Gần đây, các chuyên gia tại hãng bảo mật Kaspersky đã đưa ra cảnh báo về một phương thức lừa đảo mới, gọi là “bot OTP”, đang nhắm vào người dùng trên toàn thế giới, bao gồm cả Việt Nam. Phương thức này kết hợp giữa trang web giả mạo và cuộc gọi tự động nhằm đánh cắp mã OTP (mật khẩu dùng một lần), một lớp bảo mật phổ biến trong việc xác thực hai yếu tố cho các tài khoản trực tuyến.
Cách Thức Hoạt Động Của Bot OTP
- Tạo Trang Web Giả Mạo: Trước hết, kẻ gian sẽ tạo ra các trang web giả mạo có giao diện giống hệt với các trang đăng nhập của các tổ chức tài chính, dịch vụ email, hoặc tài khoản trực tuyến khác. Những trang web này được thiết kế để lừa người dùng nhập tên đăng nhập và mật khẩu.
- Sử Dụng Cuộc Gọi Tự Động: Sau khi có được tên đăng nhập và mật khẩu, nhóm lừa đảo sẽ sử dụng cuộc gọi thoại tự động bằng bot để gọi đến nạn nhân. Bot này mạo danh là nhân viên của một tổ chức đáng tin cậy, như ngân hàng, và sử dụng kịch bản hội thoại được lập trình sẵn để thuyết phục nạn nhân cung cấp mã OTP.
- Thuyết Phục Khẩn Trương: Kịch bản phổ biến nhất là bot giả làm tổ chức tài chính, thông báo rằng có ai đó đang cố truy cập vào tài khoản ngân hàng của nạn nhân để đánh cắp tiền. Bot yêu cầu nạn nhân cung cấp mã OTP ngay lập tức để ngăn chặn giao dịch gian lận. Giọng điệu của bot thường khẩn trương và thuyết phục, tạo cảm giác đáng tin cậy.
- Chiếm Đoạt Tài Khoản: Khi đã có được mã OTP, kẻ gian có thể dễ dàng truy cập vào tài khoản của nạn nhân để thực hiện các hành vi gian lận, lấy cắp thông tin, hoặc chiếm đoạt tài sản.
Tại Sao Phương Thức Này Hiệu Quả?
Phương thức “bot OTP” hiệu quả vì những lý do sau:
- Phản Hồi Nhanh Chóng: Nạn nhân có xu hướng phản hồi nhanh hơn khi nhận được cuộc gọi thoại so với tin nhắn văn bản.
- Giọng Nói Khẩn Trương: Bot mô phỏng giọng điệu khẩn trương, khiến nạn nhân cảm thấy tình huống nghiêm trọng và cần hành động ngay lập tức.
- Dịch Vụ Trên Chợ Đen: Bot OTP được cung cấp dưới dạng dịch vụ trên chợ đen của tin tặc, với nhiều gói đăng ký và tính năng tùy chỉnh, như giọng nam/nữ, đa ngôn ngữ, và giả mạo số điện thoại.
Biện Pháp Phòng Ngừa
Để bảo vệ bản thân trước phương thức lừa đảo này, người dùng cần lưu ý các biện pháp sau:
- Không Cung Cấp Mã OTP Qua Điện Thoại: Ngân hàng và các tổ chức uy tín không bao giờ yêu cầu người dùng cung cấp mã OTP qua điện thoại để xác minh danh tính.
- Kiểm Tra Liên Kết: Tránh nhấp vào các liên kết trong tin nhắn hoặc email đáng ngờ. Khi cần đăng nhập tài khoản, hãy nhập chính xác URL hoặc truy cập qua các dấu trang đã lưu (bookmark).
- Sử Dụng Công Cụ Kiểm Tra Tên Miền: Kiểm tra tên miền của các trang web. Nếu trang web mới được đăng ký gần đây, khả năng cao đây là trang web lừa đảo.
- Nâng Cao Nhận Thức: Cập nhật kiến thức về các phương thức lừa đảo mới và nâng cao cảnh giác khi nhận được các cuộc gọi hoặc tin nhắn yêu cầu thông tin nhạy cảm.
Phương thức lừa đảo bằng bot OTP là một hình thức tấn công phi kỹ thuật rất tinh vi, lợi dụng sự thiếu cảnh giác và tâm lý hoảng loạn của nạn nhân. Người dùng cần trang bị cho mình kiến thức và kỹ năng để nhận biết và phòng ngừa các hình thức lừa đảo này, bảo vệ tài khoản và thông tin cá nhân trước sự tấn công của kẻ gian.
