian lận mạo danh đã được báo cáo cho UK Finance từ tháng 01 - 6/2020 - tăng 84% so với năm trước. Các nạn nhân mất tổng cộng 58 triệu bảng Anh (Five Banking Scams to Watch out for in 2021, 2020). Tại Việt Nam, kẻ gian sẽ mạo danh nhân viên ngân hàng, điện thoại cho khách hàng với lý do hỗ trợ kiểm tra số dư và các giao dịch của khách hàng. Sau khi đọc tên khách hàng và 6 số đầu tiên của thẻ ghi nợ nội địa, đối tượng yêu cầu khách hàng đọc hết dãy số còn lại trên thẻ để xác nhận khách hàng đúng là chủ thẻ. Tiếp theo, chúng thông báo ngân hàng sẽ gửi tin nhắn cho khách hàng và yêu cầu khách hàng đọc mã 6 số trong tin nhắn, nhưng thực ra đây là mã OTP để thực hiện giao dịch thanh toán trực tuyến. Trường hợp khách hàng thực hiện theo yêu cầu của các đối tượng lừa đảo thì có thể mất tiền trong tài khoản.
Hai là, lừa đảo thông qua các ứng dụng di động, đường link giả mạo. Những kẻ gian lận sử dụng các ứng dụng di động giả để lừa đảo người dùng. Họ tạo một ứng dụng tương tự như ứng dụng gốc của các ngân hàng và gửi nó trên Cửa hàng Google Play. Khi khách hàng vô tình tải xuống và cài đặt ứng dụng giả mạo trên điện thoại di động và cấp các quyền cần thiết thì ứng dụng sẽ bắt đầu gửi dữ liệu nhạy cảm để cho phép những kẻ lừa đảo rút tiền từ tài khoản của nạn nhân. Ngân hàng Trung ương Ấn Độ đã cảnh báo các tổ chức cho vay thương mại khi những kẻ lừa đảo dụ khách hàng tải xuống một ứng dụng có tên ‘AnyDesk’. Ứng dụng có thể dọn sạch tài khoản ngân hàng của khách hàng trong vòng vài phút.
Một hình thức khác, đối tượng lừa đảo chuyển một khoản tiền nhỏ vào tài khoản của khách hàng, sau đó mạo danh ngân hàng gọi điện thoại hoặc gửi tin nhắn (hiển thị thương hiệu ngân hàng) cho khách hàng thông báo giao dịch chuyển tiền bị treo và yêu cầu khách hàng truy cập vào đường link trong tin nhắn để tra soát giao dịch, xác nhận thông tin, mở khóa lệnh chuyển tiền... Với thủ đoạn này, tội phạm lừa đảo khách hàng cung cấp các thông tin bảo mật của dịch vụ ngân hàng điện tử như tên truy cập, mật khẩu, OTP. Sau đó, chúng chiếm quyền kiểm soát tài khoản của khách hàng. Ngoài ra, các đối tượng lừa đảo còn lập website mạo danh ngân hàng để tiếp nhận và hỗ trợ giải đáp thắc mắc về sản phẩm dịch vụ của ngân hàng, nhằm thu thập thông tin cá nhân, lịch sử các giao dịch và tài khoản ngân hàng.
Ba là, thư điện tử giả mạo. Đối tượng lừa đảo sẽ gửi thư điện tử giả mạo ngân hàng thông báo khách hàng nhận được một khoản tiền và yêu cầu khách hàng xác nhận giao dịch bằng cách truy cập vào tệp (file) hoặc đường link có chứa mã độc gửi kèm trong thư điện tử nhằm chiếm đoạt thông tin và tiền trong tài khoản của khách hàng.
Bốn là, chiêu thức chuyển khoản nhầm. Khách hàng nhận được một khoản tiền chuyển vào tài khoản thanh toán tại ngân hàng với nội dung cho vay, sau đó đối tượng gọi điện cho khách hàng báo vừa chuyển nhầm và yêu cầu khách hàng chuyển trả lại tiền (tài khoản nhận tiền lúc này khác với tài khoản đã chuyển nhầm). Sau một thời gian, người chủ tài khoản chuyển nhầm sẽ đòi tiền khách hàng cùng với tiền lãi vay. Trong một số trường hợp, đối tượng giả danh nhân viên ngân hàng thông báo có người chuyển nhầm tiền vào tài khoản của khách hàng và hướng dẫn thủ tục hoàn trả, sau đó gửi đường link yêu cầu khách hàng điền thông tin cá nhân (bao gồm các thông tin bảo mật của dịch vụ ngân hàng điện tử) và chiếm đoạt tiền trong tài khoản của khách hàng.
