Chiêu lừa đảo chưa từng xuất hiện, rút sạch tiền trong tài khoản không cần OTP, chỉ một cú chạm là tiền "bốc hơi"
Quên ngay cái thời hacker phải gọi điện lừa xin mã OTP đi. Tội phạm mạng giờ đây đã "nâng trình" lên một đẳng cấp đáng sợ hơn nhiều: Lặng lẽ rút ruột tài khoản mà nạn nhân không hề hay biết.
Báo Phụ nữ thủ đô ngày 11/12/2025 đưa tin: "Chiêu lừa đảo chưa từng xuất hiện, rút sạch tiền trong tài khoản không cần OTP, chỉ một cú chạm là tiền "bốc hơi"", nội dung như sau:
Thế giới ngầm của tội phạm mạng đang thay đổi từng giờ. Nếu trước đây, chúng cần mã PIN hay OTP để phá vỡ lớp bảo mật cuối cùng, thì nay, chúng đánh thẳng vào tâm lý và thói quen của người dùng để chiếm quyền kiểm soát thiết bị. Một kịch bản hoàn hảo được dựng lên: Hacker thu thập dữ liệu mua sắm của bạn từ các nguồn rò rỉ, sau đó gửi một tin nhắn "trúng thưởng" hoặc "phiếu quà tặng" đúng vào lúc bạn vừa mua hàng xong.
Mã OTP cũng vô dụng nếu bạn mắc phải chiêu lừa đảo này
Hãy tưởng tượng, bạn vừa đặt một chiếc laptop hay điện thoại mới, ngay lập tức tin nhắn báo trúng thưởng ập đến với thông tin cực kỳ khớp. Chỉ cần một cú click vào đường link đi kèm để "nhận quà", phần mềm độc hại (Malware) sẽ âm thầm kích hoạt.
Lúc này, chiếc điện thoại của bạn đã trở thành "zombie", mở toang cửa cho hacker vét sạch tiền mà không cần bất kỳ mã xác thực nào. Đây không phải chuyện viễn tưởng, một người phụ nữ tại Ấn Độ vừa suýt mất trắng tài sản vì chiêu trò tinh vi này sau khi mua laptop HP, may mắn là sự cảnh giác đã cứu cô vào phút chót.
Nhưng đáng sợ hơn cả là những thủ đoạn đậm chất "điệp viên" mà hacker đang áp dụng. Ghép cuộc gọi (Call Merging) là một ví dụ điển hình. Kẻ gian sẽ gọi điện dụ dỗ bạn tham gia sự kiện, đồng thời kích hoạt một cuộc gọi khác từ số lạ đến máy bạn. Khi bạn chấp nhận "ghép cuộc gọi" theo hướng dẫn, bạn đã vô tình cho phép chúng nghe lén toàn bộ âm thanh, bao gồm cả mã OTP được ngân hàng đọc qua điện thoại. Lúc này, mọi lớp bảo mật 2 lớp (2FA) đều trở nên vô nghĩa.
Chưa dừng lại ở đó, mã độc qua tệp APK/RAT đang được xem là "tử huyệt" của người dùng Android. Chỉ cần cài đặt một ứng dụng lạ (thường được ngụy trang dưới vỏ bọc app chính phủ, thuế, hoặc tiện ích), bạn đã trao toàn quyền kiểm soát điện thoại cho hacker (RAT - Remote Access Trojan). Chúng có thể xem màn hình, đọc tin nhắn, truy cập ứng dụng ngân hàng và thậm chí bật camera theo dõi bạn từ xa. Một cảnh sát tại Ấn Độ đã trở thành nạn nhân và mất số tiền lớn chỉ vì một phút tò mò cài đặt ứng dụng giả mạo.
Trong bối cảnh "thập diện mai phục" này, nguyên tắc sống còn cho ví tiền của bạn chỉ gói gọn trong cụm từ: Zero Trust (Không tin tưởng bất cứ ai).
Tuyệt đối không bấm vào link lạ, không cài app ngoài luồng (file APK), và cẩn trọng tối đa với mọi cuộc gọi yêu cầu thao tác lạ trên điện thoại. Hãy nhớ, trong thời đại số, sự hoài nghi chính là lớp khiên chắn vững chắc nhất bảo vệ tài sản của bạn!
Trước đó, chuyên trang Đời sống & Pháp luật đưa tin: "Điện thoại trên tay, tiền vẫn "bốc hơi": Chiêu độc rút sạch tài khoản trong 1 phút", nội dung như sau:
Bạn vẫn tin rằng chỉ cần giữ kín mã OTP là tiền trong tài khoản sẽ an toàn tuyệt đối? Thực tế phũ phàng đã chứng minh điều ngược lại. Hàng loạt vụ án nạn nhân "bốc hơi" hàng tỷ đồng dù điện thoại vẫn nằm trên tay, không hề cung cấp mật khẩu cho bất kỳ ai đang gióng lên hồi chuông báo động đỏ. Vậy chính xác thì những tên tội phạm vô hình đã "đi xuyên" qua các lớp bảo mật ngân hàng bằng cách nào?
