Công ty công nghệ Việt thuê người 'lừa thử' cả nghìn nhân viên: 50% sập bẫy, trong đó 65% click vào link giả mạo
"Tranh thủ dịp nghỉ lễ 30/4, chúng tôi thiết kế một email, website giống của một hãng hàng không, gửi anh em trong công ty của khách hàng với nội dung: Nếu đăng ký trước ngày này giảm 30% giá vé", đại diện FPT IS chia sẻ lại câu chuyện đào tạo "lừa đảo chủ động" tại một công ty công nghệ.
Ảnh minh họa.
"Mọi người hay nói vui rằng 'Ông bị lừa vì ông tham'. Thực tế, nhóm tội phạm đã khai thác trúng điểm yếu về tâm lý, mang tính bản năng của con người", TS Nguyễn Thanh Bình - Chuyên gia tư vấn An ninh mạng toàn cầu của FPT IS – chia sẻ tại Hội thảo Phòng, chống lừa đảo trên không gian mạng mới đây.
TS Bình gợi ý với các điểm yếu tâm lý, cách thức đưa ra là cần "vá lỗi" cho các điểm yếu này, bởi phần lớn mọi người biết bản thân bị lừa khi đã bị lừa.
Thuê người lừa thử cả nghìn nhân viên, phân nửa sập bẫy
Một trong những giải pháp FPT IS đang ứng dụng là đào tạo bằng "phishing chủ động" (lừa đảo chủ động).
Cụ thể, đơn vị này thiết lập một hệ thống hạ tầng cho phép gửi mail, thiết lập những trang web giả mạo, gửi email cho các khách hàng/nhân viên của công ty khách hàng. Sau đó gửi một email ngụy trang, xây dựng nội dung tỉ mỉ, cài cắm đường link và tổng hợp kết quả từ hành vi người dùng/nhân viên.
Các cấp độ nghiêm trọng dần gồm: Có mở email hay không? Nếu mở thì có click vào link cài cắm hay không? Nếu click vào link rồi thì có điền thông tin hay không?
Ông Bình chia sẻ một case study FPT IS thực hiện với một công ty công nghệ có 5 chi nhánh trên cả nước trong dịp nghỉ lễ 30/4 vừa qua.
"Chúng tôi thiết kế một email, website giống của một hãng hàng không, gửi anh em trong công ty của khách hàng với nội dung: Nếu đăng ký trước ngày này giảm 30% giá vé, giọng văn y hệt truyền thông của công ty đó", ông Bình kể.
Kết quả: 50% người dùng mở email lừa đảo, không phát hiện ra thông tin giả mạo trong đó. Trung bình 65% trong số đó click vào link sau khi mở email. Và nhân viên tại chi nhánh miền Nam ý thức phòng vệ dường như cao hơn miền Bắc.
Kết quả phishing chủ động tại 5 chi nhánh của một công ty công nghệ.
Kỹ nghệ thao túng tâm lý đằng sau 16.000 vụ lừa đảo
"Có những người bạn tôi làm ngân hàng, vẫn bị lừa. Không phải chỉ những người không làm ngân hàng mới bị lừa. Thủ đoạn của họ rất tinh vi", ông Phạm Tiến Dũng – Phó Thống đốc Ngân hàng Nhà nước Việt Nam (NHNN), Phó Chủ tịch Hiệp hội An ninh mạng quốc gia – chia sẻ.
Phó Thống đốc NHNN Phạm Tiến Dũng.
Theo Phó Thống đốc NHNN, "Thao túng tâm lý" là một trong những thủ đoạn lừa phổ biến, làm những biện pháp để tự người dùng chuyển tiền đến các tài khoản.
Biện pháp thứ hai là tội phạm chiếm dụng máy của người dùng và làm tiếp công việc gửi tiền đi. Thứ ba là lấy các thông tin đó cài trên thiết bị khác.
