Cảnh báo chiến dịch lừa đảo chiếm đoạt thông tin thẻ tín dụng nhắm vào người dùng các ngân hàng tại Việt Nam

Trong quá trình giám sát và đảm bảo an toàn thông tin trên không gian mạng, Dịch vụ Viettel Threat Intelligence phát hiện một chiến dịch tấn công lợi dụng dịch vụ thẻ tín dụng có chủ đích nhằm vào người dùng các tổ chức ngân hàng tại Việt Nam. Bài viết sau sẽ là cái nhìn tổng quan về chiến dịch này.


  1. Tổng quan

Thẻ tín dụng (credit card) là thẻ cho phép chủ thẻ thực hiện giao dịch thẻ trong phạm vi hạn mức tín dụng đã được cấp theo thỏa thuận với tổ chức phát hành thẻ. Để thực hiện các giao dịch sử dụng thẻ tín dụng, người dùng cần cung cấp các thông tin như: Tên chủ thẻ, Số thẻ, Ngày hết hạn của thẻ, Mã CVV, Mã OTP. Một số dịch vụ liên quan đến thẻ tín dụng bao gồm: nâng hạn mức, rút tiền, liên kết thẻ tín dụng, chuyển trả góp, hủy thẻ, v.v

Theo nhu cầu, số lượng người sử dụng thẻ tín dụng ngày càng tăng, các ngân hàng, tổ chức tài chính có nhiều chính sách hỗ trợ, ưu đãi dành cho người dùng sử dụng thẻ và các dịch vụ liên quan. Lợi dụng điều này, các đối tượng lừa đảo giả mạo, mạo danh thương hiệu của các tổ chức tài chính, ngân hàng nhằm thực hiện các hành vi lừa đảo, gian lận để chiếm đoạt tài sản của nạn nhân.

Trong khoảng thời gian từ cuối năm 2022 đến nay, Viettel Threat Intelligence đã theo dõi, cảnh báo và ngăn chặn nhiều website sử dụng hình thức lừa đảo này.

  • Lĩnh vực: Tài chính - dịch vụ tại Việt Nam.
  • Mục tiêu: Người dùng sử dụng thẻ tín dụng.
  • Hình thức: Lừa đảo liên quan đến dịch vụ thẻ tín dụng (nâng hạn mức, đăng ký, hủy thẻ, ...).
  • Thời gian: Tháng 12 – 2022 đến 06 – 2023.

2.  Hình thức tấn công

Từ lâu, trên các trang mạng xã hội đã xuất hiện các hội nhóm, cá nhân rao bán dịch vụ rút tiền, đáo hạn thẻ tín dụng thông qua dịch vụ quẹt thẻ qua máy POS, đây là hình thức không hợp pháp và tồn tại nhiều rủi ro. Tuy nhiên, vì nhu cầu người dùng sử dụng thẻ tín dụng và các dịch vụ liên quan đến thẻ tín dụng ngày càng tăng, đây bắt đầu trở thành mảnh đất màu mỡ cho các nhóm tội phạm mạng thực hiện các hành vi lừa đảo, gian lận để chiếm đoạt tài sản của người dùng.

Hình 1: Sơ lược hình thức tấn công. Nguồn: Viettel Threat Intelligence

Kịch bản lừa đảo:

Các đối tượng lừa đảo lợi dụng lòng tin và nhu cầu sử dụng dịch vụ thẻ tín dụng để phục vụ chi tiêu của nhiều người để lừa đảo nạn nhân qua từng bước hết sức tinh vi.

Bước 1: Đối tượng tạo các bài đăng trên các trang mạng xã hội nội dung hỗ trợ nâng cấp hạn mức thẻ tín dụng, sang ngang thẻ tín dụng, v.v với lời mời gọi thủ tục nhanh chóng, duyệt hồ sơ siêu tốc, phê duyệt tự động, giải ngân trong ngày... Nạn nhân tin tưởng các bài đăng, sẽ liên hệ với các đối tượng. Ngoài ra, các đối tượng có thể mua bán dữ liệu người dùng, trong đó bao gồm thông tin tin cá nhân, hạn mức thẻ tín dụng, v.v để xác định các nạn nhân tiềm năng.

Hình 2: Các hội nhóm quảng cáo dịch vụ thẻ tín dụng trên mạng xã hội. Nguồn: Viettel Threat Intelligence
Hình 3: Các bài đăng mời chào dịch vụ thẻ tín dụng. Nguồn: Viettel Threat Intelligence

Bước 2: Đối tượng gọi điện, nhắn tin cho nạn nhân và mạo danh là nhân viên của ngân hàng, tổ chức tài chính để gửi thông tin hỗ trợ, mời chào nạn nhân sử dụng các dịch vụ liên quan đến thẻ tín dụng.

Hình 4: Đối tượng mạo danh nhân viên của các tổ chức ngân hàng, tín dụng. Nguồn: Viettel Threat Intelligence

Bước 3: Các đối tượng gửi đường link liên kết tới website giả mạo, lừa đảo. Trong một số trường hợp, đối tượng sử dụng các đường link rút gọn, hoặc cung cấp mã QR để nạn nhân quét. Một khi nạn nhân truy cập vào trang web lừa đảo, trang web này sẽ yêu cầu cung cấp các thông tin cá nhân, thông tin thẻ tín dụng, bao gồm: họ tên, căn cước công dân, chụp ảnh căn cước công dân 2 mặt, số thẻ, mã bí mật CVV, ngày hết hạn thẻ giống như trang web chính thống của ngân hàng mục tiêu. Nạn nhân cũng được yêu cầu chia sẻ mã OTP gửi về số điện thoại.

