Chủ tài khoản cần lưu ý: Hacker có thể lách xác thực sinh trắc học, rút bất kỳ số tiền nào trên app ngân hàng
Sau khi chiếm toàn quyền sử dụng điện thoại, hacker có thể tạo ra ứng dụng ngân hàng giả, thu thập dữ liệu sinh trắc học của nạn nhân và âm thầm chuyển tiền từ tài khoản ngân hàng.
Ngày 12/2/2025, Tạp chí Người đưa tin đã đăng tải bài viết với tiêu đề: "Chủ tài khoản cần lưu ý: Hacker có thể lách xác thực sinh trắc học, rút bất kỳ số tiền nào trên app ngân hàng". Cụ thể như sau:
Theo các chuyên gia đến từ dự án Chống lừa đảo, đầu tiên, hacker sẽ chiếm toàn quyền kiểm soát thiết bị bằng cách gửi link gắn mã độc hoặc người dùng tải ứng dụng có dính mã độc,… Khi nạn nhân đã bị dẫn dụ cài đặt ứng dụng app giả mạo độc hại trên máy Android, hacker có thể theo dõi toàn bộ thao tác của nạn nhân trên màn hình. Hacker cũng sẽ ghi lại tên đăng nhập, mật khẩu, mã OTP từ ngân hàng hoặc các ứng dụng khác.
Ngoài ra, hacker có thể xem và xóa tin nhắn trên các ứng dụng như Zalo, Facebook Messenger. Đồng thời, hacker điều khiển thiết bị từ xa, bao gồm cả việc gửi tiền, chuyển khoản, hoặc xóa dữ liệu để xóa dấu vết.
Hacker tiếp tục sử dụng các phương pháp tinh vi để thu thập thông tin nhạy cảm và khai thác thiết bị: Chèn lớp giao diện (overlay) để đánh lừa nạn nhân. Ứng dụng giả mạo sử dụng kỹ thuật chèn đè giao diện (overlay), hiển thị một màn hình giả phía trên. Điều này khiến nạn nhân không thể thấy các thao tác thật sự đang diễn ra phía sau, làm họ hoàn toàn mất cảnh giác.
Hacker tận dụng quyền đã được cấp để mở thư viện ảnh và tìm kiếm các hình chụp màn hình chứa thông tin nhạy cảm như số tài khoản, mật khẩu, hoặc mã PIN.
Hacker truy cập ứng dụng ghi chú (notes), nơi nhiều người có thói quen lưu trữ các thông tin quan trọng như: Mã OTP, mật khẩu, mã PIN hoặc thông tin tài khoản ngân hàng,…
Nếu nạn nhân có các ứng dụng ngân hàng trên thiết bị, hacker sẽ sử dụng thông tin thu thập được để mở các ứng dụng ngân hàng.
Hacker có thể nhập tên đăng nhập, mật khẩu, và mã OTP đã thu thập để thực hiện giao dịch trái phép.
Nếu ngân hàng có bảo mật cao, ứng dụng có thể cảnh báo người dùng về: Sự hiện diện của ứng dụng giả mạo trên thiết bị hay quyền truy cập trợ năng đang được kích hoạt trái phép.
Hacker không chỉ dừng lại ở việc lợi dụng lỗ hổng bảo mật cơ bản, mà còn tìm cách vượt qua cả những cơ chế bảo mật tiên tiến của các ứng dụng ngân hàng thông qua các biện pháp kỹ thuật cao cấp hơn.
Hacker sử dụng kỹ thuật dịch ngược để phân tích mã nguồn của các ứng dụng ngân hàng chính thống. Sau khi dịch ngược thành công, hacker tạo ra các phiên bản ứng dụng ngân hàng bị chỉnh sửa. Những ứng dụng này loại bỏ hoặc làm vô hiệu hóa các cơ chế bảo mật, như cảnh báo thiết bị lạ hoặc phát hiện quyền trợ năng không an toàn. Ứng dụng này trông giống hệt ứng dụng ngân hàng chính thống, khiến người dùng khó phát hiện. Các ứng dụng app giả mạo, sau khi chiếm quyền kiểm soát thành công, thường chạy ngầm trong nền (background) của điện thoại xuyên suốt quá trình nạn nhân sử dụng thiết bị.