Thủ đoạn "Thao túng tâm lý", theo đại diện FPT IS, chủ yếu đánh vào các điểm yếu tâm lý như Lòng tham, Tò mò, Lo lắng, Sự sợ hãi, Bị thúc giục, đôi khi là Sự quan tâm, Lòng trắc ẩn…
Ông Thái Trí Hùng - Phó Tổng Giám đốc Cấp cao, Giám đốc Công nghệ tại MoMo – cho rằng một thực tế cần phải nhìn nhận là với những cái tiện lợi mà công nghệ mang lại, chúng ta có một tập khách hàng lớn bỗng một ngày "phải" dịch chuyển lên môi trường số mà chưa được trang bị các kiến thức, hiểu biết, nhận biết về rủi ro của môi trường này.
"Cũng phải nói thêm là trong ngành an ninh bảo mật, có khái niệm là "attack surface" nghĩa là vùng có thể tấn công được. Rõ ràng trên môi trường số thì vùng có thể tấn công rộng hơn rất nhiều. Nhiều người không thể ngờ được có thể bị tấn công vì làm lộ tài khoản mạng xã hội hoặc bị chụp CMND/CCCD trong lúc sử dụng một dịch vụ nào đó", ông Hùng nói.
Làm thế nào để tránh sập bẫy?
Với câu hỏi "Thế bây giờ khách hàng phải làm gì?", CTO MoMo cho rằng đó không phải là trách nhiệm của khách hàng, mà là trách nhiệm của đơn vị cung cấp dịch vụ.
Đơn cử như tình trạng lừa người dùng cài đặt phần mềm độc hại, ví điện tử này đã phân tích mã độc, trích xuất các đặc trưng nhận dạng, và thực hiện cảnh báo người dùng nếu phát hiện các dấu hiệu bị tấn công. Bên cạnh đó, khoanh vùng các tài khoản thường dùng để tẩu tán tiền ăn cắp, đồng thời thực hiện ngăn chặn các hành động tương tự. Kết quả là đã chặn được tình trạng lừa người dùng MoMo cài đặt phần mềm chứa mã độc.
Một trong những biện pháp từ phía Ngân hàng Nhà nước để ngăn chặn tình trạng lừa đảo trực tuyến là Quyết định 2345/QĐ-NHNN về triển khai giải pháp an toàn, bảo mật trong thanh toán trực tuyến và thanh toán thẻ ngân hàng, quy định chuyển khoản trên 10 triệu đồng trở lên phải được xác thực bằng khuôn mặt hoặc vân tay, có hiệu lực từ 1/7/2024.
"Ở đây có 2 động thái. Động thái 1 là kiểm tra khuôn mặt đó với dữ liệu lưu trên chip CCCD do Bộ Công an cấp. Thứ hai là kiểm tra khuôn mặt của người giao dịch khớp trùng khi giao dịch trên 10 triệu đồng", Phó Thống đốc Phạm Tiến Dũng nói thêm.
Phó Thống đốc NHNN cũng cho biết tới đây sẽ lập một kho dữ liệu black-list - những tài khoản, số CMND/CCCD đã từng "ăn gian nói dối". Khi thực hiện giao dịch, đến một bước nào đó dữ liệu sẽ được check qua kho này. Nếu CMND/CCCD đã từng rơi vào kho dữ liệu này thì sẽ được yêu cầu tăng cường xác thực thôi, ví như trước kia chỉ làm giao dịch điện tử thì giờ cần ra quầy.
Theo Thứ trưởng Bộ Công an Lương Tam Quang, trong năm qua, cổng cảnh báo an toàn thông tin ghi nhận gần 16.000 phản ánh lừa đảo trực tuyến, gây thiệt hại hơn 390 nghìn tỷ đồng, tương đương 3,6% GDP. Trong đó, 91% liên quan lĩnh vực tài chính, tăng 64,78% so với năm 2022, tỷ lệ người dùng nhận tin nhắn, cuộc gọi lừa đảo trực tuyến là 73%.
Hội thảo Phòng, chống lừa đảo trên không gian mạng là sự kiện đầu tiên do Hiệp hội an ninh mạng Quốc gia tổ chức, dưới sự chỉ đạo của Bộ công an. Sự kiện được 2 thành viên của Hiệp hội là Công ty cổ phần công nghệ an ninh mạng quốc gia Việt Nam NCS Group và Công ty cổ phần VCCorp cùng phối hợp tổ chức thực hiện.
