Chiêu thức phát tán tin nhắn SMS mạo danh ngân hàng
Tin nhắn SMS mạo danh ngân hàng không xuất phát từ hệ thống của các ngân hàng mà bị phát tán thông qua các thiết bị phát sóng di động giả mạo với chiêu thức tinh vi để lừa đảo.
Dùng trạm phát sóng giả gửi tin nhắn mạo danh
|
Theo Cục An toàn thông tin (Bộ Thông tin và Truyền thông), thời gian vừa qua nhiều thuê bao di động nhận được các tin nhắn mạo danh các tổ chức tài chính, ngân hàng gửi các nội dung giả mạo, lừa đảo nhằm chiếm đoạt tiền của người dân. Để thực hiện hành vi lừa đảo, các đối tượng đã thực hiện những bước rất bài bản, tinh vi nhằm mục đích tạo lòng tin, đánh lừa người dùng.
Trước tiên, các đối tượng tiến hành thực hiện phát tán tin nhắn rác lừa đảo bằng cách tấn công sử dụng các thiết bị phát sóng giả mạo (IMSI Catcher/SMS Broadcaster) để thực hiện gửi tin nhắn rác trực tiếp vào điện thoại mà không thông qua mạng viễn thông di động.
Các tin nhắn này bị các đổi tượng thay đổi thông tin nguồn gửi (số điện thoại, đầu số hoặc tên định danh) nhằm mục đích tạo lòng tin, đánh lừa người dùng.
Nội dung tin nhắn thường là quảng cáo, hướng dẫn hoặc chứa đường link tới website giả mạo giống như các website chính thống của các tổ chức tài chính, ngân hàng để dẫn dụ và đánh cắp thông tin của người dùng như tài khoản, mật khẩu, mã OTP,…
Sau khi các đối tượng hoàn thành phát tán tin nhắn rác, người dùng sẽ không nhận biết được website giả mạo nên sẽ cung cấp thông tin cá nhân truy cập vào tài khoản ngân hàng như điền tên tài khoản, mật khẩu. Tiếp theo, website giả mạo sẽ điều hướng sang website khác hoặc thông báo đề nghị người dùng chờ đợi.
Cục An toàn thông tin cho biết, đối tượng dùng thông tin cá nhân của người dùng để đăng nhập vào website chính thức của các tổ chức tài chính, ngân hàng để lấy mã xác thực OTP (nếu cần).
Sau khi điện thoại người dùng nhận được mã xác thực OTP, website giả mạo sẽ được điều hướng sang trạng thái yêu cầu người dùng cung cấp mã xác thực OTP. Người dùng không cảnh giác sẽ cung cấp thông tin mã OTP để đối tượng hoàn tất quá trình chiếm đoạt tiền trong tài khoản.
Cục An toàn thông tin cho rằng đây là hành vi rất tinh vi và nguy hiểm, Cục An toàn thông tin đang phối hợp chặt chẽ với lực lượng công an, các cơ quan chức năng, các doanh nghiệp viễn thông để triển khai các biện pháp ngăn chặn, điều tra, xác minh và xử lý đối tượng vi phạm pháp luật.
Cục An toàn thông tin cho biết thêm, các tin nhắn giả mạo này không xuất phát từ hệ thống của các tổ chức tài chính, ngân hàng và doanh nghiệp viễn thông mà được phát tán thông qua các thiết bị phát sóng di động giả mạo. Đây là các thiết bị có nguồn gốc từ nước ngoài, được các đối tượng mua bán, sử dụng trái phép nhằm mục đích thực hiện các cuộc tấn công phát tán tin nhắn rác lừa đảo người dùng, đặc biệt là người dùng tại các khu vực đô thị.
Theo đánh giá của các chuyên gia, mặc dù lừa đảo mạo danh ngân hàng vốn đã có từ lâu nhưng ngày càng tinh vi. Điểm mới trong thời gian gần đây là tin nhắn lừa đảo xuất hiện chung luồng với tin nhắn SMS của ngân hàng. Người dùng không có cách nào kiểm tra tin nhắn từ số nào gửi tới nên dễ tin tưởng và làm theo.
Các chuyên gia cũng cảnh báo về một số kịch bản có thể dẫn đến tin nhắn lừa đảo nằm chung luồng với tin nhắn SMS Brandingname của ngân hàng, như: kẻ xấu sử dụng dịch vụ từ nước ngoài, giả mạo "brandingname" và lợi dụng cơ chế nhóm các brandingname giống nhau vào làm một của smartphone; hay hacker khai thác được lỗ hổng trong các dịch vụ cung cấp tin nhắn "brandingname" và chèn nội dung lừa đảo vào.
Nhà mạng cần có trách nhiệm với dịch vụ cung cấp
Để phòng ngừa và phối hợp xử lý, Cục An toàn thông tin khuyến cáo người dân cần kiểm tra, xác minh kỹ các website, ứng dụng (app) trong các tin nhắn mà người dùng nhận được, kể cả các tin nhắn thương hiệu, tin nhắn từ các đầu số ngắn; tuyệt đối không truy cập vào các website, ứng dụng có nguồn gốc, nội dung không rõ ràng.
