App “lạ” đến từ đâu?

Tội phạm công nghệ đang gia tăng ở mức báo động. Phương thức lừa đảo đã nâng lên một mức độ mới khi đối tượng lừa đảo chiếm quyền điều khiển điện thoại của khách hàng thông qua tấn công bằng mã độc. Từ đó, hacker xâm nhập vào tài khoản ngân hàng hoặc tài khoản chứng khoán của nạn nhân.

Câu chuyện của một doanh nhân  ở Bắc Ninh có công ty kinh doanh thép, trụ sở tại TP.HCM, đồng thời quản lý một trường mầm non tư thục bị các đối tượng giả mạo công an để tải app (ứng dụng) lạ về điện thoại di động, từ đó chiếm quyền sử dụng điện thoại, trong đó có quyền truy cập vào tài khoản ngân hàng là ví dụ.

W-digibank-2.jpg
Ảnh minh hoạ: Tuân Nguyễn.

Các app lạ thường được đối tượng lừa đảo yêu cầu nạn nhân cài đặt là những app giả mạo các app của cơ quan nhà nước như: dịch vụ công, VNEID (căn cước công dân), VSSID (BHXH)...

Các app giả mạo này không có trên kho ứng dụng Apple Store hay CH Play và thường có đuôi “.apk”, là dấu hiệu chứa mã độc đã được các cơ quan chức năng cảnh báo.

Trường hợp của nữ doanh nhân ở Bắc Ninh, đối tượng tự xưng “công an” yêu cầu mở hai tài khoản tại hai ngân hàng khác nhau và phải chuyển 26,56 tỷ đồng vào hai tài khoản này để chứng minh nguồn tiền của bà là “trong sạch và không liên quan đến đường dây buôn bán ma tuý, rửa tiền”.

Một trong hai tài khoản thanh toán được mở tại Vietcombank với số tiền được chuyển vào là 11,9 tỷ đồng

Sau khi nữ doanh nhân chuyển tiền vào tài khoản của chính mình, đối tượng yêu cầu bà tải về điện thoại app “phần mềm bảo mật”. 

Theo kết quả giám định của công an, điện thoại Samsung Galaxy A13 của khách hàng này có cài đặt một phần mềm bảo mật “lạ”. Ứng dụng này có kết nối với server có địa chỉ tại Nhật Bản, cho phép hacker đọc và gửi tin nhắn SMS, nhận và xử lý tin nhắn SMS, đọc lịch sử cuộc gọi, tạo mới lịch sử cuộc gọi, thực hiện cuộc gọi, chuyển hướng cuộc gọi, đọc danh bạ, sửa đổi danh bạ, truy cập vào dữ liệu vị trí của thiết bị.

Con người là mắt xích yếu nhất

Theo Ông Lê Đức Anh, Giám đốc Kinh doanh của Group-IB phụ trách các thị trường mới nổi, trong đó có Việt Nam – người có hơn 15 năm kinh nghiệm trong lĩnh vực an toàn thông tin - hai trong số các loại mã độc phổ biến và cực kỳ nguy hiểm hiện nay là GoldDigger và GoldPickaxe. Đây là hai trong số các biến thể mới của nhóm tin tặc GoldFactory. 

“Đối với dòng GoldDigger, nó sẽ chiếm quyền sử dụng toàn bộ điện thoại, bản chất là hacker đang sử dụng điện thoại của chính chúng ta mà chúng ta không hay biết”, ông Đức Anh nói.

Kỹ thuật của mã độc GoldDigger là đánh lừa người dùng cho phép nó bật chức năng Accessibility Service (dịch vụ trợ năng) trên điện thoại Android. Đây là dịch vụ được thiết kế nhằm giúp người khuyết tật sử dụng điện thoại trở nên đơn giản hơn. 

