Vì sao kẻ lừa đảo biết được thông tin giấy tờ của nạn nhân?

Theo Ủy ban Thương mại Liên bang Mỹ (Federal Trade Commission), hiện nay, số CCCD và số thẻ ngân hàng là hai thông tin quan trọng mà kẻ lừa đảo nhắm đến vì chúng có thể được sử dụng để giả mạo nạn nhân và tạo gian lận.

Có nhiều cách lừa đảo dụ dỗ nạn nhân để lấy số CCCD và số thẻ ngân hàng thông qua email hoặc tin nhắn. Lừa đảo có thể gửi tin nhắn giả mạo, yêu cầu nạn nhân cung cấp số CCCD và số thẻ ngân hàng để "xác minh tài khoản" hoặc nhận ưu đãi.

Ngoài ra, chúng còn gọi điện giả mạo là nhân viên ngân hàng, yêu cầu số CCCD và số thẻ để "giải quyết vấn đề tài khoản”.

Thậm chí, trong nhiều trường hợp, kẻ lừa đảo không chỉ có thể gọi đúng tên, mà còn có thể đọc chính xác số CCCD, số đuôi thẻ ngân hàng, thậm chí nắm được lịch sử tiêu dùng và hoạt động xã hội của nạn nhân.

Vì sao kẻ lừa đảo có thể nắm rõ thông tin của nạn nhân?

Thông tin bị bán trên "chợ đen"

Dữ liệu từ "Chiến dịch làm sạch mạng" 2025 của Bộ Công an Trung Quốc cho thấy, thông tin người dùng đã được bán trên chợ đen, liên quan đến 5,5 triệu thông tin thật. Những dữ liệu này sau khi được đưa lên chợ đen, được các nhóm lừa đảo mua theo gói bao gồm đầy đủ họ tên, CMND, số thẻ ngân hàng.

Theo Công ty an ninh mạng Kaspersky, có khoảng 2,3 triệu thẻ ngân hàng đã bị rò rỉ trên web đen trong giai đoạn 2023-2024.

Phần mềm độc hại

Theo PhoneArena, 25 triệu thiết bị đã trở thành mục tiêu của một loại tấn công phần mềm độc hại trong năm 2023 và 2024. Phần mềm độc hại đánh cắp thông tin (Infostealer) thực hiện đúng như tên gọi của nó – thu thập những thông tin quan trọng như số thẻ ngân hàng, thông tin đăng nhập, mật khẩu và dữ liệu nhạy cảm khác.

Theo Công ty an ninh mạng Kaspersky, cứ 14 lần thiết bị người dùng bị nhiễm phần mềm độc hại đánh cắp thông tin thì có một lần kẻ tấn công thu được dữ liệu thẻ ngân hàng.

Chỉ tính riêng năm 2024, đã có 9 triệu thiết bị bị nhiễm phần mềm độc hại đánh cắp thông tin, nâng tổng số thiết bị bị "xâm phạm" bởi loại mã độc này lên đến 26 triệu, theo Kaspersky.

Đáng chú ý, nạn nhân có thể bị tấn công mà không nhận ra rằng họ đang vô tình cài đặt phần mềm độc hại trên điện thoại, máy tính bảng hoặc máy tính. Phần mềm đánh cắp thông tin thường được ngụy trang dưới dạng phần mềm hợp pháp như trò chơi, ứng dụng quản lý sức khỏe.

Phần mềm độc hại sau đó lan truyền sang các thiết bị khác thông qua các liên kết lừa đảo, tệp đính kèm email độc hại, trang web bị nhiễm mã độc và nhiều phương thức khác.

Năm ngoái, Redline là phần mềm đánh cắp thông tin phổ biến nhất, chiếm 34% số lần lây nhiễm. Risepro là phần mềm độc hại phát triển nhanh nhất, khi tỷ lệ lây nhiễm của nó tăng từ 14% vào năm 2023 lên 23% trong năm ngoái. Một phần mềm đánh cắp thông tin khác đang tăng trưởng nhanh là Stealc, ra mắt vào năm 2023 với tỷ lệ lây nhiễm 3%, nhưng đã tăng lên 13% vào năm 2024.

