Cảnh báo này được ông Nguyễn Phương Quân, Phó Giám đốc phụ trách Trung tâm An toàn bảo mật Công nghệ, Ngân hàng TMCP Sài Gòn – Hà Nội (SHB) đưa ra trong bài tham luận về Bảo mật giao dịch trực tuyến nằm trong Phát triển Phương thức thanh toán phi tiếp xúc dựa trên nền tảng công nghệ hiện đại, khuôn khổ Hội thảo Quốc gia eBanking 2018, do Hội truyền thông số Việt Nam và Tập đoàn Dữ liệu quốc tế (IDG) phối hợp tổ chức chiều 5/7 vừa qua.
Theo thông tin ông Nguyễn Phương Quân chia sẻ, bước đầu, các hacker tiếp cận trò chuyện thân mật với nạn nhân qua mạng xã hội, trên danh nghĩa là người thân, sau đó đưa ra lời đề nghị hấp dẫn nhờ nhận hộ tiền vào tài khoản. Tại bước này, người dùng chỉ bị lộ số tài khoản, chi nhánh giao dịch và số điện thoại nên không đề phòng mà sẵn sàng cung cấp.
"Tiếp theo, một tin nhắn mạo danh được gửi đến số diện thoại, yêu cầu click vào đường link để xác nhận giao dịch. Đường link này thực chất là một giao diện giống với trang chủ của ngân hàng hay cổng thanh toán, yêu cầu khai tài khoản, mật khẩu intrernet banking của người dùng. Động tác này đánh lừa rằng người dùng đã đăng nhập vào hệ thống nhưng thực chất là tất cả thông tin đó sẽ được gửi về cho hacker", vị đại diện SHB cho biết.
Thông số cuối cùng để hoàn thiện đăng nhập thực hiện giao dịch là mã OTP (one time password – loại mật khẩu xác thực dùng một lần trong các hệ thống thanh toán online nhằm đảm bảo sự bảo mật) được gửi qua điện thoại. Để lấy được mã này, hacker tiếp tục gửi tin nhắn giả mạo nữa yêu cầu chủ tài khoản click và đường link để xác nhận và làm theo hướng dẫn. Giao diện giả mạo giống hệt giao diện internet banking hiện yêu cầu chủ thẻ nhập liệu một lần nữa thông tin cá nhân, bao gồm cả mã OTP. Với những thông tin đó, hacker đã có thể truy cập vào tài khoản ngân hàng và thực hiện giao dịch gian lận.
Ông Quân nhận định: “Tất cả những việc này xảy ra đầu tiên là xuất phát từ cuộc nói chuyện với một người quen, cho nên chúng ta hoàn toàn tin tưởng. Đây là một trong những lỗi của người dùng khi mà thông thường người ta quá cả tin. Kịch bản này rất phổ biến ở Việt Nam và gây ra rất nhiều những cái thất thoát về tài chính của khách hàng trong thời gian vừa qua”.
Trước vấn đề này, SHB khuyến nghị không cung cấp cho bất kì ai tên các thông tin bảo mật như mật khẩu, thiết bị bảo mật, không nhấn vào các đường dẫn, website, email lạ, hay có nghi ngờ là giả mạo hoặc không rõ nguồn gốc, không chuyển tiền, nạp tiền vào số điện thoại hay tài khoản để làm các thủ tục nhận thưởng hoặc nhận tiền.
Bên cạnh đó, cần đăng xuất ngay khi giao dịch xong, đổi mật khẩu mặc định ngay sau lần đăng nhập đầu tiên hoặc khi có nghi ngờ bị lấy cắp mật khẩu và nên định kỳ thay đổi mật khẩu, sử dụng các dịch vụ thông báo qua SMS.