Mất SIM, mất tài khoản ngân hàng chỉ bằng “một nút bấm” - chuyện như phim này có thật hay không?

Thực hư những vụ việc này đến đâu, liệu các hacker hiện tại có khả năng lấy trộm tiền của người dùng tinh vi đến vậy hay chưa?

Trên thực tế, cơ quan điều tra đã ghi nhận nhiều vụ việc nạn nhân bị mất tiền trong tài khoản ngân hàng sau khi bị kẻ gian lừa chiếm đoạt SIM số điện thoại. Đáng kể nhất là vụ việc vào đầu tháng 11, cơ quan Công An TP.HCM đã tiếp nhận đơn tố cáo tội phạm của bà N.H.T.T (quê Đồng Nai) về việc các đối tượng chưa rõ lai lịch làm giả CMND, thực hiện đổi SIM điện thoại của bà để nhận mã OTP và chiếm đoạt số tiền hơn 5,3 tỷ đồng trong tài khoản ngân hàng.

Trước đó chỉ một vài ngày, một vụ việc tương tự được ghi nhận ở Hà Nội khi nạn nhân cho biết bị kẻ gian lừa chiếm đoạt SIM điện thoại để từ đó nắm được các thông tin đăng nhập tài khoản ngân hàng trực tuyến và cuối cùng tất toán sổ tiết kiệm online trị giá hơn 2 tỷ đồng. Vụ việc xảy ra vào tháng Một năm 2022 và hiện đã được chuyển sang cơ quan công an điều tra làm rõ.

Thủ đoạn này tương tự một vụ việc khác xảy ra ở quận 1, TP. HCM vào tháng 3 năm 2022. Nạn nhân là chị N.T.L cũng nhận được cuộc điện thoại của người tự xưng là nhân viên nhà mạng để hỗ trợ nâng cấp SIM 3G lên 4G. Do đối tượng này cung cấp đầy đủ thông tin cá nhân của chị L nên chị tin tưởng và thực hiện các bước kích hoạt 4G theo chỉ dẫn của kẻ gian. Một ngày sau đó, chị L kiểm tra và phát hiện tài khoản cá nhân trị giá hơn 5 tỷ đồng tại 2 ngân hàng khác nhau đã bị biến mất từ lúc nào.

Vào tháng 6 năm 2022, cơ quan Công An quận Hà Đông, Hà Nội đã khởi tố nhóm 5 đối tượng về hành vi chiếm đoạt tiền trong tài khoản bằng hình thức chiếm đoạt SIM điện thoại của chủ tài khoản. Theo báo cáo từ cơ quan Công an, chỉ từ ngày 22-5 đến 31-5-2022, nhóm đối tượng này đã chiếm đoạt được khoảng 10 tỷ đồng từ các nạn nhân.

Trong khi những vụ việc nêu trên đang trở nên nổi cộm, người dùng lại càng hoang mang hơn trước các câu chuyện về một thủ đoạn ăn trộm tiền khác được lan truyền trên mạng xã hội. Theo những bài đăng này, một số "người bạn, đồng nghiệp, hay người quen" nào đó nhận cuộc gọi lạ và được chỉ dẫn nhấn một nút nào đó trên màn hình để xác minh thông tin.

Đáng nói là, chỉ sau một thao tác như vậy, điện thoại của nạn nhân liền bị chiếm quyền điều khiển và bị khóa. Thông tin tài khoản ngân hàng cũng bị lấy trộm và sau đó kẻ gian có thể thực hiện thao tác chuyển hết tiền trong tài khoản nạn nhân ra ngoài do nắm được mã OTP gửi đến điện thoại.

Các câu chuyện như vậy lan truyền trên mạng xã hội từ năm 2021 với nội dung cuộc gọi xoay quanh việc xác nhận tiêm phòng Covid-19 để lừa người dùng ấn vào các nút xác nhận trên màn hình. Nhưng đến năm 2022, phiên bản thường gặp của câu chuyện này lại xoay quanh việc SIM điện thoại của người dùng sắp bị khóa do vậy phải ấn nút xác nhận để được gia hạn. Nhưng kết thúc của các câu chuyện này đều giống nhau ở việc sau đó điện thoại bị khóa và mất hết tiền trong tài khoản.