Mới đây, Ngân hàng Nhà nước Việt Nam cũng phát đi cảnh báo, gần đây nổi lên hiện tượng tội phạm công nghệ cao giả mạo tin nhắn thương hiệu (SMS brandingname) của các ngân hàng gửi đến điện thoại di động để lừa khách hàng truy cập, giao dịch tại trang web giả mạo ngân hàng do đối tượng phạm tội lập ra.
Ngân hàng Nhà nước chỉ rõ, mục đích, thủ đoạn phạm tội của các đối tượng là sau khi đánh cắp thông tin đăng nhập (username, password) và mã xác thực giao dịch (OTP) sẽ dùng các thông tin bí mật này kết hợp với việc thay đổi phương thức, thiết bị nhận mã xác thực OTP để thực hiện các giao dịch giả mạo, chiếm đoạt tiền trong tài khoản của khách hàng. Ngân hàng Nhà nước đồng thời yêu cầu các tổ chức cung ứng dịch vụ thanh toán về việc tăng cường các biện pháp đảm bảo an ninh, an toàn hoạt động thanh toán.
Theo Tổng Thư ký Hiệp hội Ngân hàng Nguyễn Quốc Hùng, các nhà mạng cần có trách nhiệm trong việc gia tăng bảo mật, ngăn ngừa và phối hợp với các ngân hàng “vá lỗ hổng” dịch vụ tin nhắn SMS nhằm đảm bảo an ninh, an toàn hệ thống tài chính tiền tệ. Chia sẻ thêm, ông Hùng cho biết, các ngân hàng trả phí cao cho các nhà mạng cung cấp dịch vụ SMS Brandingname thì phải nhận được chất lượng dịch vụ tương xứng và nhà mạng phải có trách nhiệm phối hợp xử lý vấn đề tin nhắn giả mạo một cách triệt để.
Được biết, với lý do mang tính bảo mật, mức giá cước nhà mạng đang thu đối với tin nhắn dịch vụ ngân hàng hiện cao gấp 3 lần so với tin nhắn thông thường. Cụ thể: MobiFone và Vinaphone thu 820 đồng/1 tin nhắn, Viettel thu 785 đồng/1 tin nhắn, trong khi cước phí tin nhắn của các nhà mạng này với khách hàng cá nhân chỉ từ 99 – 350 đồng/tin nhắn. Ước tính sơ bộ, một tổ chức tín dụng cỡ nhỏ hàng tháng phải trả phí cước cho 15 - 20 triệu tin nhắn/tháng, còn các tổ chức tín dụng tầm trung trở lên là 50 - 80 triệu tin nhắn/tháng.
Ông Hùng kiến nghị, nhà mạng cần làm rõ căn cứ tính phí và phải có phương án kỹ thuật, bảo mật, để chất lượng dịch vụ tương xứng với mức phí mà các ngân hàng đang phải chi trả, đồng thời bảo vệ uy tín, thương hiệu của ngân hàng.
Trước hết các đơn vị viễn thông cần nâng cao mức độ bảo mật của dịch vụ, không thể để tình trạng các ngân hàng không phát tin nhắn gửi mà khách hàng là chủ các số thuê bao di động vẫn nhận được tin nhắn với Brandingname của ngân hàng. Trong quá trình tìm giải pháp thì trước mắt trong các hợp đồng kí với ngân hàng các nhà mạng cần dành một lượng tin nhắn miễn phí đủ lớn để các ngân hàng dùng để nhắn tin cảnh báo tới khách hàng khi xuất hiện tình trạng giả mạo mới hoặc nhắc lại tình trạng giả mạo cũ đang có mức độ gia tăng trong những thời điểm nhạy cảm.
IMSI Catcher/SMS Broadcaster là một dạng trạm phát sóng giả, lợi dụng cơ chế của hệ thống thông tin di động GSM. Theo các chuyên gia, điện thoại sẽ luôn có xu hướng tìm trạm phát sóng nào mạnh nhất để kết nối. Khi kết nối với trạm, thiết bị đó phải cung cấp mã định danh di động (IMSI) cho trạm đó để xác thực, nhưng trạm đó không cần xác thực lại. Vì vậy, kẻ xấu có thể sử dụng một trạm phát giả, phát tín hiệu mạnh để đánh lừa điện thoại kết nối với trạm này. Sau khi kết nối, kẻ xấu tiếp tục dùng các thiết bị SMS Broadcaster để gửi tin nhắn đến hàng loạt điện thoại. Nhiều thiết bị SMS Broadcaster có các tính năng, như gửi theo brandingname, gửi số lượng lớn, lên tới hàng chục nghìn tin nhắn mỗi giờ. Các hệ thống giả mạo này được quảng cáo có thể tiếp cận điện thoại trong bán kính 5 km, hoặc thậm chí đặt trong ôtô di chuyển. Các thiết bị như IMSI Catcher, SMS Broadcaster được rao bán nhiều trên Internet. Giá của một hệ thống IMSI Catcher 3G, có khả năng tấn công mục tiêu theo số IMEI, giá khoảng 50 nghìn USD (1,1 tỷ đồng); một thiết bị SMS Broadcaster có khả năng hoạt động trên bán kính 2km, có giá khoảng 7,5 nghìn USD (170 triệu đồng). (Nguồn: CAND/VnExpress) |