(Thanh tra) - An ninh mạng cá nhân đang đối mặt với rủi ro lớn khi các thủ đoạn lừa đảo OTP ngày càng tinh vi. Chỉ một cuộc gọi, một đường link “xác minh”, người dùng có thể tự mở quyền truy cập tài khoản mà không hay biết.
Khi nỗi sợ bị biến thành “mật khẩu” mở tài khoản
Chiều muộn một ngày đầu tháng 3, chị Nguyễn Thị Hương, 37 tuổi, trú tại Diễn Châu, Nghệ An, nhận cuộc gọi từ số quốc tế lạ +1 (688) xxx-xxxx. Người gọi tự xưng là cán bộ công an tỉnh, thông báo chị liên quan đến một vụ vi phạm trật tự an toàn giao thông.
Khi chị phủ nhận, "cán bộ công an" dẫn chị rẽ sang hướng nghiêm trọng hơn: thông tin cá nhân của chị có thể đã bị lợi dụng trong một vụ việc lớn. Chỉ sau vài phút, từ chỗ bình tĩnh, chị bắt đầu lo lắng, muốn nhanh chóng “chứng minh mình vô can”.
Cuộc gọi được “chuyển tuyến” sang một người khác tự xưng là cán bộ điều tra. Người này yêu cầu chị giữ bí mật, không cúp máy và làm theo hướng dẫn để “phối hợp xử lý”. Ngay sau đó, một đường link được gửi tới, có giao diện giống cổng thông tin của cơ quan công an.
Chị Hương được yêu cầu nhập CCCD, số tài khoản ngân hàng, số điện thoại, rồi mã Smart OTP. Sau đó, đối tượng tiếp tục hướng dẫn xóa ứng dụng ngân hàng, tắt thông báo với lý do “tránh bị tấn công”.
Sáng hôm sau, thấy bất an chị Hương ra ngân hàng kiểm tra, thì phát hiện hơn 280 triệu đồng trong tài khoản đã bị chuyển đi. Không có dấu hiệu xâm nhập kỹ thuật phức tạp. Toàn bộ giao dịch đều được thực hiện từ chính thiết bị của chị.
Câu chuyện cho thấy, đối tượng không cần “hack” theo cách thông thường. Chúng chỉ cần dẫn dụ để nạn nhân tự cung cấp thông tin, tự xác thực giao dịch và tự mở quyền truy cập.
Từ hóa đơn nhỏ đến cú rút sạch tài khoản
Trường hợp của bà Trần Thị Lợi, 62 tuổi, trú tại phường Thành Vinh, Nghệ An, lại bắt đầu từ một tình huống rất quen thuộc: tiền điện.
Một cuộc gọi thông báo “hóa đơn chưa thanh toán, sẽ bị cắt điện trong ngày” khiến bà giật mình. Khi bà nói đã đóng tiền, đối tượng không phủ nhận mà giải thích có thể hệ thống chưa cập nhật.
Ngay sau đó, bà nhận được đường link tra cứu có giao diện giống trang của đơn vị điện lực. Bà nhập số điện thoại, mã khách hàng và một số thông tin cá nhân.
Sau vài thao tác, câu chuyện chuyển sang “xác thực tài khoản để đối soát”. Đối tượng đề nghị bà cung cấp số tài khoản ngân hàng và đọc mã OTP.
Điểm đáng chú ý là hóa đơn ban đầu chỉ 187.000 đồng. Một con số nhỏ, tưởng như không đáng ngại, nhưng lại đủ tạo áp lực “xử lý nhanh cho xong”. Trong tâm lý sợ bị cắt điện, bà làm theo hướng dẫn.
Chỉ trong buổi chiều, ba giao dịch liên tiếp được thực hiện, tổng cộng 96 triệu đồng bị chuyển khỏi tài khoản. Khi gia đình phát hiện và liên hệ tổng đài điện lực, mới biết đơn vị này không yêu cầu khách hàng cung cấp OTP hay truy cập đường link lạ.
Từ một hóa đơn nhỏ, toàn bộ tài khoản bị rút sạch. Kịch bản không quá phức tạp, nhưng được thiết kế vừa đủ để nạn nhân không kịp dừng lại.