Hình 5: Đối tượng hướng dẫn nạn nhân truy cập đường link lừa đảo. Nguồn: Viettel Threat Intelligence
Hình 6: Giao diện của một trang lừa đảo. Nguồn: Viettel Threat Intelligence
Hình 7: Trang lừa đảo yêu cầu cung cấp mã OTP. Nguồn: Viettel Threat Intelligence

Bước 4: Sau khi có thông tin thẻ tín dụng của nạn nhân, kẻ tấn công dùng thông tin thẻ để thực hiện thanh toán các giao dịch trực tuyến, chiếm đoạt tài sản của nạn nhân.

Viettel Threat Intelligence nhận định, đây là hình thức lừa đảo mới và đang phát triển mạnh mẽ trong năm 2023, do nhu cầu sử dụng thẻ tín dụng và các dịch vụ liên quan đến thẻ tín dụng tăng cao. Kịch bản nhắn tin, gọi điện tư vấn với nạn nhân được lên kỹ càng, đối tượng trả lời lưu loát, hợp lý với các thắc mắc, câu hỏi từ phía nạn nhân. Các đối tượng đánh vào lòng tham và sự cả tin của nạn nhân, trong quá trình trao đổi, đối tượng sẽ luôn hướng nạn nhân về các chính sách, điều khoản được hưởng, cùng với các quyền lợi nhằm dễ dàng thao túng nạn nhân.

3.  Hạ tầng chiến dịch tấn công

Theo ghi nhận của Viettel Threat Intelligence, có khoảng 190 tên miền lừa đảo được sử dụng trong các chiến dịch, và dự báo số lượng các tên miền sẽ tiếp tục tăng trong thời gian sắp tới.

Hình 8: Biểu đồ số lượng tên miền lừa đảo theo tháng

Một số đặc điểm đặc trưng của chiến dịch này như sau:

  • Trong tên miền chứa các từ khoá như: “dichvu”, “canhan”, “khachhang”, “uutien”, “visa”, … hoặc có chứa tên viết tắt các tổ chức ngân hàng.
  • Bao gồm các chiến dịch nhỏ, mỗi chiến dịch kéo dài khoảng 1 tháng, trong thời gian này, mỗi ngày có từ 3-5 tên miền mới được tạo. Các tên miền không sử dụng cùng địa chỉ IP mà phân bố trên các địa chỉ IP khác nhau, gây khó khăn trong việc theo dõi và phát hiện.
  • Thời gian sống của các tên miền ngắn, từ 3-4 ngày, hoặc ngay khi các đối tượng nghi ngờ bị phát hiện, sẽ ngắt hạ tầng của tên miền.

4.  Giải pháp, khuyến nghị

Nhằm ngăn ngừa, giảm thiểu thiệt hại của các cuộc tấn công lừa đảo, Viettel Threat Intelligence khuyến nghị:

Đối với người dùng:

  • Không cung cấp thông tin thẻ/thông tin cá nhân cho bất kỳ ai và bằng bất kỳ hình thức nào.
  • Không đăng tải các thông tin cá nhân (bao gồm cả giấy tờ tùy thân) lên mạng xã hội để tránh bị kẻ gian lấy cắp thông tin cá nhân và sử dụng trái phép.
  • Không cung cấp mã OTP cho bất kỳ ai.
  • Thường xuyên theo dõi thông báo biến động số dư thẻ (qua SMS/ thông báo app).
  • Thông báo ngay với ngân hàng khi có bất kỳ nghi vấn liên quan đến hành vi lừa đảo giao dịch.

Đối với tổ chức:

  • Cảnh báo tới khách hàng về các hình thức lừa đảo, chiến dịch lừa đảo mới.
  • Sử dụng các sản phẩm, dịch vụ, giải pháp phát hiện nguy cơ mới.
  • Trong tương lai, chiến dịch này có thể phát triển mạnh và tiếp tục nhằm vào các tổ chức tài chính, ngân hàng. tổ chức cần theo dõi và giám sát các chiến dịch lừa đảo, lợi dụng thương hiệu của tổ chức trên không gian mạng.

Viettel Threat Intelligence luôn tìm kiếm, thu thập thông tin các cuộc tấn công lừa đảo, lộ lọt thông tin ảnh hưởng tới khách hàng. Đưa ra cảnh báo về các hình thức lừa đảo ảnh hưởng tới các tổ chức, doanh nghiệp. Đồng thời phối hợp với các cơ quan có chức năng, thẩm quyền để gỡ bỏ các nội dung lừa đảo, sử dụng thương hiệu trên không gian mạng.

Khách hàng doanh nghiệp có thể đăng kí nhận các cảnh báo nguy cơ an toàn thông tin mới nhất, giám sát lạm dụng thương hiệu để đưa ra các phản ứng kịp thời tại địa chỉ: https://www.cyberintel.io

Tuyên bố miễn trừ trách nhiệm

Thông tin do hệ thống Viettel Threat Intelligence của Công ty An ninh mạng Viettel cung cấp được thu thập từ các nguồn khác nhau trên Internet, không nhằm mục đích tấn công hoặc gây tổn hại cho bất kỳ tổ chức hoặc cá nhân nào.

5.  Phụ lục

Danh sách tên miền trong chiến dịch lừa đảo, giả mạo: