Đáng chú ý là thông tin mà kẻ gian đưa ra lại trùng khớp hoàn toàn với các đơn hàng thực tế đang trong quá trình vận chuyển từ sàn thương mại điện tử (TMĐT). Dù dòng tiền ban đầu bị lừa chỉ từ vài chục ngàn đến hơn 100.000 đồng, nhưng "kịch bản" phía sau lại hướng đến việc dụ dỗ nạn nhân cung cấp mã OTP, truy cập link lạ nhằm rút cạn tài khoản ngân hàng.
Đọc vanh vách thông tin đơn hàng để lừa tiền
Phản ánh với PV Thanh Niên, anh L.Q.V (43 tuổi, quê ở Tây Ninh) cho biết vào ngày 23.5, anh đặt mua một cuốn sách trên một sàn TMĐT. Chỉ 3 ngày sau (26.5), anh nhận được cuộc gọi từ một người tự xưng là shipper, báo có gói hàng cần chuyển tiền. "Khi tôi hỏi hàng gì, đầu dây bên kia đọc đúng chính xác số tiền (102.000 đồng) cũng như tên cuốn sách mà tôi đã đặt. Do thường xuyên mua sách và các shipper quen vẫn hay gửi số tài khoản bảo chuyển tiền trước, nên tôi hoàn toàn tin tưởng, chuyển ngay 105.000 đồng", anh V. kể.
Shipper “ma” đọc đúng thông tin đơn hàng và yêu cầu người mua chuyển khoản đúng số tiền của đơn hàng đó
ẢNH: NVCC
Tuy nhiên sau khi chuyển khoản, anh V. lập tức nhận được tin nhắn với nội dung thông báo anh đã đăng ký thành công "thẻ hội viên" của hệ thống vận chuyển VNPost. Kẻ gian lập tức gọi điện và đe dọa rằng nếu anh không thực hiện thủ tục hủy thẻ, tài khoản sẽ tự động trừ khoản phí thường niên lên đến 4 triệu đồng mỗi tháng. Nhận thấy dấu hiệu bất thường và nghi ngờ chiêu trò lừa đảo, anh V. gặng hỏi ngược lại thì đầu dây bên kia bắt đầu lấp liếm rồi lập tức khóa máy.
Bức xúc vì thông tin cá nhân bị rò rỉ nghiêm trọng, anh V. cho biết đã liên hệ trực tiếp với phía nhà sách lẫn tổng đài của sàn TMĐT để yêu cầu làm rõ. "Trả lời tôi, đại diện phía sàn TMĐT cam kết không làm lộ thông tin khách hàng, còn nhà sách cũng khẳng định chỉ xuất đơn theo hệ thống và không can thiệp vào quá trình giao nhận, nên tôi không biết ai đã làm lộ thông tin của tôi", anh V. nói.
Sau khi chuyển khoản, anh V. bị dẫn dụ đăng ký “thẻ hội viên”, rồi bị đe dọa trừ 4 triệu đồng mỗi tháng nếu không hủy
ẢNH: NVCC
Bên cạnh hình thức gọi điện giả danh shipper, chiêu thức lừa đảo còn biến tướng tinh vi qua việc gửi email giả mạo các đơn vị vận chuyển lớn. Anh N.D.T (43 tuổi, ở TP.HCM) cho biết bản thân từng nhận được một email lạ giả danh Bưu điện Việt Nam (VNPost). Email này sử dụng logo VNPost để tạo độ tin cậy, tuy nhiên địa chỉ gửi lại là "[email protected]", một tên miền hoàn toàn không liên quan đến đơn vị vận chuyển. "Dù không hề đặt bất kỳ đơn hàng nào, tôi vẫn nhận thông báo có bưu kiện đang bị tạm giữ do chưa thanh toán phí giao hàng, trong nội dung email có đính kèm đường link thanh toán ngay", anh T. cho hay.
Nhờ thường xuyên xem các thông tin cảnh báo trên báo đài, anh T. nhận diện ngay đây là thủ đoạn lừa đảo công nghệ cao nhằm chiếm đoạt thông tin tài khoản ngân hàng nên không bấm vào đường link lạ.
Có lỗ hổng trong khâu bảo mật dữ liệu
Dưới góc nhìn chuyên gia, ông Ngô Minh Hiếu, Giám đốc dự án Chống lừa đảo, thành viên Hiệp hội An ninh mạng quốc gia VN, cho biết: "Dữ liệu đơn hàng của người tiêu dùng có thể bị rò rỉ từ nhiều khâu khác nhau trong chuỗi mua bán trực tuyến, từ người bán, cộng tác viên, đơn vị vận chuyển đến hệ thống quản lý đơn hàng. Thậm chí không loại trừ khả năng dữ liệu bị tuồn ra từ chính nội bộ hoặc xuất phát từ thói quen người dùng công khai thông tin cá nhân trên mạng xã hội", ông Hiếu nhấn mạnh.
Đại diện sàn TMĐT và nhà sách phản hồi về quy trình xử lý đơn hàng sau phản ánh của khách
ẢNH: NVCC
Trong khi đó, theo thượng tá Đỗ Minh Kim, Phó trưởng phòng 3, Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (Bộ Công an), đây không phải là một thủ đoạn hoàn toàn mới, nhưng nó đã được "nâng cấp" một cách hết sức tinh vi. Nếu như trước đây, đối tượng chỉ gọi điện lừa đảo ngẫu nhiên, thì nay kẻ gian đã có trong tay dữ liệu thật. Theo thượng tá Kim, việc kẻ gian đọc "vanh vách" thông tin cá nhân và chi tiết đơn hàng cho thấy đang có lỗ hổng nghiêm trọng trong khâu bảo mật dữ liệu ở chuỗi cung ứng TMĐT. Kẻ gian sử dụng chính dữ liệu thật này làm "mồi nhử" để xóa bỏ sự phòng bị của người tiêu dùng. Khi nạn nhân tin tưởng chuyển một khoản tiền nhỏ, số tiền phí giao hàng hay tiền ứng trước chỉ là bước đệm. Mục tiêu thực sự của tội phạm mạng là toàn bộ số tiền trong tài khoản ngân hàng của nạn nhân.
"Trong lúc bối rối, nạn nhân sẽ mất cảnh giác và làm theo mọi hướng dẫn của kẻ gian: nhấp vào đường link lạ có chứa mã độc, cài đặt ứng dụng giả mạo, hoặc cung cấp mã OTP. Chỉ cần một thao tác sai, toàn bộ quyền kiểm soát thiết bị và tài khoản ngân hàng của nạn nhân sẽ rơi vào tay tội phạm", thượng tá Kim nói.
Dù không đặt hàng nhưng anh N.D.T vẫn nhận được email thông báo có đơn hàng đang bị tạm giữ vì chưa thanh toán phí
ẢNH: NVCC
Trước nguy cơ dữ liệu cá nhân bị khai thác để phục vụ các kịch bản lừa đảo và tránh bị sập bẫy, thượng tá Kim cảnh báo người dân tuyệt đối không chuyển tiền bộc phát, ngắt kết nối khi có dấu hiệu đe dọa và không nhấp vào liên kết lạ, chủ động trình báo công an. Còn ông Ngô Minh Hiếu khuyến cáo người dân cần đặc biệt thận trọng trong mọi giao dịch liên quan đến đơn hàng. "Khi lỡ rơi vào kịch bản bị đe dọa "trừ tiền định kỳ", người dân cần giữ bình tĩnh, ngay lập tức khóa các ứng dụng ngân hàng, dừng mọi thao tác giao dịch, chặn liên lạc với đối tượng và tuyệt đối không truy cập các đường link lạ để tránh nguy cơ bị cài mã độc, chiếm quyền kiểm soát tài khoản", ông Hiếu khuyến nghị.
Về góc độ pháp lý, luật sư Nguyễn Hùng Quân (Đoàn luật sư TP.HCM) nhận định đây thực chất là hành vi lừa đảo chiếm đoạt tài sản trên không gian mạng có sự kết hợp tinh vi yếu tố thao túng tâm lý dựa trên thói quen tiêu dùng. Người dân nên trình báo công an để cung cấp thông tin, giúp cơ quan chức năng tích lũy dữ liệu, xác lập chuyên án khi tổng thiệt hại đủ ngưỡng xử lý. Trong bối cảnh các lỗ hổng bảo mật chưa được khắc phục triệt để, sự tỉnh táo của người tiêu dùng và việc chủ động tố giác tội phạm chính là "lá chắn" quan trọng nhất để bảo vệ tài sản của chính mình.
Bên cạnh đó, người dùng nên hạn chế chia sẻ số điện thoại, địa chỉ; ưu tiên giao dịch qua các sàn uy tín; kiểm tra đơn hàng trên kênh chính thức và tuyệt đối không cung cấp mã OTP, mật khẩu hay thông tin thẻ cho bất kỳ ai; đồng thời cần cảnh giác với các dấu hiệu bất thường như yêu cầu đến bưu cục nhận hàng, số tiền thanh toán chênh lệch hoặc bị đề nghị cung cấp thông tin cá nhân.