Thế nhưng theo khẳng định từ Trung tâm xử lý tin giả Việt Nam (VAFC) vào cuối tháng 8 năm 2021, thông qua việc kiểm tra, xác minh từ cơ quan chức năng, các nội dung trên đều là giả mạo và khuyến cáo người dùng mạng xã hội không nên chia sẻ các thông tin này.

Theo ông Nguyễn Hồng Phúc, chuyên gia công nghệ có tiếng ở Việt Nam, kẻ gian có thể lợi dụng các cuộc gọi này để chiếm đoạt số điện thoại của nạn nhân thông qua lỗ hổng trong chương trình chuyển đổi eSIM trực tuyến của nhà mạng. Ngoài ra kẻ gian cũng có thể lừa người dùng đăng ký dịch vụ chuyển tiếp cuộc gọi, SMS để chuyển tiếp các tin nhắn chứa mã OTP về số điện thoại của kẻ gian.

Cũng theo ông Phúc, sau khi chiếm được SIM hoặc quyền nhận SMS, kẻ gian có thể dễ dàng reset lại mật khẩu các ứng dụng trực tuyến vì mã OTP được gửi qua SMS. Thậm chí "kẻ lừa đảo sẽ reset luôn quyền cài đặt mới OTP Software trên điện thoại nếu ngân hàng cho phép reset OTP Software" - ông Phúc cho biết. Nhờ vậy kẻ gian có thể truy cập được vào các ứng dụng ví điện tử cũng như Internet Banking và chiếm đoạt tiền của nạn nhân.

Đối với các câu chuyện về những người nhận cuộc gọi lạ, sau đó nhấn phím trên điện thoại là mất tiền trong tài khoản ngân hàng, ông Phúc cho rằng, điều đó đơn giản là "Không như phim" được. Dường như câu chuyện này được thêu dệt nên từ một lỗ hổng xuất hiện nhiều năm trước có thể khiến iPhone bị hack chỉ bằng một tin nhắn iMessage đặc biệt. Tuy nhiên, vào thời điểm lỗ hổng này được công bố, Apple đã vá lại lỗ hổng này.

Còn việc kẻ gian có thể chiếm quyền điện thoại thông qua một phím bấm trên điện thoại là điều chưa từng được ghi nhận trong bất kỳ hội nghị nào về bảo mật - chỉ đơn giản vì điều đó là không thể làm được.

Còn với trường hợp nhằm mục đích đánh lừa nạn nhân đăng ký chuyển hướng cuộc gọi tới số điện thoại của kẻ gian, ví dụ đối với nhà mạng Viettel, cú pháp sẽ là: **21*SDT#OK - phức tạp hơn nhiều so với việc "chỉ bấm một phím" nào đó, cũng như không thể ngay lập tức chiếm quyền điều khiển và tài khoản ngân hàng của bạn.

Cũng giống như nhận định của Trung tâm xử lý tin giả Việt Nam (VAFC), nhiều khả năng các câu chuyện này được thêu dệt lên nhằm "câu like", gia tăng tương tác cho các tài khoản bán hàng online trên mạng xã hội.

Mặc dù "chuyện như phim" kể trên không tồn tại, nhưng các vụ việc trên cho thấy những cuộc gọi lừa đảo, chiếm đoạt tiền trong tài khoản ngân hàng của nạn nhân là có thật. Nhưng thay vì dùng các thủ thuật công nghệ, kẻ gian thường lợi dụng sự cả tin cũng như các thông tin cá nhân đã được khai thác từ trước để chiếm đoạt SIM cũng như truy cập vào tài khoản ngân hàng.

Vì vậy dù người dùng không cần hoang mang về những phi vụ hack như phim nói trên, vẫn cần cẩn trọng trước các gọi lạ, đặc biệt là những cuộc gọi yêu cầu cung cấp thông tin cá nhân của mình. Ngoài ra việc đưa thông tin cá nhân của mình lên môi trường internet lại càng cần thận trọng hơn khi đây mới là nơi kẻ gian thường xuyên khai thác thông tin để tìm kiếm các nạn nhân mới cho mình.

Theo Nguyễn Hải - Thành Đạt