Trang Trắng

Vì sao người lừa đảo biết rõ thông tin ngân hàng và mật khẩu của bạn?

  • Lừa đảo mạng
  • An ninh thông tin
  • Bảo vệ dữ liệu cá nhân
  • Trang Trắng
đọc mất khoảng 7 phút

Vì sao người lừa đảo biết rõ thông tin ngân hàng và mật khẩu của bạn?

Hiểu rõ cách thức kẻ lừa đảo lấy thông tin cá nhân từ các lỗ hổng bảo mật, rò rỉ dữ liệu và phương pháp dò kho. Bảo vệ tài khoản ngay.

Mỗi ngày, hàng triệu người dùng internet nhận được những thông báo lạ: tài khoản bị đăng nhập từ vị trí không xác định, cuộc gọi từ "nhân viên ngân hàng" đọc chính xác số tài khoản của mình, hoặc email xác nhận đơn hàng kèm tệp tin trông bình thường nhưng chứa nguy hiểm. Những tình huống như vậy xuất hiện liên tục, khiến lừa đảo mạng trở thành rủi ro luôn hiện hữu trong cuộc sống số. Điều lo ngại nhất không chỉ là mất tiền, mà là cảm giác bị "lột trần" thông tin cá nhân: từ tên, số điện thoại, địa chỉ, thói quen mua sắm cho đến chi tiết tài khoản ngân hàng. Câu hỏi tự nhiên nảy sinh: làm sao kẻ xấu nắm được dữ liệu chi tiết đến vậy, và những thông tin ấy đã bị mất qua con đường nào?

Những con đường chính mà dữ liệu bị rò rỉ

Dữ liệu cá nhân thường bị lộ từ những nơi mà người dùng phải nhập thông tin để sử dụng dịch vụ. Các trang mua sắm trực tuyến, diễn đàn, ứng dụng trực tuyến – tất cả đều lưu trữ địa chỉ, số thẻ và thông tin cá nhân trên máy chủ của họ. Vấn đề nảy sinh khi những máy chủ này có lỗ hổng bảo mật.

Các lỗ hổng bảo mật chính là những điểm yếu trong hệ thống cho phép hacker vượt qua lớp phòng vệ. Một số lỗ hổng cho phép truy cập vào "trái tim" hệ thống, trong khi những lỗ hổng khác chỉ dừng ở lớp ngoài. Có những lỗ hổng phổ biến trên nhiều website, có những lỗ hổng chỉ tồn tại trên một vài nền tảng nhất định.

Mỗi lỗ hổng đều có "chu kỳ sống" – khoảng thời gian từ khi bị phát hiện đến khi được sửa chữa. Chính khoảng thời gian này là "thời kỳ vàng" cho tội phạm mạng khai thác. Nếu chỉ một nhóm nhỏ biết về lỗ hổng và cả thế giới chưa hay, đó là lỗ hổng 0Day – nguy hiểm nhất. Ngay cả những lỗ hổng cũ vẫn tiếp tục bị lợi dụng vì nhiều doanh nghiệp chậm sửa chữa, do chi phí cao hoặc đánh giá thấp rủi ro.

Kết quả là dữ liệu cá nhân được thu gom thành những "kho" khổng lồ nằm trong tay tội phạm mạng.

Từ một rò rỉ đến hàng loạt tài khoản bị xâm phạm

Sau khi có được dữ liệu, những kẻ xấu sử dụng kỹ thuật gọi là "dò kho". Họ lấy những tài khoản – mật khẩu có sẵn và thử đăng nhập vào hàng loạt website khác nhau. Kỹ thuật này hiệu quả vì nhiều người dùng có thói quen sử dụng cùng một mật khẩu cho nhiều dịch vụ.

Chỉ từ một email hoặc tài khoản bị lộ, hacker có thể:

  • Truy cập vào các nền tảng xã hội và ứng dụng khác
  • Nắm được thông tin ngân hàng và địa chỉ
  • Đánh cắp mã xác minh (OTP) thông qua email lừa đảo
  • Sử dụng thông tin để thực hiện các hành động lừa đảo tiếp theo

Quy trình "lỗ hổng – rò rỉ – dò kho" này đã khiến hàng tỷ tài khoản và mật khẩu lưu thông trong thế giới ngầm. Những dữ liệu này có thể được bán, chia sẻ hoặc sử dụng trực tiếp để thực hiện các vụ lừa đảo.

Khi thông tin đã rơi vào tay kẻ xấu

Khi một người lừa đảo có đầy đủ thông tin về nạn nhân – tên, số thẻ, mật khẩu, số chứng minh thư, địa chỉ và số điện thoại – việc chiếm đoạt tài sản gần như không gặp trở ngại nào. Họ có thể:

  • Giả danh nhân viên ngân hàng để gọi điện yêu cầu xác nhận
  • Sử dụng email hoặc tin nhắn để lừa người dùng nhập mã xác minh
  • Truy cập trực tiếp vào tài khoản ngân hàng nếu biết mật khẩu
  • Chuyển tiền hoặc thực hiện các giao dịch trái phép

Trong một số trường hợp nghiêm trọng, chỉ cần cài đặt một ứng dụng độc hại được gửi bởi hacker, toàn bộ cuộc gọi, tin nhắn và thông tin trong điện thoại có thể bị theo dõi. Điều này hoàn toàn khả thi về mặt kỹ thuật.

Mức độ cao nhất của tấn công không phải là phá hệ thống, mà là thao túng con người. Khi hacker chiếm được tài khoản nội bộ của một doanh nghiệp, họ có thể đăng nhập một cách "hợp pháp" và âm thầm lấy dữ liệu mà không hệ thống nào phát hiện được.

Bảo vệ thông tin cá nhân của bạn

Để giảm thiểu rủi ro, người dùng cần nhận thức rõ hơn về các mối đe dọa:

  • Sử dụng mật khẩu độc nhất: Không dùng chung mật khẩu cho nhiều dịch vụ. Nếu một tài khoản bị xâm phạm, những tài khoản khác vẫn an toàn
  • Cập nhật phần mềm thường xuyên: Các bản cập nhật thường chứa những bản vá bảo mật quan trọng
  • Cẩn thận với email và tin nhắn lạ: Đừng click vào liên kết hoặc tải tệp từ những nguồn không xác định
  • Kích hoạt xác minh hai yếu tố: Thêm lớp bảo vệ thứ hai cho các tài khoản quan trọng
  • Giám sát hoạt động tài khoản: Kiểm tra thường xuyên các giao dịch và hoạt động đăng nhập

Lời khuyên từ Trang Trắng: Hiểu rõ cách thức hoạt động của tội phạm mạng giúp bạn bảo vệ bản thân tốt hơn. Nếu bạn nhận được cuộc gọi hoặc tin nhắn lạ từ những người tự xưng là nhân viên ngân hàng, hãy chủ động liên hệ trực tiếp với ngân hàng qua số điện thoại chính thức để xác minh. Không bao giờ chia sẻ mã xác minh OTP hoặc mật khẩu với bất kỳ ai, kể cả những người tự xưng là nhân viên hỗ trợ. Trang Trắng luôn sẵn sàng giúp bạn tra cứu thông tin và xác định những cuộc gọi, tin nhắn có phải từ người lạ có mục đích lừa đảo hay không. Đăng ký dịch vụ cảnh báo của Trang Trắng để được thông báo sớm nếu số điện thoại hoặc thông tin cá nhân của bạn xuất hiện trong danh sách của những kẻ lừa đảo.