Sau khi có được quyền truy cập, hacker sẽ thực hiện giao dịch chuyển khoản lớn, bằng cách chèn lớp giao diện để đánh lừa nạn nhân thực hiện xác thực sinh trắc học.
Hacker có thể rút bất kỳ số tiền nào trong tài khoản ngân hàng hoặc ví điện tử của nạn nhân. Đồng thời, chúng có thể dụ nạn nhân thực hiện xác minh sinh trắc học (như quét khuôn mặt) bằng cách yêu cầu họ quay trái, quay phải, lại gần, ra xa, lên, xuống... Thực chất, ứng dụng giả mạo lúc này chèn một lớp phủ (overlay) lên màn hình, làm nạn nhân lầm tưởng đang làm việc với nhân viên ngân hàng, bưu điện, hoặc cơ quan chức năng. Điều này thường xảy ra trong các giao dịch lớn (trên 10 triệu đồng).
Theo các chuyên gia an ninh mạng, hacker luôn tìm cách vượt qua các rào cản bảo mật, thậm chí với cả những kỹ thuật tiên tiến bảo mật của nhiều ngân hàng. Do đó, người dùng và ngân hàng cần không ngừng nâng cao ý thức và áp dụng biện pháp phòng ngừa để bảo vệ tài sản số.
Trước đó, báo Tuổi Trẻ cũng đã đăng tải bài viết với tiêu đề: "Bùng phát nhiều chiêu trò lừa đảo sau xác thực sinh trắc học". Nội dung như sau:
Đối tượng mà kẻ lừa đảo nhắm tới là những người cao tuổi vốn dễ gặp khó khăn khi cung cấp thông tin sinh trắc học hoặc thao tác kết nối NFC - nhằm thực hiện hành vi chiếm đoạt tài sản.
Lừa đảo hỗ trợ "đăng ký xác thực sinh trắc học"
Theo ghi nhận của các chuyên gia của công ty an ninh mạng, những kẻ lừa đảo đã mạo danh cán bộ ngân hàng gọi điện, liên hệ với "con mồi" thông qua các nền tảng mạng xã hội như Facebook, Zalo... để hỗ trợ làm các thủ tục xác thực sinh trắc học.
Chúng thường yêu cầu người dân cung cấp các dữ liệu cá nhân như địa chỉ nhà, ảnh chụp hai mặt căn cước công dân, thông tin tài khoản ngân hàng... Kẻ lừa đảo còn dụ dỗ thực hiện cuộc gọi video nhằm thu thập giọng nói, biểu cảm khuôn mặt, cử chỉ của nạn nhân.
Sau đó, chúng dùng các thông tin đánh cắp để đăng nhập vào các ứng dụng ngân hàng, thanh toán trực tuyến nhằm thực hiện các giao dịch chuyển tiền từ tài khoản của nạn nhân.
Theo Vietcombank, ngoài chiêu trò mạo danh nhân viên ngân hàng khi gọi điện thoại, những kẻ lừa đảo còn lập các tài khoản mạng xã hội với những cái tên dễ gây nhầm lẫn như "Nhân viên ngân hàng", "Hỗ trợ khách hàng"...
Các đối tượng này thường trà trộn tương tác với những bình luận của khách hàng dưới các bài đăng trên trang mạng xã hội chính thức của ngân hàng để đề nghị khách hàng liên hệ riêng (inbox) nhằm dẫn dụ khách hàng để lừa đảo lấy thông tin dịch vụ ngân hàng của khách hàng.
"Kẻ lừa đảo cũng dụ dỗ người dân tải về các phần mềm giả mạo có chứa mã độc thông qua đường dẫn được đính kèm trong các tin nhắn mà chúng gửi.