Cú lừa kinh điển: "Website giả" nuốt chửng thông tin thật
Phương thức phổ biến nhất và cũng là "cửa ngõ" đầu tiên để kẻ gian xâm nhập tài khoản của bạn chính là tấn công Phishing (giả mạo). Chúng không tấn công vào hệ thống tường lửa kiên cố của ngân hàng, mà tấn công vào sự chủ quan của người dùng.
Kịch bản thường thấy là một tin nhắn SMS Brandname giả mạo ngân hàng hoặc một Email cảnh báo tài khoản bị khóa, yêu cầu xác thực lại danh tính. Khi bạn bấm vào đường link đính kèm, một website có giao diện giống hệt trang chủ ngân hàng hiện ra. Ngay khoảnh khắc bạn gõ tên đăng nhập và mật khẩu vào ô trống, toàn bộ dữ liệu đó được chuyển thẳng về máy chủ của hacker. Lúc này, chúng chỉ cần thực hiện lệnh chuyển tiền và lừa bạn nhập mã OTP thêm một lần nữa là phi vụ hoàn tất.
Tin nhắn giả mạo ngân hàng là chiêu trò kinh điển, khiến nhiều người sập bẫy
Quyền Trợ năng (Accessibility): "Chìa khóa vạn năng" nguy hiểm nhất 2025
Nếu như Phishing cần sự tương tác của nạn nhân, thì thủ đoạn chiếm quyền Trợ năng (Accessibility) trên các thiết bị Android lại nguy hiểm hơn gấp bội vì nó diễn ra âm thầm. Kẻ gian thường dụ dỗ người dùng cài đặt các ứng dụng giả mạo dịch vụ công (như VNeID giả, Tổng cục Thuế giả) hoặc các ứng dụng giải trí qua các file .apk. Trong quá trình cài đặt, ứng dụng này sẽ khéo léo yêu cầu cấp quyền "Trợ năng". Đây là quyền hạn cao cấp nhất cho phép ứng dụng can thiệp sâu vào hệ điều hành.
Một khi đã được cấp quyền này, mã độc sẽ nằm vùng trong máy và âm thầm theo dõi mọi thao tác của bạn. Khi tài khoản ngân hàng nhận được tiền, hacker sẽ kích hoạt chế độ điều khiển từ xa. Chúng có thể làm mờ màn hình hoặc làm đơ máy khiến bạn không thể thao tác, trong khi đó, ở phía bên kia, chúng tự động mở ứng dụng ngân hàng, tự nhập mật khẩu (đã ghi lại trước đó), tự đọc mã OTP và thực hiện chuyển tiền đi. Tất cả diễn ra ngay trên chiếc điện thoại của bạn nhưng bạn hoàn toàn bất lực.
Thao túng tâm lý và chiếm đoạt SIM
Một kịch bản khác tinh vi không kém là tấn công vào số điện thoại đăng ký nhận OTP. Kẻ gian sẽ thu thập thông tin cá nhân của bạn, sau đó giả danh bạn liên hệ với nhà mạng báo mất SIM và yêu cầu cấp lại SIM mới. Nếu qua mặt được nhân viên nhà mạng, SIM trên điện thoại của bạn sẽ mất sóng và vô hiệu hóa ngay lập tức. Lúc này, quyền nhận cuộc gọi và tin nhắn OTP đã nằm trong tay kẻ lừa đảo. Kết hợp với việc lộ lọt thông tin đăng nhập, chúng dễ dàng reset mật khẩu ngân hàng và chiếm đoạt tài sản trước khi bạn kịp nhận ra điện thoại mình bị mất sóng.
Hãy cẩn thận với bất cứ ai trên không gian mạng
Nguyên tắc "Zero Trust": Không tin bất kỳ ai trên không gian mạng
Để bảo vệ túi tiền của mình, người dùng ngân hàng số buộc phải thiết lập tư duy "Zero Trust" (Không tin tưởng). Tuyệt đối không bao giờ bấm vào các đường link lạ gửi qua tin nhắn SMS hay Zalo. Quan trọng hơn, hãy nói "Không" tuyệt đối với việc cài đặt ứng dụng lạ qua file .apk đối với điện thoại Android, và đặc biệt cảnh giác khi bất kỳ ứng dụng nào yêu cầu cấp quyền Trợ năng.
Cuối cùng, hãy thiết lập bảo mật sinh trắc học (FaceID/Vân tay) cho các giao dịch chuyển tiền, vì đây là chốt chặn cuối cùng mà hacker khó lòng vượt qua được.
