Báo động kẽ hở rò rỉ thông tin cá nhân

Để dẫn dụ nạn nhân sập bẫy, những kẻ lừa đảo trực tuyến phải xây dựng kịch bản và có công cụ hỗ trợ là thông tin cá nhân lấy được từ các nguồn rò rỉ tràn lan hiện nay.

Kẽ hở từ khâu vận chuyển

Cuối tuần, chị Mai Luyện (ngụ tại TP.Đà Nẵng) nhận cuộc gọi từ số 0899098488. Đầu dây bên kia tự xưng là nhân viên của một hãng bưu điện, liên hệ để hỏi địa chỉ giao thư thông báo từ phòng cảnh sát hình sự. Thấy có dấu hiệu khả nghi, chị Mai Luyện đã nhanh chóng cúp máy và chặn số điện thoại này.

Gần như cùng lúc, đối tượng mạo danh lại gọi đến một người khác là anh Bỉnh Vũ, cùng ngụ tại Đà Nẵng và tiếp tục chiêu trò cũ, gọi hỏi địa chỉ, bảo có thư gửi đến. Tra cứu trên website chuyên báo cáo lừa đảo, anh Bỉnh Vũ phát hiện số điện thoại này đã được sử dụng để gọi đến rất nhiều người với cùng cách thức mạo danh nhân viên chuyển phát bưu kiện.

Từng bị kẻ lừa đảo mạo danh nhân viên chuyển phát gọi đến để lừa đảo, ông Võ Đỗ Thắng, Giám đốc Trung tâm đào tạo an ninh mạng Athena, nhận định: Trong thời đại mua sắm trực tuyến phát triển, việc nhận bưu kiện đã trở thành hoạt động thường ngày của nhiều người. Kẻ gian đã lợi dụng điều này để biến một hành động vô hại thành cái bẫy nguy hiểm. Công cụ để các đối tượng lừa đảo tận dụng triệt để chính là thông tin cá nhân người dùng khi đặt hàng, mua hàng qua mạng. Dữ liệu này nhanh chóng rơi vào tay băng nhóm lừa đảo nên bọn họ mới có thể dựng kịch bản, mạo danh nhân viên chuyển phát để dẫn dụ nạn nhân. Người nào bất cẩn sẽ sập bẫy, nhẹ thì bị mất tiền mua hàng, nghiêm trọng hơn thì bị đưa vào kịch bản chuyển nhầm tài khoản đăng ký hội viên để buộc nộp thêm tiền, hoặc chuyển sang kịch bản giao dịch hàng cấm, đóng giả cơ quan công an để đe dọa, khống chế…

"Tại sao thông tin đặt hàng, mua hàng của cá nhân lại bị tuồn ra bên ngoài? Ai là người bán? Ai hưởng lợi? Ai chịu trách nhiệm? Tôi đề nghị cần làm rõ để chặt đứt nguồn cung cấp dữ liệu này, đảm bảo quyền lợi của người dân", ông Võ Đỗ Thắng kiến nghị.

Không chỉ ở VN, tại nhiều nước khác như Mỹ, Trung Quốc cũng đã xuất hiện tình trạng dùng bưu kiện giả để lừa đảo. Mới đây, một phụ nữ ở Trịnh Châu, tỉnh Hà Nam (Trung Quốc) đã bị mất trắng hơn 700.000 nhân dân tệ (tương đương khoảng 2,5 tỉ đồng) từ một bưu kiện lạ mà cô không hề đặt mua. Bên trong gói hàng là một tấm thẻ cào với thông báo cô đã trúng thưởng. Tò mò làm theo hướng dẫn trên thẻ, nạn nhân bị một kẻ mạo danh nhân viên trao giải dẫn dụ tham gia hoạt động đầu tư hứa hẹn lợi nhuận cao để rồi cuối cùng bị lừa đảo số tiền nói trên.