Việc bật tính năng này vô tình giúp cho hacker tương tác với điện thoại như chủ nhân thực sự, từ đó cài cắm thêm mã độc cho phép ghi lại nhật ký toàn bộ quá trình người dùng tương tác với bàn phím, trong đó bao gồm việc nhập mật khẩu đăng nhập app ngân hàng, chứng khoán.

Chuyên gia Lê Đức Anh cho biết, mấu chốt của các vụ tấn công bằng mã độc là hacker luôn lừa nạn nhân tải được app có chứa mã độc. Đối tượng lừa đảo xây dựng kịch bản được cá nhân hoá một cách hoàn hảo nhằm thao túng tâm lý “con mồi”, khiến cho nạn nhân tự nguyện làm theo những gì chúng hướng dẫn.

Một số trường hợp người dùng không được yêu cầu tải app lạ nhưng lại được yêu cầu bấm vào đường link có chứa mã độc, từ đó hacker xâm nhập vào điện thoại người dùng.

“Trong lĩnh vực an toàn thông tin, con người luôn là mắt xích yếu nhất trong chuỗi về an toàn thông tin. Những năm gần đây, nhận thức về an toàn thông tin của người dân đã được cải thiện. Tuy nhiên, phải thừa nhận một thực tế là nhận thức của con người có lên cao đến đâu cũng không theo kịp với tốc độ biến hoá của mã độc”, chuyên gia nhận định.

le duc anh group ib.jpg
Chuyên gia bảo mật an ninh mạng Lê Đức Anh. 

Đáng chú ý, điện thoại chạy hệ điều hành iOS vốn tưởng chừng như an toàn nhưng nay cũng đã bị mã độc GoldPickaxe tấn công. Loại mã độc này thu thập được cả dữ liệu sinh trắc học của người dùng, từ đó hacker dùng công nghệ AI Deepfake để chiếm quyền sử dụng tài khoản ngân hàng.

Ngân hàng Nhà nước đã đưa ra yêu cầu bắt buộc xác thực sinh trắc học với giao dịch chuyển tiền từ 10 triệu đồng trở lên, kể từ 1/7/2024, nhưng mã độc GoldPickaxe này đã đi trước một bước.

“Tuy nhiên, quy trình ban đầu của hacker bao giờ cũng là dụ người dùng tải ứng dụng lạ về điện thoại, nên đừng bao giờ cài app lạ về điện thoại”, chuyên gia khuyến cáo.

Một số ngân hàng đã đầu tư công nghệ phát hiện các app đáng ngờ để yêu cầu khách hàng gỡ bỏ app đó trên điện thoại thì mới có thể tải được app của ngân hàng.

Theo ông Lê Đức Anh, giải pháp công nghệ này là các ngân hàng được chủ tài khoản trao quyền để có thể theo dõi và phát hiện sự bất thường trong thói quen của người dùng (chẳng hạn như tốc độ bấm phím, thường dùng tay trái hay tay phải, sử dụng app ngân hàng qua phần mềm remote thứ ba, sử dụng phần mềm ghi đè màn hình để tiếp nhận mã OTP, SMS Banking... ) để đưa ra cảnh báo cho khách hàng, đồng thời ra được quyết định kịp thời. Tất nhiên, ngân hàng chỉ được phép tiếp cận ở mức độ nào đó.

Một giải pháp nữa cũng có thể được cân nhắc cho chủ tài khoản ngân hàng là nên có thêm một chiếc điện thoại chỉ để cài app của ngân hàng. Tuyệt đối không mở các đường link lạ, không dùng mạng xã hội, không cài đặt app lạ... trên điện thoại này. 

Không ai dám khẳng định điện thoại của mình có đang bị kẻ gian kiểm soát hay không. Nhưng một trong những dấu hiệu nhận biết là điện thoại nóng lên và nhanh hết pin một cách bất thường. 

Khi nghi ngờ, người dùng cần nhanh chóng ngắt kết nối wifi và 4G, lập tức liên hệ với ngân hàng để khoá tài khoản và app.