Rủi ro bị tấn công điện thoại do công khai số tài khoản ngân hàng

Với xu hướng kinh doanh trực tuyến đang phổ biến hiện nay, nhiều người dùng có thói quen công khai số tài khoản ngân hàng để tiện giao dịch. Việc làm bình thường này lại có thể là nguyên nhân của một hình thức tấn công điện thoại mới nhắm đến người dùng.

Gần đây, một số chuyên gia đã lên tiếng về rủi ro người dùng bị tấn công điện thoại thông qua các số tài khoản ngân hàng. Có nhiều cách để lấy được số tài khoản và số điện thoại của nạn nhân như thông tin công khai trên các nền tảng kinh doanh trực tuyến (mạng xã hội, website, sàn thương mại điện tử...) hoặc mua trong gói dữ liệu trên chợ đen, diễn đàn dành cho tin tặc...

Số tài khoản ngân hàng công khai có thể bị lợi dụng cho một kịch bản tấn công điện thoại.

Theo kịch bản, kẻ gian sau khi có được số tài khoản ngân hàng sẽ cố tình nhập sai mật khẩu nhiều lần để hệ thống bảo mật của nhà băng tạm khóa đăng nhập. Bước tiếp theo, chúng sẽ mạo danh nhân viên ngân hàng để gọi điện cho chủ tài khoản, thuyết phục họ cài đặt ứng dụng lên điện thoại cá nhân.

Khi người dùng thấy tài khoản ngân hàng của mình đã bị khóa, họ có tâm lý tin vào nội dung mà "nhân viên ngân hàng" giả mạo cung cấp. Tiếp đó, kẻ gian yêu cầu nạn nhân cung cấp nhiều thông tin liên quan đến tài khoản bị khóa, hoặc hướng dẫn tải ứng dụng bên ngoài (qua một đường dẫn) với lý do giúp người dùng khôi phục lại tài khoản.

Các ứng dụng này thường chứa mã độc, là phần mềm giả mạo để kẻ gian tấn công điện thoại, từ đó theo dõi, đánh cắp dữ liệu cá nhân, thông tin nhạy cảm như hình ảnh, video, tin nhắn, mật khẩu, mã OTP (mật khẩu dùng một lần)... Thậm chí, không loại trừ khả năng xâm nhập được vào ứng dụng ngân hàng để chuyển tiền thông qua nhận diện sinh trắc học.

Đây cũng chỉ là một trong những kịch bản dẫn dụ nạn nhân cài mã độc vào điện thoại để phục vụ cho các cuộc tấn công đánh cắp dữ liệu, tiền, nhưng nguy hiểm ở chỗ hình thức này còn mới và được khai thác từ các thông tin mà người dùng công khai trên mạng như số tài khoản, số điện thoại.

Theo một chuyên gia bảo mật, kịch bản trên hoàn toàn có thể xảy ra, nhưng khả năng thực thi chỉ thành công khi người dùng tin lời người lạ để cung cấp thông tin chi tiết, cung cấp mã OTP hoặc cài phần mềm độc hại từ địa chỉ lạ vào máy. Nếu không làm theo, kế hoạch của kẻ gian sẽ không thể thành công.

Do đó, trong trường hợp tài khoản ngân hàng bị tạm khóa do nhập sai mật khẩu nhiều lần, người dùng nên đến điểm giao dịch của nhà băng để làm thủ tục mở lại nhằm hạn chế nguy cơ trở thành nạn nhân của trò lừa đảo tấn công điện thoại mới. Trường hợp được yêu cầu cung cấp thông tin cá nhân hoặc tải ứng dụng về máy, người dùng nên từ chối và chấm dứt cuộc điện thoại, tuyệt đối không chia sẻ mã OTP hay các thông tin cá nhân với người khác.

Những thông tin gắn với hoạt động trực tuyến không nên công khai để giảm thiểu rủi ro bị tấn công bằng các kịch bản lừa đảo khác nhau.

Khánh Linh