Gần đây, trên mạng xã hội Facebook xuất hiện nhiều bài đăng cảnh báo về một ứng dụng tạo cuộc gọi qua internet. Khi nhập bất kỳ số điện thoại "siêu đẹp" nào, máy người nhận lập tức hiển thị số đó. Đặc biệt, nếu số trùng với danh bạ, tên người lưu sẽ hiện ra.
Thực chất của chiêu trò giả mạo số điện thoại
Trên thực tế, kỹ thuật tạo cuộc gọi ảo với số tùy chỉnh không chỉ dừng lại ở một ứng dụng cụ thể. Nó khai thác kỹ thuật Caller ID Spoofing - giả mạo số điện thoại hiển thị. Đây không phải lỗ hổng mới mà là hệ quả từ thiết kế hệ thống viễn thông toàn cầu từ thập niên 1970. Giao thức SS7 ra đời năm 1975 không có cơ chế xác thực số người gọi, khiến mạng điện thoại chỉ hiển thị số tự khai báo mà không kiểm tra.
Công nghệ VoIP (gọi điện qua internet) đã thay đổi tình hình. Bất kỳ ai cũng có thể kết nối vào hệ thống viễn thông toàn cầu và điền số bất kỳ vào trường "From" của gói tín hiệu. Các ứng dụng Caller ID Spoofing không hack nhà mạng mà hoạt động theo cách hệ thống VoIP được thiết kế.
Nguy cơ từ việc giả mạo số điện thoại
Điểm nguy hiểm là các ứng dụng này cho phép giả danh bất kỳ số điện thoại nào, kể cả số người thân, bạn bè hay cơ quan chức năng, khiến nạn nhân dễ tin tưởng. Lợi dụng chiêu trò này, tội phạm công nghệ cao đóng giả người thân, cán bộ nhà nước, ngân hàng... để tạo lòng tin, từng bước đưa nạn nhân vào "ma trận" lừa đảo.
Chúng thao túng tâm lý, đe dọa, yêu cầu chuyển tiền, cung cấp OTP, mật khẩu, thông tin tài khoản ngân hàng hoặc truy cập link độc, cài ứng dụng mã độc, chiếm quyền điều khiển thiết bị và chuyển tiền. Mới đây, nhóm lừa đảo đã chiếm đoạt gần 700 triệu đồng của chị P.T.H (54 tuổi, Nghệ An) bằng cách giả mạo số điện thoại của công ty điện lực.
Vì sao số lạ hiện tên ngân hàng, người thân?
Trước đây, người ta thường nói: "Nếu thấy số lạ, số rác gọi đến thì đừng nghe". Nhưng tội phạm công nghệ cao đã nâng cấp chiêu trò. Màn hình điện thoại không còn hiển thị dãy số lạ, mà hiển thị tên tổ chức uy tín như ngân hàng A, nhà mạng B... Đây là chiêu trò lợi dụng dịch vụ Voice Brandname để làm giả tên cơ quan công quyền, ngân hàng, tập đoàn lớn.
Chị T.T.L (phường Nghĩa Lộ, Quảng Ngãi) kể: chị nhận cuộc gọi hiển thị tên ngân hàng đang dùng, giọng nam tự xưng nhân viên thông báo chị đủ điều kiện nâng hạn mức thẻ tín dụng. Nghi ngờ lừa đảo, chị xác minh và biết đó là số giả mạo, ngân hàng không có chương trình này.
Voice Brandname là dịch vụ hợp pháp giúp doanh nghiệp tăng uy tín. Nhưng kẻ xấu lợi dụng sơ hở: dùng giấy tờ giả, lập công ty ma đăng ký tên định danh gây nhầm lẫn; hack tổng đài doanh nghiệp; thuê đầu số từ trung gian lỏng lẻo; hoặc dùng trạm BTS giả để chèn tên giả mạo.
Theo Đại tá Nguyễn Ngọc Thạnh, Trưởng phòng An ninh mạng Công an tỉnh Quảng Ngãi, Voice Brandname là giải pháp chống cuộc gọi rác, nhưng bị lợi dụng để đăng ký thông tin hiển thị giả mạo, khiến người dân mất cảnh giác.
Không tin tuyệt đối vào số điện thoại hiển thị
Với sự phát triển của AI, chỉ cần vài đoạn ghi âm ngắn trên mạng xã hội, công nghệ có thể mô phỏng giọng nói chân thực. Nhiều nhóm lừa đảo kết hợp Caller ID Spoofing và AI tạo cuộc gọi giả khó phân biệt. Đối tượng có thể gọi cho bà A. nhưng hiển thị số con gái bà, kết hợp AI giả giọng, khiến bà tin đang nói chuyện với người thân. Từ đó, chúng dựng tình huống cấp cứu, tai nạn, yêu cầu chuyển tiền gấp, nhờ nhận mã xác thực... Nếu mất cảnh giác, người dân dễ bị chiếm đoạt tài sản hoặc lộ dữ liệu.
Người dân không nên tin tuyệt đối vào số điện thoại hiển thị, kể cả số quen thuộc. Với tình huống cấp bách, gia đình nên thống nhất "mật khẩu gia đình" để xác định danh tính.
Đại tá Nguyễn Ngọc Thạnh khuyến cáo: "Khi kẻ xấu vừa giả mạo số điện thoại, vừa dùng Deep Voice giả giọng người thân, kết hợp thao túng tâm lý, nạn nhân gần như không còn cơ sở nghi ngờ". Ông nhấn mạnh: trong thời đại số, ngay cả giọng nói quen thuộc hay số hiển thị cũng chưa chắc thật. Khi nhận cuộc gọi vay tiền, chuyển tiền gấp, hoặc yêu cầu làm theo hướng dẫn bất thường, cần bình tĩnh xác minh danh tính qua nhiều cách: gọi lại số đã lưu, gặp trực tiếp, nhắn tin qua ứng dụng quen dùng.
Tuyệt đối không cung cấp thông tin cá nhân, mã OTP, không bấm link lạ, không cài ứng dụng, không chuyển khoản theo yêu cầu khi chưa biết chính xác người gọi là ai và mục đích gì.
