Vì sao kẻ lừa đảo đọc vanh vách số dư, biết chính xác mã OTP của bạn dù điện thoại vẫn nằm trên tay?

Tin nhắn giả mạo chứa đường link độc hại trên màn hình điện thoạiHãy tưởng tượng một ngày đẹp trời, bạn nhận được thông báo Apple ID hay tài khoản mạng xã hội bị đăng nhập từ một nơi xa lạ. Ngay sau đó là cuộc gọi từ “nhân viên ngân hàng” thông báo tài khoản bị trừ tiền nhầm. Họ đọc chính xác số thẻ, họ tên, địa chỉ nhà bạn. Trong lúc hoang mang tột độ, bạn làm theo hướng dẫn và chỉ tích tắc sau, toàn bộ tiền tiết kiệm “không cánh mà bay”. Đây không phải kịch bản phim, mà là thực tế tàn khốc đang diễn ra hàng ngày. Câu hỏi nhức nhối là: Tại sao chúng biết tất cả về bạn?

Triệu Vũ, một chuyên gia lão luyện trong giới an ninh mạng, người từng sáng lập Bạch Mạo Hội (nhóm hacker mũ trắng chuyên săn lùng tội phạm mạng tại Trung Quốc), đã vén màn những bí mật đen tối này. Theo ông, dữ liệu của bạn không tự nhiên sinh ra trên máy hacker, nó bị rò rỉ từ chính những nơi bạn tin tưởng nhất: các trang thương mại điện tử, diễn đàn và các ứng dụng mua sắm. Khi bạn vô tư điền địa chỉ, số thẻ để thanh toán, dữ liệu đó nằm trên máy chủ doanh nghiệp. Hacker không tấn công bạn, chúng tấn công vào “trái tim” hệ thống lưu trữ đó thông qua các lỗ hổng bảo mật.

Trong giới hacker, lỗ hổng bảo mật là “vàng ròng”. Có những lỗ hổng chưa từng được công bố, gọi là 0Day. Khi hacker mũ đen nắm được 0Day, chúng có thể âm thầm xâm nhập hệ thống, cài cửa hậu và vơ vét dữ liệu người dùng trong thời gian dài mà không ai hay biết. Nhưng đáng sợ hơn là các lỗ hổng NDay – những lỗi cũ rích đã có bản vá nhưng doanh nghiệp lười cập nhật hoặc tiếc chi phí bảo trì. Chỉ cần một email giả mạo gửi đến nhân viên công ty kèm mã độc khai thác lỗ hổng cũ này, toàn bộ cơ sở dữ liệu khách hàng sẽ nằm gọn trong tay kẻ xấu.

Một khi có được dữ liệu thô, giới tội phạm mạng thực hiện bước đáng sợ tiếp theo: “Dò kho”. Đây là kỹ thuật tận dụng thói quen chết người của đại đa số người dùng internet là dùng chung một mật khẩu cho mọi tài khoản. Từ một dữ liệu rò rỉ ở website bán hàng nhỏ lẻ, hacker dùng chính email và mật khẩu đó để thử đăng nhập vào tài khoản ngân hàng, ví điện tử, Apple ID hay iCloud của bạn. Hậu quả là từ một lỗ kim nhỏ, cả con đê vỡ toang. Hàng tỷ cặp tài khoản và mật khẩu đang lưu hành trong thế giới ngầm chính là kết quả của chuỗi tấn công liên hoàn này.

Tinh vi hơn, để lấy được mã OTP – chốt chặn cuối cùng của bảo mật, hacker sử dụng các ứng dụng gián điệp. Chỉ cần bạn tò mò cài đặt một ứng dụng lạ từ đường link gửi qua tin nhắn, toàn bộ quyền kiểm soát điện thoại, bao gồm đọc tin nhắn SMS, nghe lén cuộc gọi sẽ thuộc về hacker. Lúc này, mã OTP gửi về máy bạn cũng đồng thời hiện lên màn hình của chúng. Bạn hoàn toàn bất lực nhìn tiền trong tài khoản bốc hơi mà không hiểu chuyện gì đang xảy ra.

Triệu Vũ từng cùng đội ngũ thâm nhập ngược vào máy chủ của một nhóm lừa đảo và tìm thấy những sự thật đau lòng. Có những nạn nhân vừa nhắn tin khoe với vợ về khoản tiền thưởng tết, giây sau đã bị hacker vét sạch vì lộ số tài khoản. Thế giới ngầm hoạt động với quy mô công nghiệp, có đội ngũ cho thuê máy chủ ẩn danh, có nhóm chuyên rửa tiền và nhóm chuyên khai thác dữ liệu.

Cuộc chiến này không cân sức và điểm yếu lớn nhất không nằm ở công nghệ, mà nằm ở con người. Sự chủ quan, thói quen đặt mật khẩu dễ đoán và việc click chuột vô tội vạ vào các đường link lạ chính là chìa khóa bạn tự tay trao cho kẻ lừa đảo mở két sắt nhà mình.