Năm là, tin nhắn mạo danh. Kẻ gian gửi tin nhắn mạo danh thương hiệu ngân hàng đến khách hàng (tin nhắn này được nhận, lưu trong cùng mục với các tin nhắn của ngân hàng trên điện thoại di động của khách hàng) để thông báo tài khoản của khách hàng có dấu hiệu hoạt động bất thường và hướng dẫn khách hàng xác nhận thông tin, thay đổi mật khẩu... thông qua truy cập đường link giả mạo gửi kèm trong tin nhắn, qua đó lừa đảo khách hàng tiết lộ các thông tin bảo mật của dịch vụ ngân hàng điện tử (tên truy cập, mật khẩu, mã OTP) để sử dụng chiếm đoạt tiền trong tài khoản của khách hàng.
Sáu là, giả danh công ty tài chính. Kẻ lừa đảo mạo danh công ty tài chính mời khách hàng vay vốn, hướng dẫn khách hàng cài đặt ứng dụng trên điện thoại di động (như ứng dụng Auto Cash...) để giải ngân một khoản tiền ảo kèm theo việc hiển thị hợp đồng tín dụng với con dấu giả, chữ ký giả của người có thẩm quyền của công ty tài chính nhằm lừa đảo khách hàng chuyển khoản đặt cọc để chiếm đoạt.
Bảy là, chiêu chiếm đoạt sim điện thoại. Mặc dù được cảnh báo nhiều lần nhưng vẫn có khách hàng sập bẫy. Kẻ lừa đảo mạo danh nhân viên nhà mạng liên hệ và đề nghị hỗ trợ chuyển đổi sim 3G thành sim 4G qua điện thoại, theo đó, đối tượng hướng dẫn cách nhắn tin theo cú pháp của nhà mạng để chuyển đổi. Tuy nhiên, thực tế đây chính là yêu cầu chuyển đổi từ sim 3G của khách hàng đang sử dụng lên sim 4G của đối tượng lừa đảo. Nếu khách hàng làm theo hướng dẫn, đối tượng sẽ chiếm đoạt được quyền sử dụng số điện thoại. Sau khi có được thông tin cá nhân và số điện thoại di động, đối tượng liên hệ nhà mạng với tư cách là chủ thuê bao di động để yêu cầu thay thế sim với lý do bị mất sim hoặc sim bị lỗi. Nhà cung cấp dịch vụ di động sẽ hủy sim hiện có và phát hành sim mới. Trường hợp số điện thoại được khách hàng đăng ký có sử dụng dịch vụ ngân hàng điện tử và nhắn thông tin giao dịch, mã OTP thì có thể gây rủi ro mất tiền trong tài khoản của khách hàng.
Tám là, giả mạo người thân, bạn bè. Kẻ gian sẽ tạo một tài khoản Zalo, Facebook giả mạo với tên gọi và hình ảnh đại diện tương tự như tài khoản của bạn, sau đó kết bạn với người thân, bạn bè... của bạn để lừa đảo, vay tiền. Do tin tưởng vào thông tin, hình ảnh cá nhân và tài khoản trùng khớp nên có không ít người đã trở thành nạn nhân của kẻ gian. Khi bị phát hiện, kẻ gian sẽ ngay lập tức chặn, xóa hoặc đổi tên tài khoản.
Chín là, các kiểu lừa đảo trong mùa Covid-19. Bọn lừa đảo sẽ lợi dụng việc xác minh thông tin liên quan đến việc tiêm vắc-xin Covid-19 để đánh cắp thông tin cá nhân. Đối tượng lừa đảo sẽ gọi điện đến khách hàng bằng một cuộc gọi tự động để xác minh rằng khách hàng đã tiêm vắc-xin Covid-19 chưa? (ví dụ: Chưa tiêm - ấn phím 1, Đã tiêm - ấn phím 2). Sau đó, khách hàng thực hiện thao tác này điện thoại của quý khách sẽ bị đối tượng kiểm soát và bị đối tượng lấy cắp thông tin cá nhân, thông tin về dịch vụ ngân hàng thường xuyên sử dụng để chiếm đoạt tài sản của khách hàng. Một hình thức khác lừa đảo trong đợt dịch Covid-19 này là người dùng nhận được email giả mạo của ngân hàng nhằm hỗ trợ mùa dịch cho các đối tượng khó khăn. Sau đó, người dùng sẽ đăng nhập vào website giả, đường link giả và bị chiếm đoạt tài khoản ngân hàng ngay sau đó.
