Chuyên gia cảnh báo chiêu lừa: Số điện thoại hiển thị trên màn hình chưa chắc là số thật đang gọi

3 giờ trướcBài gốc

Chiêu mạo danh bất cứ số điện thoại nào để lừa đảo

Thời gian gần đây trên các diễn đàn mạng xã hội xuất hiện cảnh báo tình trạng mạo danh số điện thoại với mục đích lừa đảo. Chỉ cần sử dụng một phần mềm, kẻ lừa đảo có thể thực hiện cuộc gọi đến số máy của bạn mà trên màn hình hiển thị rõ ràng người bạn đã lưu trong danh bạ, nhưng thực chất là cuộc gọi lừa đảo.

Giả sử bạn nhận được cuộc gọi trên điện thoại với màn hình hiển thị là "Chồng tôi" do bạn lưu số chồng mình với tên hiển thị đó. Người gọi sẽ có giọng nói giống hệt như chồng bạn, nói bạn chuyển tiền xử lý việc gấp ngay, thực chất đó là kẻ lừa đảo đang mạo danh chồng bạn. Chiêu lừa tinh vi này được gọi là kỹ thuật giả mạo số điện thoại hiển thị (Caller ID Spoofing).

Chuyên gia cảnh báo chiêu lừa: Số điện thoại hiển thị trên màn hình chưa chắc là số thật đang gọi

Chuyên gia an ninh mạng Ngô Minh Hiếu cho biết, với chiêu thức này, người gọi không nhất thiết phải dùng đúng số thật của họ khi thực hiện cuộc gọi, nhưng điện thoại người nhận vẫn có thể hiển thị một số khác trên màn hình. Nói cách khác, số mình nhìn thấy chưa chắc là số thật đang gọi. Một số cơ quan quản lý viễn thông trên thế giới cũng đã cảnh báo rõ rằng kẻ gian có thể làm cho màn hình hiển thị bất kỳ số hoặc tên nào để tạo cảm giác tin tưởng.

"Về mặt kỹ thuật, một cuộc gọi thường có phần đường đi thật trong mạng viễn thông và phần thông tin hiển thị cho người nhận. Hai phần này có thể giống nhau, nhưng cũng có thể khác nhau. Một số cơ quan quản lý viễn thông mô tả đây là sự khác nhau giữa số dùng trong mạng và số dùng để hiển thị ra màn hình. Vì vậy, việc điện thoại hiện đúng số ngân hàng, đúng tên nhân viên, hoặc đúng số khách hàng không đủ để khẳng định người gọi là thật", chuyên gia Ngô Minh Hiếu cảnh báo.

Kiểu lừa đảo này thường lợi dụng các nền tảng gọi điện qua VoIP, tức công nghệ truyền giọng nói qua Internet thay vì mạng điện thoại truyền thống. Khi đó, cuộc gọi được tạo ra từ một hệ thống trung gian. Trước đây, chuyên gia Ngô Minh Hiếu cũng từng thử và vượt qua được cơ chế siết chặt bảo mật của Twilio hay MessageBird về xác thực số điện thoại người gọi. Nói đơn giản, nếu khâu xác minh quyền sử dụng số không chặt hoặc bị lạm dụng, nó có thể dẫn tới hiện tượng giả mạo Caller ID.

"Ví dụ, vào năm 2021 tôi đã từng nghiên cứu vấn đề này trên một số dịch vụ gọi điện qua Internet (VoIP), tổng đài số và dịch vụ thoại đám mây (cloud call). Nhưng vì thấy quá nguy hiểm nên tôi không chia sẻ công khai để tránh kẻ xấu biết và lạm dụng. Thực tế, đây cũng không phải vấn đề mới trong giới bảo mật hay công nghệ viễn thông. Về mặt kỹ thuật, nhiều tổ chức trên thế giới cũng đã công bố các nội dung liên quan; chỉ cần tìm hiểu kỹ là có thể thấy.

Trong nghiên cứu năm 2021, tôi đã thử chỉ định số hiển thị rồi tạo cuộc gọi tới người nhận. Tôi đã thử gọi với người thân, bạn bè và đồng nghiệp, và phản ứng chung đều là: "Sao làm được hay vậy", "Nguy hiểm thật". Điều đáng lo hơn là mình vẫn có thể nói chuyện trực tiếp với người nhận bằng chính cuộc gọi đã được chỉ định số hiển thị như vậy", chuyên gia Ngô Minh HIếu cho hay.

