Cảnh báo chiêu trò chiếm SIM và giả mạo sinh trắc học để đánh cắp tài khoản ngân hàng
Cảnh báo chiêu trò chiếm SIM giả mạo sinh trắc học

Theo Công an tỉnh Phú Thọ, một hình thức tấn công gián tiếp nhưng cực kỳ nguy hiểm đang gia tăng. Thay vì trực tiếp bẻ khóa ứng dụng ngân hàng hay tấn công hệ thống bảo mật sinh trắc học, các đối tượng đóng vai chính nạn nhân bằng cách cướp đi chiếc chìa khóa quyền lực nhất trong giao dịch số: số điện thoại (SIM) và thông tin cá nhân.

Quy trình tấn công tinh vi

Các đối tượng thực hiện qua ba bước chính. Đầu tiên, chúng thu thập thông tin cá nhân của nạn nhân như họ tên, số CCCD, ngày tháng năm sinh, địa chỉ qua các hội nhóm mua bán dữ liệu, đường link phishing giả mạo hoặc do nạn nhân vô tình chia sẻ trên mạng xã hội.

Bước thứ hai, chúng chiếm quyền kiểm soát SIM. Kẻ gian giả danh nạn nhân, sử dụng giấy tờ giả hoặc lợi dụng kẽ hở trong khâu xác minh của nhà mạng để báo mất SIM và yêu cầu cấp lại SIM mới (4G/5G). Ngoài ra, chúng có thể lừa nạn nhân tự nhắn tin theo cú pháp chuyển đổi SIM, ví dụ dụ dỗ nâng cấp SIM 4G/5G miễn phí. Hậu quả, SIM trên điện thoại nạn nhân ngay lập tức bị mất sóng (vô hiệu hóa), còn SIM mới trong tay đối tượng được kích hoạt.

Banner rộng Pickt — ứng dụng danh sách mua sắm cộng tác cho Telegram

Vượt rào sinh trắc học

Ở bước cuối, đối tượng tải ứng dụng ngân hàng hoặc ví điện tử của nạn nhân trên một chiếc điện thoại hoàn toàn mới. Chúng dùng thông tin cá nhân đã có để đăng nhập và yêu cầu cấp lại mật khẩu. Mã OTP lúc này được gửi thẳng về chiếc SIM giả mạo mà chúng đang giữ. Do hệ thống nhận diện đây là lượt đăng nhập trên thiết bị mới, một số ứng dụng cho phép người dùng thiết lập lại khuôn mặt hoặc vân tay sau khi nhập đúng OTP SMS và thông tin định danh. Đối tượng thoải mái quét chính khuôn mặt của chúng để làm dữ liệu sinh trắc học mới. Kể từ đó, tài khoản ngân hàng hoàn toàn thuộc về đối tượng.

Biện pháp phòng tránh: Quy tắc 3 không và 3 nên

Để bảo vệ tài sản, người dân cần tuân thủ nghiêm ngặt các quy tắc sau:

Banner sau bài viết Pickt — ứng dụng danh sách mua sắm cộng tác với hình minh họa gia đình

Quy tắc 3 không

  • Không chia sẻ thông tin cá nhân nhạy cảm: Tuyệt đối không đăng tải ảnh chụp căn cước công dân (hai mặt), số điện thoại gắn với tài khoản ngân hàng hay email lên các nền tảng mạng xã hội công khai.
  • Không làm theo hướng dẫn từ người lạ qua điện thoại: Không nhắn tin theo các cú pháp lạ liên quan đến dịch vụ di động (như đổi SIM, nâng cấp SIM) do các đối tượng tự xưng là nhân viên nhà mạng yêu cầu. Khi cần nâng cấp SIM, hãy ra trực tiếp điểm giao dịch chính thức.
  • Không bấm vào các đường link lạ: Các đường link giả mạo khảo sát, nhận quà, bình chọn thường cài cắm mã độc để thu thập thông tin tài khoản và mật khẩu.

Quy tắc 3 nên

  • Nên xử lý ngay khi SIM bị mất sóng đột ngột: Nếu điện thoại bất ngờ mất tín hiệu (báo No Service) ngay tại khu vực thông thoáng, hãy lập tức dùng wifi hoặc mượn điện thoại khác gọi lên tổng đài nhà mạng để khóa SIM và kiểm tra xem có ai đang yêu cầu cấp lại SIM hay không.
  • Nên cài đặt mã PIN cho SIM: Đây là tính năng có sẵn trên cả iPhone và Android. Khi cài mã PIN, nếu đối tượng trộm được SIM vật lý cắm sang máy khác, chúng không thể kích hoạt nếu không nhập đúng mã PIN.
  • Nên sử dụng các phương thức xác thực thay thế (nếu có): Đối với các ứng dụng cho phép, hãy ưu tiên chọn xác thực hai lớp (2FA) qua ứng dụng tạo mã (như Google Authenticator) thay vì chỉ phụ thuộc hoàn toàn vào OTP gửi qua SMS.

Hải Vân