Mười là, sử dụng vi-rút tấn công máy tính. Các đối tượng lừa đảo công nghệ cao sẽ thông qua các liên kết trên mạng xã hội sẽ làm máy tính bị treo và tạo thông báo cho người dùng rằng phần mềm video của họ cần được nâng cấp. Khi nhấp vào nút hoặc đường link để "nâng cấp", người dùng sẽ không nhận được phiên bản cập nhật mà là phần mềm độc hại. Khi vi-rút xâm nhập vào máy tính của người dùng, hầu hết dữ liệu trong máy tính của họ sẽ được sao chép và gửi đến tin tặc. Sau đó, chúng sẽ sử dụng bất kỳ thông tin nào có thể thu thập được để truy cập vào tài khoản ngân hàng hoặc tài liệu tài chính. Thậm chí nghiêm trọng hơn có thể thực hiện chuyển khoản gian lận trong lúc khách hàng đăng nhập vào trang web của ngân hàng trực tuyến.
3. Một số khuyến nghị
Lừa đảo trực tuyến trong lĩnh vực ngân hàng không chỉ ảnh hưởng đến cá nhân khách hàng mà còn ảnh hưởng trực tiếp hoặc gián tiếp đến nền tài chính quốc gia (Datta và cộng sự, 2020). Để giải quyết vấn đề này, bài viết đề xuất một số khuyến nghị sau:
Về phía ngân hàng
Những thách thức cụ thể mà các ngân hàng thương mại phải vượt qua là cần đảm bảo việc thanh toán trực tuyến được thông suốt và bảo mật được thông tin cá nhân của khách hàng thông qua. Các ngân hàng thương mại cần thường xuyên tổ chức bồi dưỡng, cập nhật kiến thức về phòng, chống tội phạm trong thanh toán, tội phạm lừa đảo sử dụng công nghệ cao cho nhân viên để có biện pháp phòng chống kịp thời nhằm bảo vệ quyền lợi cho cả khách hàng và ngân hàng; nhắc nhở, cảnh báo với khách hàng về các hình thức lừa đảo chiếm đoạt tài sản thông qua nhiều kênh như email, tin nhắn, mục thông báo trong các ứng dụng Smart Banking, trang web ngân hàng…Tạo các clip ngắn hướng dẫn khách hàng thực hiện giao dịch online an toàn. Đồng thời, khuyến cáo với khách hàng về các việc nên làm và không nên làm để tránh rơi vào bẫy của bọn lừa đảo; cung cấp đường dây nóng hoặc địa chỉ email để hỗ trợ kịp thời cho khách hàng.
Về phía khách hàng
Hiện nay, các phần mềm ứng dụng mới cho điện thoại di động ngày càng phổ biến và tiện lợi giúp cho việc mua bán và thanh toán qua hệ thống trực tuyến trở nên phổ biến. Do đó, thông tin của khách hàng trong quá trình thanh toán qua hệ thống ngân hàng trực tuyến cần phải được bảo vệ an toàn. Tuy nhiên, thực tế tin tặc luôn tìm mọi cách để tấn công vào những lỗ hổng trong toàn bộ hệ thống và chỉ cần một cuộc tấn công nhỏ có thể làm toàn hệ thống giao dịch ngân hàng bị sập và chịu những tổn thất rất lớn. Do đó, khách hàng phải lưu ý một số cảnh báo sau:
Trước khi tải xuống bất kỳ ứng dụng di động nào từ Google Play, người dùng phải kiểm tra xem ai, tổ chức nào là người tạo ứng dụng. Một cách an toàn và dễ dàng khác để tải xuống ứng dụng ngân hàng gốc là truy cập trang web chính thức của ngân hàng và nhận liên kết tải xuống từ đó.
Tuyệt đối không bấm vào các đường link lạ được gửi qua tin nhắn/email/kênh mạng xã hội mạo danh ngân hàng; không thực hiện các thao tác làm theo hướng dẫn do các số điện thoại lạ gọi đến, kể cả là cán bộ ngân hàng và các cơ quan khác khi chưa xác minh được thông tin chính xác. Khi nhận được bất kỳ email của ngân hàng nào, hãy nhớ gọi cho ngân hàng để xác nhận xem đây có phải là thông tin liên lạc chính xác hay không.
