Một buổi sáng đầu tháng 12, chị Nguyễn Minh (Hải Dương) nhận được tin nhắn từ tài khoản facebook của người thân với đề nghị "cần vay tiền gấp để nhập viện". Mặc dù lừa đảo nhắn tin qua tài khoản facebook diễn ra nhiều nhưng khi thấy người thân hỏi: "Có sẵn tiền trong tài khoản không? Cho chị mượn 15 triệu đồng để làm thủ tục nhập viện cho bác". Chị Minh nhanh chóng chuyển khoản mà không kiểm tra trước. Đến khi phát hiện bị lừa, chị Minh liên hệ với ngân hàng để tra soát thông tin chuyển khoản nhưng số tiền đã nhanh chóng chuyển sang ngân hàng khác.
Một trường hợp tương tự khác, chị Phạm Thị Sâm (Hà Nội) cũng từng bị nhờ chuyển khoản 15 triệu đồng vào tài khoản ngân hàng thông qua tin nhắn trên zalo với lý do "mượn tiền để thanh toán tiền hàng". Nhưng chị Sâm nói không đủ tiền để chuyển, đối tượng bảo có 5 hay 10 triệu chuyển cũng được, chị thấy nghi ngờ và gọi lại cho chính chủ Zalo bằng số điện thoại thông thường thì mới biết bị lừa đảo.
Theo Hiệp hội Ngân hàng Việt Nam (VNBA), số lượng giao dịch và người dân bị lừa đảo cần hỗ trợ giữa các ngân hàng tăng hàng ngày, hàng giờ, đặc biệt là 3 tháng vừa qua.
Đáng chú ý, theo ghi nhận từ những người bị hại trong các cuộc lừa đảo, phía hacker thường yêu cầu chuyển khoản số tiền... 15 triệu đồng.
Tại sao lại là 15 triệu đồng mà không phải con số khác?
Theo ông Vũ Ngọc Sơn, Giám đốc Kỹ thuật của Công ty Công nghệ an ninh mạng Việt Nam – NCS, đó chỉ là con số ngẫu nhiên mà đối tượng lừa đảo đưa ra. Đây cũng là số tiền nhỏ mà hacker có thể lừa được nhiều người. Thực tế, không ít thương vụ lừa đảo lên tới hàng trăm triệu, hàng tỷ đồng. Tuy nhiên, các vụ lừa đảo liên quan đến con số chuyển khoản nhỏ sẽ phổ biến hơn.
Ông Sơn cho biết, có rất nhiều hình thức lừa đảo hiện nay. Việc bị mất tiền trong tài khoản ngân hàng gia tăng dịp Tết do các hình thức lấy tiền ngày càng trở nên tinh vi. Điển hình như hiện tại, hacker không cần mã OTP mà có thể chiếm quyền điều khiển điện thoại, bật app ngân hàng và thực hiện chuyển tiền.
Cụ thể, thông qua dịch vụ trợ năng (Accessibility Service), một thiết kế của Google trong Android nhằm giúp cho những người khiếm thị hoặc mất khả năng vận động có thể dùng được smartphone đã bị hacker lợi dụng. Hacker sử dụng Accessibility Service để lập trình mã độc đọc được nội dung và tương tác được trên các ứng dụng khác. Bằng cách này, hacker lừa để người dùng cấp quyền Accessibility cho ứng dụng giả mạo. Sau khi được cấp quyền, ứng dụng giả mạo có thể nằm vùng như một gián điệp, thu thập thông tin, thậm chí điều khiển các ứng dụng ngân hàng, nhập tài khoản, mật khẩu, sau đó là mã OTP để chuyển tiền ngân hàng.
Điều đáng nói việc lừa đảo chuyển tiền qua ngân hàng thực tế không khác so với hình thức giao dịch chuyển tiền khác. Đó là lý do hệ thống ngân hàng khó phân biệt đấy là lừa đảo hay giao dịch bình thường.
Ví dụ hình thức điều khiển điện thoại, sử dụng app ngân hàng, phía ngân hàng nhìn thấy từ chính điện thoại của "chính chủ" chuyển tiền. Phía ngân hàng rất khó phân biệt được người dùng chuyển tiền hay hacker chuyển tiền.
Ông Sơn phân tích, việc ngăn chặn từ phía ngân hàng ngày càng trở nên khó khăn vì các hacker thường chuyển tiền ngay sang các tài khoản khác sau khi nhận được tiền. Việc chuyển khoản lòng vòng từ ngân hàng này sang ngân hàng khác khiến quá trình theo dõi trở nên khó khăn. Thế nên rất khó thu hồi tiền ngay cả khi người dùng yêu cầu phong tỏa. Điều này cần phối hợp giữa các ngân hàng nhưng cơ chế chưa có nên ngân hàng này không thể yêu cầu ngân hàng khác tra soát phong tỏa tài khoản trừ khi có sự can thiệp của công an. Thậm chí, đến khâu cơ quan công an yêu cầu phong tỏa tài khoản thì trước đó là rất nhiều bước xác minh. Khi đó, tiền đã chuyển đi nơi khác.
Ông Sơn nhấn mạnh thêm, bản chất, ngân hàng chỉ là bên trung gian để hacker thực hiện chuyển tiền. Và hệ thống ngân hàng luôn có tính an toàn cao.
Ông Sơn khuyến cáo, người dùng cần cảnh giác với những yêu cầu cài đặt phần mềm, đặc biệt là phần mềm trên Android. Tuyệt đối không cấp quyền Accessibility cho dù bất cứ lý do nào. Tất cả các ứng dụng của ngân hàng, thuế hay bất kỳ cơ quan nào khác đều không yêu cầu quyền này.