Không ít nạn nhân thừa nhận: điều khiến họ sập bẫy không hẳn là thủ đoạn tinh vi, mà là vì “bên kia biết quá rõ về mình”. Vì sao kẻ lừa đảo lại biết rõ như vậy? Nguyên nhân từ đâu?

Thứ nhất, nguồn rò rỉ phổ biến nhất đến từ hệ sinh thái số quanh mỗi người, chứ không chỉ nằm trong ngân hàng. Mỗi lần đăng ký mua hàng online, gọi xe, đặt phòng, tham gia chương trình khuyến mãi, mở ví điện tử, để lại số điện thoại và họ tên cho một website nào đó – người dùng đã vô tình “phân mảnh” dữ liệu cá nhân của mình trên hàng chục nền tảng khác nhau. Chỉ cần một nền tảng bị tấn công, bị nội gián bán dữ liệu, hoặc quản trị kém an toàn, thông tin cơ bản như họ tên – số điện thoại – email – thậm chí số tài khoản từng dùng để hoàn tiền có thể bị thu thập rồi rao bán trên các chợ dữ liệu ngầm. Khi tội phạm mạng mua nhiều “gói” dữ liệu khác nhau và ghép lớp thông tin, chúng có thể dựng lại một “chân dung số” rất đầy đủ của nạn nhân.

Thứ hai, tội phạm không cần phải đột nhập trực tiếp vào hệ thống ngân hàng để có được thông tin “nhạy”. Trong thực tế, chúng thường khai thác điểm yếu nằm ở bên thứ ba: công ty giao hàng, sàn thương mại điện tử, nhà mạng, dịch vụ chăm sóc khách hàng thuê ngoài, hay thậm chí các cộng tác viên bán hàng. Chỉ cần một mắt xích lỏng lẻo, dữ liệu đã có thể bị sao chép. Những danh sách như “khách mở thẻ tháng 6”, “khách chi tiêu trên 100 triệu”, “khách có khoản vay” từng được nhắc đến trên các diễn đàn ngầm cho thấy: dữ liệu bị rao bán không chỉ là thông tin định danh, mà còn được “dán nhãn” theo hành vi tài chính để kẻ gian chọn đúng đối tượng.

Thứ ba, rò rỉ còn đến từ sự chủ quan của chính người dùng. Không ít trường hợp bị lừa sau khi cài ứng dụng giả mạo, bấm link độc hại, cho phép app truy cập danh bạ – tin nhắn – quyền hiển thị. Khi quyền truy cập bị trao nhầm, dữ liệu sẽ bị “hút” về máy chủ của kẻ xấu một cách âm thầm. Đáng lưu ý, mã độc hiện nay không chỉ đánh cắp OTP hay mật khẩu, mà còn thu thập metadata: ai đang liên lạc với ai, tần suất ra sao, từ đó phác họa mạng lưới quan hệ để phục vụ các kịch bản mạo danh tinh vi hơn.

Thứ tư, thông tin có thể bị “lộ muộn” qua những lần đổi thiết bị, sửa chữa, hoặc bán lại máy cũ. Nếu không đăng xuất iCloud/Google, không xóa sạch dữ liệu trước khi chuyển nhượng, chủ cũ vô tình để lại “kho dữ liệu” cho người khác. Tương tự, việc sao lưu dữ liệu trên các dịch vụ đám mây kém bảo mật hoặc chia sẻ nhầm đường link cũng có thể khiến thông tin rơi vào tay kẻ gian.

Khi đã có trong tay dữ liệu “đủ thật”, đối tượng lừa đảo không cần phải dựng kịch bản quá phức tạp. Một cuộc gọi đọc chính xác tên, số tài khoản, hoặc vài giao dịch gần nhất đã đủ tạo niềm tin ban đầu. Từ đó, chúng dẫn dắt nạn nhân vào “bẫy” quen thuộc: thông báo tài khoản bất thường, hoàn tiền, nâng hạng thẻ, hay vụ án liên quan. Điểm mấu chốt là khiến nạn nhân tự giao nốt “mảnh ghép cuối” –- OTP, mật khẩu, hoặc chuyển tiền – để hoàn tất vụ lừa.

Về phía ngân hàng, cần nói rõ: hệ thống lõi ngân hàng không phải là nơi dễ bị xâm nhập trực tiếp. Các cuộc tấn công vào ngân hàng thường nằm ở tầng ứng dụng, kênh giao tiếp với khách hàng, hoặc đối tác liên kết. Tuy nhiên, trong bối cảnh dữ liệu được luân chuyển qua nhiều đơn vị trung gian, “an toàn tuyệt đối” trở thành một khái niệm khó đạt nếu mỗi mắt xích không nâng chuẩn bảo mật tương xứng.

Với người dùng, bài học lớn nhất là: đừng đánh đồng “bên kia biết thông tin” với “bên kia là người thật”. Kẻ lừa đảo ngày nay không còn là những cú điện thoại chung chung, mà là các kịch bản được “cá nhân hóa” bằng dữ liệu.

Do đó, bất cứ cuộc gọi nào yêu cầu cung cấp OTP, mật khẩu, mã CVV, hoặc thao tác gấp trên app đều cần được coi là rủi ro cao. Hãy chủ động gọi lại số tổng đài chính thức, kiểm tra thông tin trên website/ứng dụng chính thống, và tuyệt đối không nhấp link lạ.

Ở cấp độ rộng hơn, câu hỏi không còn là “ai làm lộ dữ liệu”, mà là chúng ta đang chia sẻ dữ liệu bao nhiêu và cho ai. Mỗi lần đồng ý điều khoản sử dụng mà không đọc kỹ, mỗi lần đăng nhập bằng tài khoản mạng xã hội để “tiện lợi”, mỗi lần cho app quyền truy cập vượt nhu cầu – đều là những lần chúng ta đánh đổi một phần riêng tư lấy sự thuận tiện. Trong kỷ nguyên số, dữ liệu cá nhân đã trở thành một loại “tài sản” có giá trị thực. Và như mọi tài sản khác, nó chỉ an toàn khi chủ sở hữu ý thức được giá trị của mình và bảo vệ đến cùng.