Điểm nguy hiểm là cuộc gọi có thể được chuyển tiếp sang số điện thoại thật của kẻ xấu nhưng vẫn giữ số hiển thị do mình chỉ định. Trên các ứng dụng này cũng ghi rõ ở bước "transfer", trường "source" có thể được dùng để quyết định cuộc gọi sẽ hiện ra là số nào ở đầu bên kia. Cụ thể, source = số muốn hiển thị; destination = số bị gọi; callFlow = nội dung cuộc gọi hoặc chuyển tiếp.

Cuộc gọi thật, giọng thật mà thực ra lại là lừa đảo

Chuyên gia Ngô Minh Hiếu phân tích, người dùng thường tin vào số hiển thị nên rất dễ bị lừa. Kẻ gian có thể giả danh nhân viên ngân hàng, công an, nhân viên chăm sóc khách hàng, khách hàng của ngân hàng.... Sau đó dựng lên các kịch bản như: "Tài khoản có vấn đề"; "Có giao dịch gian lận"; "Cần xử lý gấp"; "Thẻ tín dụng bị khóa"...

Rồi hối thúc nạn nhân làm ngay, không được chậm, yêu cầu giữ máy, không được cúp, bắt chuyển tiền để "bảo vệ tiền", hoặc yêu cầu cung cấp mã xác minh, OTP, thông tin thẻ, mật khẩu. Bất kỳ ai gọi đến mà xin mã xác minh đều là lừa đảo. Các cuộc gọi mạo danh ngân hàng hoặc bộ phận chống gian lận thường dựng lên câu chuyện "tài khoản có vấn đề" để dụ nạn nhân làm theo.

Đối với người dân, chuyên gia cảnh báo không nên trả lời các câu hỏi có thể khiến mình vô tình xác nhận, đặc biệt là các câu chỉ cần đáp "có" hoặc "không". Tuyệt đối không cung cấp thông tin cá nhân như số tài khoản, CCCD, mật khẩu, thông tin thẻ, mã OTP, hay bất kỳ dữ liệu định danh nào khi nhận cuộc gọi bất ngờ hoặc khi thấy nghi ngờ.

Nếu có người tự xưng là đại diện công ty hoặc cơ quan nhà nước, hãy cúp máy và chủ động gọi lại theo số chính thức trên sao kê, website hoặc kênh liên hệ chính thống để kiểm tra. Với các yêu cầu thanh toán hoặc xử lý nghiêm trọng, thông thường đơn vị hợp pháp sẽ có thông báo chính thức bằng văn bản hoặc qua kênh xác thực khác, chứ không chỉ gọi điện bất ngờ để thúc ép.

"Quan trọng nhất, đừng cố phân biệt thật - giả chỉ bằng số hiển thị. Có lúc nó hiện đúng 100% số thật, có lúc thêm mã quốc gia như +1, có lúc lại hiện số lạ. Điều cần phân biệt là nội dung cuộc gọi: có hối thúc không, có xin mã xác minh không, có bắt chuyển tiền không...", chuyên gia cảnh báo.

Đối với ngân hàng, rủi ro lớn nhất là tin vào số hiển thị như một bằng chứng xác minh danh tính. Nếu tổng đài hoặc bộ phận chăm sóc khách hàng cho rằng "gọi từ đúng số đăng ký thì chắc là đúng khách hàng", kẻ gian có thể lợi dụng để yêu cầu đổi mật khẩu, thay đổi thông tin, mở khóa tài khoản hoặc khai thác thêm dữ liệu. Các tổ chức tài chính không nên dựa vào những biện pháp xác minh yếu như vậy cho các yêu cầu nhạy cảm qua tổng đài.

Vì vậy, số điện thoại hiển thị chỉ nên được xem là thông tin tham khảo, không phải bằng chứng xác minh người gọi. Với các yêu cầu nhạy cảm như đổi mật khẩu, đổi số điện thoại hoặc thay đổi thông tin tài khoản, ngân hàng cần có thêm các lớp bảo vệ như xác nhận qua ứng dụng; Gọi lại theo số đã lưu sẵn; Xác minh đa lớp (MFA).

Tô Hội

Nguồn SK&ĐS : https://suckhoedoisong.vn/chuyen-gia-canh-bao-chieu-lua-so-dien-thoai-hien-thi-tren-man-hinh-chua-chac-la-so-that-dang-goi-16926041315473489.htm