Để bảo vệ máy tính không bị tấn công bởi vi-rút và các phần mềm độc hại hiện đang trở nên quá phổ biến, khách hàng có thể đầu tư vào một phần mềm chống vi-rút cập nhật và hiệu quả.
Luôn xác thực người đề nghị thực hiện giao dịch khi nhận được yêu cầu chuyển tiền, nạp tiền (qua điện thoại hoặc trực tiếp); cảnh giác với những yêu cầu chuyển tiền trên mạng xã hội, dù người yêu cầu tự xưng là người thân, bạn bè.
Thường xuyên thay đổi mật khẩu đăng nhập tài khoản Internet banking, Smartbanking… và nên đặt mật khẩu các dịch vụ ngân hàng điện tử khó đoán, tính bảo mật cao (tránh đặt ngày sinh, tên người thân, số điện thoại…); không lưu tự động thông tin đăng nhập ngân hàng điện tử trên bất cứ máy tính và trình duyệt web nào; không đưa thông tin giao dịch lên mạng, đặc biệt là những giao dịch mua bán hàng trực tuyến.
Tuyệt đối không cung cấp Tên đăng nhập/ Mật khẩu đăng nhập/ Mã xác thực OTP của dịch vụ ngân hàng điện tử cho bất kỳ ai, kể cả người tự xưng là nhân viên ngân hàng, công an, cơ quan điều tra…
4. Kết luận
Gần đây, liên tục xảy ra các vụ lừa đảo nhằm chiếm đoạt thông tin về tài khoản cá nhân tại ngân hàng. Các đối tượng lừa đảo sử dụng nhiều chiêu thức tinh vi khác nhau như xác nhận tiêm vắc-xin Covid-19, yêu cầu hoàn tiền, thông báo chuyển nhầm tiền, mạo danh công an, nhân viên ngân hàng để lừa đảo... Chính vì thế, người dùng phải hết sức cảnh giác, cần quan tâm nhiều vấn đề riêng tư hơn nhằm bảo vệ bản thân khỏi hành vi trộm cắp danh tính, không mắc bẫy của bọn tội phạm công nghệ cao.
Tài liệu tham khảo:
1. An Bình (2021). Cảnh giác với thủ đoạn lừa đảo các dịch vụ tài chính, ngân hàng dịp cuối năm, truy cập tại https://moit.gov.vn/tin-tuc/bao-chi-voi-nguoi-dan/canh-bao-cac-thu-doan-lua-dao-chiem-doat-tien-trong-tai-khoan-ngan-hang-dip-cuoi-nam.html
2. Datta, P., Tanwar, S., Panda, S. N., & Rana, A. (2020). Security and Issues of
M-Banking: A Technical Report. In 2020 8th International Conference on Reliability, Infocom Technologies and Optimization (Trends and Future Directions) (ICRITO) (pp. 1115-1118). IEEE.
3. Five banking scams to watch out for in 2021. (2020, December 30). Which? News. https://www.which.co.uk/news/2020/12/5-banking-scams-to-watch-out-for-in-2021/
4. Mangala, D. and Soni, L. (2022), “A systematic literature review on frauds in banking sector”, Journal of Financial Crime, Vol. ahead-of-print No. ahead-of-print. https://doi.org/10.1108/JFC-12-2021-0263
5. Nguyễn Văn Phương, Trần Văn Diễn (2021). Rủi ro và thách thức an ninh mạng trong lĩnh vực ngân hàng tại Việt Nam. Tạp chí khoa học Đại học Mở Thành phố Hồ Chí Minh - Kinh tế và quản trị kinh doanh, 16(2), 30-44.
6. Ricky Hồ (2022). Lừa đảo ngân hàng trực tuyến ngày càng tinh vi ở châu Á, truy cập tại https://thesaigontimes.vn/lua-dao-ngan-hang-truc-tuyen-ngay-cang-tinh-vi-o-chau-a/
ThS. Nguyễn Thị Ánh Ngọc, ThS. Nguyễn Thị Diễm, ThS. Đoàn Thị Thanh Hòa Đại học Kinh tế TP. Hồ Chí Minh - Phân hiệu Vĩnh Long
https://tapchinganhang.gov.vn