Khi nạn nhân tải về các phần mềm, chúng sẽ dễ dàng theo dõi các thao tác mà nạn nhân thực hiện trên thiết bị, từ đó khai thác sâu hơn các thông tin quan trọng", một chuyên viên an ninh mạng ngân hàng này cho biết.
SHB cũng vừa phát đi cảnh báo thủ đoạn lừa đảo mới của các đối tượng lừa đảo là giả hỗ trợ "đăng ký xác thực sinh trắc học". Lợi dụng quy định của Ngân hàng Nhà nước từ ngày 1-7, nhiều đối tượng lừa đảo đã mạo danh cán bộ ngân hàng và cơ quan quản lý để liên hệ với người dân hỗ trợ cài đặt dịch vụ xác thực sinh trắc học nhằm lừa đảo, chiếm đoạt tài sản.
Các đối tượng này liên hệ người dân/khách hàng của các ngân hàng bằng các hình thức như gọi điện, nhắn tin, kết bạn qua các mạng xã hội (Zalo, Facebook, Viber...) để "giả hướng dẫn" thu thập thông tin sinh trắc học.
Sau đó, đối tượng yêu cầu khách hàng cung cấp thông tin cá nhân, thông tin tài khoản ngân hàng, hình ảnh căn cước công dân, hình ảnh khuôn mặt, hoặc có thể yêu cầu cuộc gọi video để thu thập thêm giọng nói, cử chỉ, dáng điệu... nhằm phục vụ cho mục đích lừa đảo
"Các đối tượng sẽ dẫn dắt người dân truy cập vào đường link lạ để tải và cài đặt ứng dụng lạ trên điện thoại. Những ứng dụng/phần mềm chứa mã độc này có giao diện, hình ảnh gần tương tự với ứng dụng chính thống của Bộ Công an, cơ quan quản lý nhà nước hay các tổ chức tín dụng" - ngân hàng này khuyến cáo.
Nguy cơ lừa đảo deepfake
Bên cạnh hình thức lừa đảo hỗ trợ cập nhật sinh trắc học đang rộ lên những ngày gần đây, các chuyên gia của Bkav cũng cảnh báo nguy cơ lừa đảo deepfake (công nghệ sử dụng trí tuệ nhân tạo để tạo ra các hình ảnh, video hoặc âm thanh giả có thể bắt chước hoàn hảo giọng nói và ngoại hình của một cá nhân) trong giao dịch ngân hàng.
Những kẻ xấu có thể lạm dụng công nghệ này để lừa đảo người dùng, thực hiện các giao dịch tài chính trái phép. Theo BkAV, dù các biện pháp xác thực sinh trắc học như nhận diện khuôn mặt, vân tay hay giọng nói đang được áp dụng rộng rãi nhằm đảm bảo an toàn cho các giao dịch, deepfake vẫn có thể lách qua những biện pháp bảo mật này.
"Với sự bùng nổ của các ứng dụng mạng xã hội như hiện nay, kẻ xấu không khó để thu thập hình ảnh của một người rồi tạo ra các bản sao giả mạo hoàn hảo với đầy đủ đặc điểm sinh trắc học cá nhân để thực hiện các giao dịch trái phép, đặc biệt trong bối cảnh ChatGPT và AI - trí thông minh nhân tạo - đang phát triển rất nhanh" - ông Nguyễn Văn Thứ, tổng giám đốc an ninh mạng của Bkav, cảnh báo.
Do vậy, các chuyên gia Bkav khuyến cáo người dân cần hết sức cẩn trọng khi thực hiện các giao dịch tài chính, ngay cả khi đã áp dụng các biện pháp xác thực sinh trắc học. Người dùng cần thường xuyên kiểm tra lịch sử giao dịch, không chia sẻ thông tin cá nhân và đề cao cảnh giác.
