(Thanh tra) - Lừa đảo công nghệ cao không còn dừng ở việc dụ chuyển tiền, mà đã chiếm quyền điện thoại để thao túng tài khoản ngân hàng. Vụ chiếm đoạt hơn 23 tỷ đồng đặt ra câu hỏi: vì sao hệ thống bảo mật vẫn “cho qua” những giao dịch bất thường?
“Chìa khóa” bị chiếm đoạt: Một chuyên án hơn 23 tỷ đồng
Một chuyên án vừa được triệt phá tại Quảng Trị cho thấy mức độ tinh vi và quy mô đáng lo ngại của tội phạm công nghệ cao.
Theo đó, qua công tác nghiệp vụ, Phòng An ninh mạng, Công an tỉnh Quảng Trị và Cục An ninh mạng (Bộ Công an) chủ trì cùng phối hợp với các đơn vị nghiệp vụ thuộc Công an tỉnh Quảng Trị đấu tranh thành công chuyên án, bắt giữ 4 đối tượng có hành vi sử dụng mạng máy tính, mạng viễn thông và phương tiện điện tử để chiếm đoạt hơn 23 tỷ đồng của nhiều bị hại trên toàn quốc với thủ đoạn mới và rất tinh vi.
Cơ quan chức năng đã bắt, khởi tố 4 đối tượng, thu giữ nhiều tài liệu, vật chứng liên quan. Những đối tượng này gồm: Trần Quang Trọng (SN 2000, trú tại phường Diên Hồng, tỉnh Gia Lai), Nguyễn Minh Thuận (SN 1997, trú tại phường Diên Hồng, tỉnh Gia Lai), Lê Văn Kỷ (SN 1995, trú tại TP.HCM) và Hồ Đức Thế (SN 1990, trú tại tỉnh Đắk Lắk).
Theo tài liệu điều tra ban đầu, từ tháng 1/2026, các đối tượng thực hiện hành vi “đổi SIM” để chiếm quyền sử dụng số điện thoại của bị hại. Từ đây, chúng kiểm soát tài khoản ngân hàng liên kết với số thuê bao nhằm nhận mã OTP và thực hiện chiếm đoạt tiền.
Nhóm này hoạt động có tổ chức: người thu thập dữ liệu khách hàng có tiền gửi, người thực hiện đổi SIM trái phép, người truy cập tài khoản ngân hàng và người “rửa tiền” qua tiền điện tử. Riêng ngày 20/1, nhóm đã đổi thành công 13 SIM, chiếm đoạt khoảng 3 tỷ đồng từ 7–8 tài khoản. Đáng chú ý, các đối tượng còn vượt qua cả lớp xác thực sinh trắc học.
Từ tháng 2 đến tháng 3/2026, với thủ đoạn tương tự, tổng số tiền bị chiếm đoạt lên tới hơn 20 tỷ đồng, sau đó được chuyển đổi sang tiền điện tử để che giấu nguồn gốc.
Ngày 30/3, Cơ quan An ninh điều tra Công an tỉnh Quảng Trị đã khởi tố vụ án, khởi tố bị can đối với các đối tượng về hành vi chiếm đoạt tài sản và rửa tiền theo quy định của Bộ luật Hình sự.
Vụ án không chỉ cho thấy sự tinh vi của tội phạm, mà còn đặt ra một vấn đề đáng chú ý: chỉ cần chiếm quyền số điện thoại, toàn bộ lớp bảo mật phía sau từ OTP đến sinh trắc học đều có thể bị vượt qua.
Điểm đáng chú ý là các giao dịch trong vụ án đều được thực hiện theo đúng quy trình kỹ thuật: có OTP, có xác thực, có đăng nhập hợp lệ.
Tuy nhiên, xét về hành vi, lại xuất hiện nhiều dấu hiệu bất thường: Giao dịch giá trị lớn trong thời gian rất ngắn, thực hiện liên tiếp trên nhiều tài khoản, phát sinh từ thiết bị không còn do chính chủ kiểm soát
Một chuyên gia an ninh mạng nhận định: “Hệ thống hiện nay xác thực đúng thông tin, nhưng chưa xác thực đúng hành vi.”