Lạm dụng công nghệ

Các công nghệ mới như nhận diện khuôn mặt, thiết bị thông minh đeo tay trở thành con dao hai lưỡi. Tại Trung Quốc, hệ thống nhận diện khuôn mặt của một khu căn hộ năm 2025 bị hacker tấn công, 32.000 thông tin sinh trắc học của cư dân bị rao bán trên chợ đen; trong vụ rò rỉ dữ liệu sức khỏe từ đồng hồ thông minh, kẻ lừa đảo thậm chí còn suy đoán điểm yếu tâm lý của người dùng qua biến động nhịp tim.

Mạng xã hội và cái bẫy "người quen"

Kẻ lừa đảo thu thập thông tin công khai trên mạng xã hội bằng công nghệ crawler, kết hợp AI để tạo ra kịch bản lừa đảo cá nhân hóa. Ví dụ, trong một vụ án, kẻ lừa đảo lấy ảnh thú cưng từ mạng xã hội của nạn nhân, giả mạo "bệnh viện thú y" để lừa đảo theo hướng cụ thể.

Kẻ lừa đảo có thể làm gì với thông tin từ nạn nhân?

Sử dụng thông tin cá nhân để vay tiền trực tuyến

Kẻ lừa đảo có thể sử dụng thông tin CCCD và thẻ ngân hàng của nạn nhân để đăng ký vay trực tuyến, điều này có thể khiến chủ tài khoản mắc nợ không đáng có và gây ra tranh chấp pháp lý.

Làm giả CCCD để thực hiện hành vi vi phạm pháp luật

Kẻ lừa đảo có thể sử dụng thông tin nhận dạng của nạn nhân để làm giả thẻ căn cước rồi xử lý các giao dịch cho thuê xe, vay ngân hàng , thế chấp bất động sản và các giao dịch kinh doanh khác. Điều này không chỉ làm xấu hồ sơ tín dụng của nạn nhân mà còn có thể khiến nạn nhân vướng vào nhiều tranh chấp pháp lý.

Hoạt động gian lận

Kẻ lừa đảo có thể sử dụng thông tin nhận dạng của nạn nhân để thực hiện nhiều hoạt động gian lận khác nhau, chẳng hạn như mạo danh nạn nhân để vay tiền người thân và bạn bè, điều này sẽ gây tổn hại nghiêm trọng đến các mối quan hệ xã hội và danh tiếng của nạn nhân.

Rửa tiền và các hoạt động lừa đảo khác

Những kẻ lừa đảo cũng có thể sử dụng thông tin nhận dạng và thẻ ngân hàng của nạn nhân để thực hiện các hoạt động tội phạm như rửa tiền, khiến nạn nhân trở thành mục tiêu điều tra của cảnh sát và thậm chí có thể phải đối mặt với trách nhiệm pháp lý.

Do đó, để bảo vệ thông tin cá nhân và tài sản, người dân cần tuyệt đối không chia sẻ số CCCD và thẻ ngân hàng cho bất kỳ ai, kể cả người tự xưng là nhân viên ngân hàng hay cơ quan chức năng.

Nếu phát hiện bị rò rỉ thông tin hoặc có dấu hiệu bị lợi dụng, nạn nhân cần nhanh chóng liên hệ công an hoặc cơ quan có thẩm quyền để được hỗ trợ; theo dõi các tài khoản ngân hàng và thông báo từ ngân hàng; hủy và cấp lại thẻ ngân hàng, thay đổi mật khẩu ứng dụng và trang web ngân hàng.

Cùng với đó, người dùng cần kích hoạt xác thực hai yếu tố và đặt hạn mức chi tiêu nếu ngân hàng. Cảnh giác với các cuộc tấn công lừa đảo, tin nhắn giả mạo và các cuộc gọi điện thoại đáng ngờ. Nếu không chắc chắn về tính xác thực của một thông báo, email hoặc tin nhắn, hãy gọi trực tiếp cho ngân hàng. Kaspersky cũng khuyên người dùng nên chạy các chương trình quét bảo mật trên thiết bị của mình và loại bỏ bất kỳ phần mềm độc hại nào được phát hiện.