Đầu số ảo và công nghệ AI

Trao đổi với Thanh Niên, một cán bộ điều tra cho biết khi thẩm vấn các đối tượng lừa đảo trực tuyến, bọn chúng khai nhận đã sử dụng đầu số ảo và gọi bằng internet để liên hệ, dẫn dụ nạn nhân. Bằng cách thiết lập các cuộc gọi tự động, nhóm lừa đảo có thể gọi liên tục cho đến khi người nhận bắt máy hoặc chặn số. Cũng vì cơ chế tự động nên nạn nhân có thể bị làm phiền bất kể thời gian, thậm chí vào lúc nửa đêm.

Theo một chuyên gia an ninh mạng, hiện nay các SIM số đã được nhà mạng quản lý chặt nên việc sử dụng sim rác để hoạt động telesale khá hạn chế. Tuy nhiên, với đầu số ảo, công nghệ gọi tự động đã hỗ trợ tình trạng phát tán cuộc gọi rác và lừa đảo rầm rộ hơn. Với các đầu số đang thực hiện cuộc gọi rác xuất hiện khá nhiều hiện nay như 024, 028, 056, 059…, người dùng điện thoại chỉ có thể nhận cuộc gọi đến, không gọi lại được, và cũng sẽ không thể nào chặn hết bằng phương pháp thủ công vì quá nhiều số và các cuộc gọi được thực hiện theo cách thức tự động. Chỉ khi nào người dùng bắt máy thì hệ thống mới chuyển đến người thật để nói chuyện.

Chuyên gia an ninh mạng Ngô Minh Hiếu (Hiếu PC) phân tích những cuộc gọi rác đa phần là nhằm mời gọi cho vay, nâng hạn mức thẻ tín dụng. Còn với các băng nhóm tội phạm lừa đảo bắt cóc online thì bước đầu tiên là có kịch bản thao túng tâm lý nạn nhân và để làm được điều đó thì cần có dữ liệu. Tội phạm có thể thu thập dữ liệu này từ rất nhiều nguồn khác nhau như mua bán trên chợ đen, tấn công đánh cắp data, lấy từ chính các nạn nhân khi họ chia sẻ hình ảnh, thông tin lên các nền tảng mạng xã hội... Khi có được đầy đủ dữ liệu và kịch bản thì quá trình lừa đảo sẽ trở nên trót lọt.

"Tội phạm mạng đang ứng dụng trí tuệ nhân tạo (AI) rất nhiều và tăng chóng mặt. Chúng sử dụng AI để giả mạo khuôn mặt, cơ quan chức năng..., thậm chí chỉ cần một tấm hình của nạn nhân, chúng sẽ nhanh chóng và dễ dàng biến thành một video; xây dựng các kịch bản thao túng tâm lý… Công cụ AI tạo ra những hình ảnh rất sắc nét và rất khó phân biệt thật giả. Nhiều người sẽ hoảng sợ, lo lắng trước thủ đoạn này, đặc biệt là hình ảnh nhạy cảm, kể cả phụ huynh lẫn thanh thiếu niên. Đôi khi vì hình ảnh quá thật nên nhiều phụ huynh không phân biệt được thật giả. Thống kê cho thấy rất nhiều đối tượng tội phạm dùng AI để thực hiện hành vi phạm tội và đây là xu hướng công nghệ mới cần phải được thông báo rộng rãi để người dân cảnh giác", ông Hiếu cảnh báo.

Công nghệ AI cũng được các tin tặc cao tay sử dụng để đánh cắp thông tin thẻ tín dụng. Mới đây, hãng bảo mật Kaspersky phát hiện Model Context Protocol (MCP), một mã nguồn mở cung cấp cho các hệ thống AI cách thức kết nối với dịch vụ bên ngoài như tài chính, đám mây…, đã bị hacker biến thành kênh tấn công chuỗi cung ứng, gây ra những hậu quả nghiêm trọng như rò rỉ mật khẩu, dữ liệu thẻ tín dụng, thông tin tài khoản ngân hàng, ví điện tử và nhiều loại dữ liệu khác. Do đó, chuyên gia khuyến cáo người dùng cần kiểm tra MCP trước khi cài đặt. Mỗi máy chủ mới phải được quét, rà soát và kiểm tra kỹ lưỡng để tránh bị đánh cắp thông tin.