Ngoài ra, theo Bkav, các ngân hàng cần liên tục cập nhật các giải pháp công nghệ tiên tiến và kết hợp nhiều lớp bảo mật để chống lại các cuộc tấn công deepfake. Việc nâng cao nhận thức và sự phối hợp chặt chẽ giữa ngân hàng và khách hàng là rất quan trọng để bảo vệ an toàn tài chính trong kỷ nguyên số.
Vietcombank cũng khuyến cáo người dùng tuyệt đối không truy cập các đường link, không cung cấp các thông tin bảo mật tài khoản, dịch vụ ngân hàng số (tên đăng nhập, mật khẩu, mã OTP), dịch vụ thẻ (số thẻ, mã OTP), thông tin tài khoản hay bất cứ thông tin bảo mật dịch vụ ngân hàng, thông tin cá nhân nào khác.
Đặc biệt, khách hàng không chia sẻ các thông tin cá nhân, thông tin dịch vụ ngân hàng, thông tin giao dịch ngân hàng... lên mạng xã hội để tránh bị những kẻ lừa đảo lợi dụng mạo danh ngân hàng/cán bộ ngân hàng liên hệ, yêu cầu được hỗ trợ hoặc yêu cầu cung cấp thông tin nhằm thực hiện các hành vi lừa đảo, gian lận và chiếm đoạt tiền trong tài khoản khách hàng
"Chúng tôi không yêu cầu khách hàng cung cấp thông tin cá nhân qua các kênh như gọi điện, nhắn tin SMS, email, phần mềm chat (Zalo, Viber, Facebook messenger...)...", một lãnh đạo Vietcombank khẳng định.
Liên tục nâng cấp để ứng phó với tội phạm mạng
Trả lời báo chí tại cuộc họp báo Chính phủ thường kỳ tháng 7, ông Phạm Tiến Dũng, phó thống đốc Ngân hàng Nhà nước, cho biết yêu cầu giao dịch trên 10 triệu đồng phải xác thực khuôn mặt là thêm một bước bảo vệ để bảo đảm người chuyển tiền là chính chủ.
Tuy nhiên, tất cả các giải pháp đều không có gì là an toàn tuyệt đối bởi tội phạm sẽ luôn tìm ra các thủ đoạn chống phá. Do đó, Ngân hàng Nhà nước yêu cầu các ngân hàng liên tục nâng cấp ứng dụng mobile banking để có thể đối phó với các thủ đoạn mới, bảo đảm an ninh an toàn cho người dùng. "Chúng ta sẽ làm theo lộ trình, làm đến đâu chắc đến đó với mục tiêu duy nhất là bảo đảm quyền và lợi ích của khách hàng", ông Dũng khẳng định.
Ngân hàng phải đầu tư trang bị chống deepfake
Trao đổi với báo chí mới đây, trung tá Triệu Mạnh Tùng - phó cục trưởng Cục An ninh mạng và phòng chống tội phạm sử dụng công nghệ cao (A05 - Bộ Công an) - cho biết ngay từ ngày 1-7 đã có những đối tượng lừa đảo mạo danh là nhân viên ngân hàng rồi liên hệ với một số người dân để hỗ trợ cập nhật thông tin sinh trắc học. Điều đó cho thấy đối tượng phạm tội đã nghiên cứu rất kỹ lưỡng giải pháp này.
Theo ông Tùng, các ngân hàng đều đầu tư hạ tầng và giải pháp công nghệ để đảm bảo khi xác thực khuôn mặt của khách hàng phải là khuôn mặt thật đang thực hiện giao dịch. Tuy nhiên, vẫn có rủi ro như đối tượng lừa đảo sử dụng deepfake để vượt qua biện pháp kỹ thuật khi xác thực sinh trắc học.
"Việc xác thực sinh trắc học có bị vượt qua hay không vẫn chưa thể khẳng định được. Tuy nhiên, ngân hàng cần đầu tư trang bị chống deepfake, gian lận mà vượt qua xác thực sinh trắc học", ông Tùng khuyến cáo.