Điều này đặt ra câu hỏi: liệu các cơ chế bảo mật có đang quá phụ thuộc vào OTP, một “chìa khóa” có thể bị chiếm đoạt?
Lỗ hổng nhiều tầng: Không chỉ từ người dùng
Thực tế cho thấy, tội phạm không cần tấn công trực tiếp vào hạ tầng ngân hàng. Thay vào đó, chúng khai thác người dùng như “cửa ngõ”, rồi từ đó đi sâu vào hệ thống.
Ngân hàng: phụ thuộc vào xác thực một lớp
Phần lớn giao dịch hiện vẫn dựa vào OTP qua SMS hoặc ứng dụng. Khi số điện thoại bị chiếm quyền, lớp bảo mật này gần như mất tác dụng. Trong khi đó, cơ chế phát hiện giao dịch bất thường chưa đủ nhanh hoặc chưa đủ mạnh để can thiệp kịp thời.
Trong khi đó, đối với các nhà mạng lỗ hổng là khoảng trống trong kiểm soát thuê bao
Thủ đoạn “đổi SIM” cho thấy nguy cơ trong quản lý thuê bao và xác thực thông tin. Khi số điện thoại vốn là “chìa khóa” của nhiều dịch vụ bị chiếm quyền, toàn bộ hệ sinh thái phía sau có thể bị ảnh hưởng.
Còn ở các nền tảng và thiết bị thì quyền truy cập quá rộng là lỗ hổng mà các đối tượng lợi dụng để khai thác.
Ở một số kịch bản khác, người dùng bị dụ cài ứng dụng giả mạo, cấp quyền truy cập sâu như đọc tin nhắn, điều khiển thiết bị. Khi đó, ngay cả khi không đổi SIM, đối tượng vẫn có thể thao túng trực tiếp trên “máy chính chủ”.
Hai cách tiếp cận chiếm SIM hoặc chiếm thiết bị nhưng cùng dẫn đến một kết quả: khi quyền kiểm soát rơi khỏi tay người dùng, các lớp bảo mật phía sau gần như không còn ý nghĩa. Không thể phủ nhận, nhiều vụ việc xuất phát từ sự chủ quan của người dùng: bấm link lạ, cung cấp thông tin, cài ứng dụng không rõ nguồn gốc.
Tuy nhiên, ở góc độ hệ thống, người dùng đang ở vị trí dễ tổn thương nhất, bởi họ không có công cụ nhận biết thiết bị bị chiếm quyền; không được cảnh báo kịp thời khi phát sinh giao dịch bất thường; không có cơ chế “dừng khẩn cấp” khi xảy ra rủi ro.
Trong khi đó, khi sự cố xảy ra, trách nhiệm lại phân tán giữa ngân hàng, nhà mạng và nền tảng. Khi mỗi mắt xích đều có lý do của mình, người dùng thường là người phải gánh toàn bộ hậu quả.
Siết từ hệ thống: Không thể chỉ dừng ở cảnh báo
Từ thực tế các vụ án, ý kiến các chuyên gia công nghệ, an ninh mạng cho rằng cần chuyển từ cảnh báo cá nhân sang tăng cường phòng ngừa ở cấp hệ thống.
Một số hướng được đặt ra như nâng chuẩn bảo mật ngân hàng, giảm phụ thuộc vào OTP, bổ sung xác thực đa lớp và cơ chế trì hoãn giao dịch bất thường; siết quy trình cấp lại SIM, tăng kiểm soát thuê bao; thiết lập cảnh báo theo thời gian thực khi phát sinh hành vi bất thường; xây dựng cơ chế phối hợp nhanh giữa ngân hàng, nhà mạng và cơ quan chức năng để kịp thời phong tỏa giao dịch
Trong bối cảnh điện thoại trở thành “ví tiền”, “giấy tờ” và “danh tính số”, an ninh mạng cá nhân không còn là vấn đề riêng lẻ. Nếu không siết lại từ hệ thống, mọi cảnh báo cá nhân sẽ chỉ là tuyến phòng thủ cuối cùng và cũng là tuyến dễ bị xuyên thủng nhất.
Kỳ 3: Lá chắn an ninh mạng: Ai đang giữ cửa khi người dùng bị tấn công?