Với chị Phạm Thu Hằng, 41 tuổi, trú tại phường Trường Vinh, Nghệ An thì cú lừa lại bắt đầu bằng hy vọng. Một email thông báo con trai Nguyễn Minh Khang của chị đủ điều kiện nhận học bổng quốc tế, kèm logo, chữ ký và thông tin liên hệ, khiến nội dung trở nên đáng tin.
Sau đó, một cuộc gọi “xác nhận hồ sơ” tiếp tục củng cố niềm tin khi nhắc đến thành tích học tập của con chị. Đối tượng thông báo chỉ có 15 suất trên toàn quốc, gia đình cần xác nhận trong 24 giờ. Chị Hằng truy cập website được cung cấp và điền thông tin hồ sơ.
Tiếp đó, yêu cầu “chứng minh tài chính” xuất hiện, với cam kết sẽ hoàn trả sau xét duyệt. Chị chuyển 50 triệu đồng. Nhưng câu chuyện chưa dừng lại.
Một người khác tiếp tục liên hệ, thông báo hồ sơ của con chị đang “xếp hạng”, cần nâng mức xác minh để bảo đảm suất. Trong tâm lý đã bỏ tiền và không muốn mất cơ hội, chị tiếp tục chuyển thêm.
Cảm thấy bất an, chạy ra ngân hàng kiểm tra, chị Hằng bần thần biết mình mất tổng cộng 180 triệu đồng. Toàn bộ hệ thống liên lạc biến mất: website không truy cập được, nhóm hỗ trợ không còn, số điện thoại cũng im lặng. Không có học bổng nào, chỉ có một kịch bản được dựng sẵn từ đầu.
Lừa đảo OTP: Chiếm quyền thiết bị không cần hack
Ba câu chuyện, ba vỏ bọc khác nhau: cơ quan công an, điện lực, giáo dục. Nhưng cách thức lại gặp nhau ở một điểm: tạo niềm tin ban đầu, đẩy nạn nhân vào trạng thái phải xử lý gấp, rồi dẫn dụ truy cập đường link hoặc nền tảng giả mạo.
Bước cuối cùng thường là yêu cầu cung cấp thông tin quan trọng, xác thực giao dịch hoặc đọc mã OTP. Khi thao tác này được thực hiện, quyền kiểm soát tài khoản gần như đã được mở ra.
Trong toàn bộ quá trình, thiết bị không nhất thiết bị xâm nhập bằng kỹ thuật cao. Rủi ro đến từ chính thao tác của người dùng trong trạng thái bị dẫn dắt.
Các cảnh báo từ cơ quan công an thời gian qua cũng cho thấy thủ đoạn không chỉ dừng ở việc dụ chuyển tiền một lần, mà còn có thể hướng đến khai thác sâu hơn dữ liệu, tài khoản và thiết bị cá nhân.
Điện thoại hiện nay không chỉ để liên lạc. Đó còn là nơi lưu trữ ứng dụng ngân hàng, ví điện tử, email, mạng xã hội, ảnh giấy tờ và dữ liệu cá nhân. Khi một mắt xích bị lộ, rủi ro có thể lan sang nhiều lớp thông tin khác.
Từ thực tiễn các vụ việc, Trung tá Hà Huy Đức – Phòng Cảnh sát hình sự công an tỉnh Nghệ An khuyến cáo người dân cần đặc biệt lưu ý những dấu hiệu: cuộc gọi yêu cầu xử lý gấp; đường link không rõ nguồn gốc; đề nghị cung cấp tài khoản, mật khẩu, OTP; hướng dẫn cài ứng dụng ngoài kho chính thức.
Theo Trung tá Hà Huy Đức việc triệu tập, làm việc hoặc xác minh không được thực hiện bằng cách yêu cầu người dân thao tác qua điện thoại, mạng xã hội hay ứng dụng không rõ nguồn gốc. Đây là nguyên tắc quan trọng để đối chiếu khi gặp tình huống bất thường.
Một cuộc gọi có thể tắt. Một tin nhắn có thể bỏ qua. Nhưng nếu không dừng lại đúng lúc, cái giá phải trả đôi khi không chỉ là tiền, mà còn là cảm giác mất an toàn ngay trên chính thiết bị cá nhân của mình.
Kỳ 2: Chỉ một cú bấm link, mất tiền và mất luôn điện thoại: Người dùng đang đứng ở đâu trước lừa đảo số?
