Lừa đảo đánh cắp mã OTP ngân hàng bằng cuộc gọi tự động

Xác thực 2 yếu tố (2FA) là tính năng bảo mật tiêu chuẩn trong an ninh mạng. Tính năng này yêu cầu người dùng xác minh danh tính bằng một bước xác thực thứ hai, thường là mật khẩu dùng một lần (OTP).

OTP (mật khẩu dùng một lần) là hình thức bảo mật phổ biến, dùng trong xác thực hai yếu tố cho các tài khoản online. Mã này thường được gửi qua tin nhắn văn bản, email hoặc ứng dụng, nhằm đảm bảo đúng người dùng, tránh việc bị đánh cắp tài khoản ngay cả khi đã lộ tên đăng nhập và mật khẩu.

Với sự phát triển công nghệ hiện nay, một số ứng đụng đang ưu tiên cuộc gọi thoại tự dộng thay vì tin nhắn SMS như trước đây. Các chuyên gia tại hãng bảo mật Kaspersky tại Việt Nam đưa ra cảnh báo sau khi phát hiện và ngăn chặn hàng nghìn cuộc tấn công bằng trang web giả mạo kết hợp "bot OTP".

Cách thức lừa đảo qua cuộc gọi tự động

Cuộc gọi tự động bằng bot mô phỏng giọng khẩn trương, thúc giục người nghe cung cấp mã OTP, khiến nạn nhân dễ sập bẫy.

Kịch bản phổ biến là các đối tượng lừa đảo sẽ đóng vai tổ chức tài chính gọi điện thông báo tới người dùng rằng ai đó đang cố truy cập vào tài khoản ngân hàng của họ để đánh cắp tiền, và yêu cầu người dùng ngay lập tức cung cấp mã OTP để chúng có thể sớm can thiệp và thực hiện biện pháp ngăn chặn kịp thời.

Cũng theo phân tích của các chuyên gia, kẻ lừa đảo thường ưu tiên sử dụng cuộc gọi thoại thay cho tin nhắn, vì nạn nhân có xu hướng phản hồi nhanh hơn khi áp dụng hình thức này. Để tăng hiệu quả, bot OTP sẽ mô phỏng giọng điệu và sự khẩn trương của con người trong cuộc gọi nhằm tạo cảm giác tin cậy và tăng tính thuyết phục.

Khi đã có OTP, chúng dễ dàng truy cập vào tài khoản của nạn nhân và thực hiện hành vi lấy thông tin, tiền, gian lận, hoặc đổi thông tin để chiếm tài khoản.

Người dân tuyệt đối không cung cấp mã OTP cho bất kỳ ai

Theo Kaspersky, trong khoảng thời gian từ ngày 1/3 đến ngày 31/5, đơn vị này đã ngăn chặn 653.088 lượt truy cập vào các trang web được tạo ra bởi bộ công cụ phishing (lừa đảo) nhắm vào các ngân hàng. Cũng trong khoảng thời gian đó, Kaspersky phát hiện 4.721 trang web lừa đảo do các bộ công cụ tạo ra nhằm mục đích vượt qua biện pháp xác thực 2 yếu tố.

“Tất cả giọng nói đều do AI tạo ra. Bot có thể “nói” tiếng Anh với giọng Ấn Độ hoặc tiếng Tây Ban Nha Castilian. Nếu một cuộc gọi được chuyển tiếp vào hộp thư thoại, bot sẽ biết cách gác máy. Và để đảm bảo mọi thứ được cấu hình chính xác, những kẻ lừa đảo có thể kiểm tra cài đặt bot OTP bằng cách thực hiện cuộc gọi đến số kiểm tra của chính chúng trước khi bắt đầu cuộc tấn công”, đại diện Kaspersky cho biết.

Trước sự biến tướng của tội phạm lừa đảo trên, Công an thành phố Hà Nội khuyến cáo đề nghị người dân không cung cấp mã OTP cho người khác, đặc biệt là qua các cuộc gọi, tin nhắn, bất kể nội dung thông tin có vẻ thuyết phục đến đâu. Các ngân hàng và tổ chức uy tín không bao giờ yêu cầu người dùng đọc hoặc nhập mã OTP thông qua cuộc gọi để xác minh danh tính.