Bất cứ ai cũng có thể rơi vào bẫy của một cuộc gọi mạo danh để rồi sau đó bị đánh cắp thông tin cá nhân quý giá.
- Cam sành rớt giá còn 1.000 đồng/kg, người trẻ ở TP.HCM trắng đêm "giải cứu" giúp bà con miền Tây
- Hóa đá khi vợ người tình dúi chìa khóa nhà vào tay, ép cưới sau 'tình một đêm', nếu không đồng ý thì sẽ làm điều 'vô nhân tính' này
Chỉ cần có một chiếc điện thoại đầy đủ chức năng nghe – gọi, và không bị chặn cuộc gọi đến, bạn hoàn toàn có thể trở thành nạn nhân của những cuộc gọi mạo danh, hay nói cách khác là những cuộc "tấn công" qua điện thoại bằng hình thức giả danh người khác.
Những kẻ tấn công có thể viện ra vô số lý do để gọi cho bạn, ví dụ như gọi từ bộ phận kỹ thuật của công ty – nơi bạn đang làm việc, để từ đó thao túng và lấy thông tin cá nhân của bạn. Sau khi thành công, chúng có thể bán hoặc sử dụng các dữ liệu đánh cắp được vào mục đích phi pháp, vì vậy, bạn nên tích cực bảo vệ thông tin cá nhân của mình.
Nhân vật và tình huống ngụy tạo
Theo Oluwademilade Afolabi (đến từ Nigeria), một cây viết kỳ cựu trong lĩnh vực an ninh mạng, những kẻ tấn công sẽ tạo ra một cái cớ, giả vờ là người có kinh nghiệm, chẳng hạn như nhân viên công nghệ thông tin (IT), Giám đốc nhân sự, nhân viên ngân hàng và thậm chí là cảnh sát, đặc vụ của chính phủ…
Hình thức tấn công có thể được thực hiện qua email, cuộc gọi điện thoại hoặc tin nhắn văn bản.
Kịch bản tấn công sẽ gồm 2 nhân tố chính: "Nhân vật" do kẻ lừa đảo thủ vai và "tình huống nghe có vẻ hợp lý" nhằm đánh lừa nạn nhân tin rằng "nhân vật" đó đích thực có quyền đối với "thông tin mục tiêu" (thông tin mà kẻ tấn công muốn nạn nhân cung cấp).
Các tình huống ngụy tạo trong trường hợp này thường có đặc điểm chung là lợi dụng tâm lý lo sợ hoặc đòi hòi sự gấp rút và cảm thông cao từ phía nạn nhân.
Ví dụ, bạn đang cố gắng xử lý một giao dịch nhưng giao dịch đó không thành công. Bạn không nhận được chiếc bánh pizza đã đặt và cửa hàng trực tuyến đã đóng cửa. Thật xui xẻo! Nhưng mọi chuyện không dừng ở đó. Vài phút sau, do một số lỗi nào đó, bạn phát hiện ra rằng tài khoản tín dụng của mình đã bị ghi nợ.
Trong lúc đang lo lắng, bạn nhận được cuộc gọi của kẻ tấn công, nhập vai giả làm nhân viên chăm sóc khách hàng từ ngân hàng của bạn. Do tâm lý sốt ruột lúc đó, bạn dễ rơi vào tình huống giả này và cung cấp cho kẻ tấn công thông tin thẻ tín dụng của mình.
Dấu hiệu nhận biết
Các cuộc tấn công bằng hình thức giả danh người khác thường được thực hiện qua 3 phương thức phổ biến. Dưới đây là những dấu hiệu nhận biết chúng:
1. Người gọi nắm được thông tin mà bạn công khai trên mạng xã hội
Những kẻ tấn công sử dụng cuộc gọi mạo danh người khác để thuyết phục nạn nhân cung cấp thông tin chúng cần, hoặc sử dụng tin nhắn SMS để thực hiện mục đích.
Các cuộc gọi mạo danh có cơ hội thành công cao hơn, do nạn nhân có xu hướng bỏ qua tin nhắn văn bản nhiều hơn là cuộc gọi.
Kẻ tấn công có thể sử dụng mạng xã hội để khai thác một số thông tin cơ bản về bạn, từ đó chứng minh độ tin cậy của nhân vật mà chúng đang nhập vai.
Tất nhiên, việc lấy thông tin cá nhân đòi hỏi những kẻ tấn công phải nghiên cứu cẩn thận vì chúng biết rằng, dữ liệu thu được càng cụ thể thì bạn càng có khả năng sẽ cung cấp nhiều thông tin có giá trị hơn.
Đáng nói, những kẻ lừa đảo còn có các nguồn thông tin khác ngoài mạng xã hội. Chúng có thể giả mạo số điện thoại hoặc tên miền email của một tổ chức nào đó để tăng thêm độ tin cậy cho kịch bản chuẩn bị sẵn.
2. Dẫn dụ bạn bằng "phần thưởng lớn"
Ở hình thức này, những kẻ tấn công sử dụng mồi nhử là "phần thưởng lớn" để thu thập thông tin. Kịch bản cũng có thể bao gồm việc đóng giả một nhân vật đáng tin cậy.
Ví dụ, kẻ lừa đảo có thể giả làm luật sư rồi thông báo rằng bạn có tài sản thừa kế từ một người họ hàng xa, và để xử lý thủ tục nhận thừa kế, bạn cần cung cấp chi tiết một số thông tin quan trọng.
Không chỉ những cá nhân đơn lẻ mà nhân viên cao cấp của một tổ chức mục tiêu cũng có thể trở thành nạn nhân của chiêu trò lừa đảo này.
Một thủ đoạn phổ biến khác được những kẻ tấn công sử dụng là bỏ vào phong bì một ổ đĩa flash có in logo của công ty, kèm theo thông báo phải xử lý gấp. Ổ đĩa flash này sẽ chứa đầy phần mềm độc hại mà kẻ tấn công sử dụng để truy cập vào máy chủ của công ty mục tiêu.
3. Có kẻ đang thao túng tâm lý sợ hãi của bạn
Kẻ tấn công sử dụng nỗi lo sợ như một chiến thuật. Ví dụ khi bạn truy cập một trang web trông có vẻ không an toàn thì thấy xuất hiện cửa sổ pop-up thông báo rằng đã có virus trên thiết bị của bạn và đề nghị bạn tải xuống chương trình chống virus được giới thiệu kèm (thực chất là phần mềm độc hại).
Các hình thức hù dọa tương tự cũng có thể được gửi qua email hoặc đường link trong tin nhắn văn bản, dưới dạng cảnh báo của một tổ chức uy tín.
Làm cách nào để bảo đảm an toàn?
Hiện chưa có phương pháp ngăn chặn triệt để các cuộc tấn công bằng hình thức mạo danh. Tuy nhiên, bạn có thể hạn chế rủi ro một cách đáng kể thông qua các bước sau:
1. Quan sát kỹ và phân tích email: Tên miền của email có thể cung cấp manh mối về việc nó là email thật hay giả mạo.
Tất nhiên, những kẻ tấn công vẫn có thể ngụy tạo tên miền email để trông gần giống với bản gốc, khiến việc phát hiện ra chúng trở nên khó khăn hơn. Song, nhờ có sự tiến bộ của công nghệ trí tuệ nhân tạo (AI) tinh vi, hiện đã có một số công cụ phân tích email được giới thiệu dành cho cá nhân và các doanh nghiệp.
AI có thể phát hiện các hình thái lừa đảo và tìm kiếm dấu hiệu nhận biết chúng. Nó có thể xác định sự bất thường trong lưu lượng truy cập và tên hiển thị email giả, cũng như các cụm từ, văn bản phổ biến thường được dùng trong những cuộc tấn công giả mạo.
2. Thận trọng khi cung cấp mật khẩu, mã pin: Bạn cần cẩn trọng khi ai đó hỏi về mật khẩu ngân hàng, mã pin thẻ tín dụng hoặc số series trên thẻ của bạn.
Ngoài ra, hãy nhắc nhở bản thân, người thân trong gia đình và bạn bè không nhấp vào các đường link không xác định, tránh truy cập vào những trang web lạ hoặc đáng ngờ để ngăn phần mềm độc hại xâm nhập vào máy chủ của bạn.
3. Chú ý tới các kênh chăm sóc dịch vụ khách hàng: Chỉ sử dụng các kênh chăm sóc dịch vụ khách hàng đã được xác minh trên website chính thức của ngân hàng. Khi bất cứ đại lý chăm sóc khách hàng nào liên hệ với bạn, hãy đảm bảo rằng những số gọi đến tương ứng với số điện thoại của đường dây chính thức.