Trong những ngày bão lũ vừa qua, lợi dụng tinh thần tương thân tương ái của người dân Việt Nam, nhiều kẻ xấu đua nhau lập các trang web, fanpage mạo danh các tổ chức, cơ quan nhà nước nhằm phát tán tin giả, giăng bẫy lừa đảo, trục lợi từ lòng tốt của người dân.
Tình trạng giả mạo các app (ứng dụng), website của các ngân hàng, tổ chức, cơ quan nhà nước nhằm mục đích lừa đảo ngày càng tràn lan. Trang web này vừa bị dập, lập tức xuất hiện thêm nhiều trang khác...
Theo Trung tâm Giám sát an toàn không gian mạng quốc gia, đến nay đã ghi nhận 125.226 địa chỉ website giả mạo cơ quan, tổ chức tại Việt Nam.
App giả, web lừa bủa vây người dùng
Trong khi theo dõi các thông tin cập nhật về tình hình bão lũ cũng như đời sống người dân ở các tỉnh phía Bắc, chị H. (TP Thủ Đức, TP.HCM) thấy có trang fanpage kêu gọi quyên góp hỗ trợ cho người dân bị ảnh hưởng.
"Trang fanpage dùng hình ảnh chính thức của hội chữ thập đỏ và có ghi thông tin là trang chính thức của hội cũng như công bố con số hơn 1 triệu người theo dõi, kèm theo những hình ảnh thương tâm của đồng bào trong bão lũ nên tôi không mảy may suy nghĩ nhiều", chị H. kể lại.
Tuy nhiên, sau khi chuyển số tiền 30 triệu đồng vào số tài khoản nhận là cá nhân, chị H. bắt đầu cảm thấy "ngờ ngợ" và sau đó mới té ngửa khi phát hiện mình sập bẫy kẻ lừa đảo.
Tại cuộc họp giao ban mới đây, đại diện Bộ TT&TT cũng cảnh báo về một số trang cá nhân/fanpage trên mạng xã hội mạo nhận là nạn nhân/người dân bị ảnh hưởng và Facebook giả mạo Hội Chữ thập đỏ để lừa đảo bằng cách kêu gọi quyên góp, ủng hộ người dân bị ảnh hưởng bởi bão Yagi.
Phản ảnh đến Tuổi Trẻ, một bạn đọc cho biết tình cờ thấy chương trình thể thao pickleball trên mạng nên đã đăng ký cho con học. Sau khi vào nhóm, bạn đọc này được hướng dẫn phải đóng tiền cho một số "nhiệm vụ" nhằm tạo tương tác, tiền sẽ được hoàn trong 15 phút.
Sau khi được hoàn tiền, bạn đọc an tâm nên thực hiện một số "nhiệm vụ" khác cho đến khi số tiền lên tới 44 triệu đồng. Do thấy số tiền của "nhiệm vụ" tiếp theo quá lớn, bạn đọc này không tham gia nữa mà yêu cầu được hoàn tiền.
Tuy nhiên, chị được yêu cầu tiếp tục nộp tiền để hoàn tất "nhiệm vụ cuối cùng" mới được hoàn lại tiền, nếu không sẽ mất số tiền đã đóng. "Giờ không biết phải làm sao để lấy lại số tiền đã đóng, nhóm hướng dẫn cứ khuyên nên kiếm đủ tiền để hoàn tất nhiệm vụ, đi vay cũng được...", bạn đọc này nói.
Một bạn đọc khác tên Th. thông tin có tổ chức hướng dẫn bạn đọc này cài app vào điện thoại để điểm danh nhận... lì xì, sau đó chiêu dụ nộp tiền nuôi bò kỹ thuật số với lãi suất cao. Thậm chí nhóm lừa đảo này quảng cáo có trang trại nuôi bò ở Úc, với tên gọi na ná tên của một doanh nghiệp lớn của Úc nhằm lôi kéo thêm nạn nhân
Theo Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC) thuộc Bộ TT&TT, trong tháng 8 đã phát hiện 55 website giả mạo thương hiệu với mục đích lừa đảo được phát tán trên mạng. Trong đó chủ yếu là mạo danh các ngân hàng, sàn thương mại điện tử, bảo hiểm, cơ quan nhà nước.
Có thể kể ra một số thương hiệu bị mạo danh website nhiều nhất như: Bảo hiểm xã hội Việt Nam, Bộ Công an, Công ty cổ phần Giao hàng tiết kiệm, Điện máy xanh, Kho bạc Nhà nước, sàn thương mại điện tử Lazada, Shopee, Tiki, Sendo...
Làm app giả, web giả chỉ mất... 3 phút
Theo ông Đặng Hữu Sơn - đồng sáng lập LovinBot AI, phó chủ tịch Liên minh phát triển nguồn nhân lực số Việt Nam, sự phát triển chóng mặt của trí tuệ nhân tạo (AI) trong việc hỗ trợ lập trình đã giúp tội phạm mạng không còn phải mất hàng tháng trời để lập trình, xây dựng web giả mạo tổ chức ngân hàng hay tổ chức tài chính nhằm đánh lừa người dùng.
Thời gian để phát triển các app hoặc website bằng công nghệ no-code (không lập trình) hoặc AI code (dùng AI lập trình) thường được rút ngắn đáng kể so với cách lập trình truyền thống. Bởi các nền tảng no-code có thể giảm thời gian phát triển lên đến 90% so với việc phải tự viết mã từ đầu.
"Chỉ với một vài thao tác đơn giản, tội phạm mạng sử dụng các nền tảng no-code hoặc AI có thể chỉ mất 3 phút để có một giao diện ngân hàng và rất dễ tùy chỉnh theo ý muốn chỉ từ những câu lệnh. Người làm không cần biết kỹ năng lập trình cao siêu", ông Sơn chia sẻ.
Thậm chí với sự hỗ trợ của AI, tội phạm mạng chỉ mất chưa đầy 1 giờ để có thể tạo ra các giao diện giống 100% với tính năng trang đăng nhập tài khoản của các ngân hàng, thậm chí tên miền cũng có sự tương đồng dù chỉ khác biệt nhỏ như dấu trừ, dấu chấm hay dùng tên miền phụ.
"Các hình ảnh, nội dung... có thể sao chép từ chính thương hiệu cần giả mạo. Sau đó kẻ xấu sẽ chèn thêm các mã độc để khai thác thông tin, chiếm đoạt tài khoản, thiết bị. Việc tạo ra một web, một app mạo danh có thể chỉ tính bằng đơn vị phút" - ông Vũ Ngọc Sơn, giám đốc công nghệ Công ty an ninh mạng NCS, "bật mí".
Cũng theo ông Sơn, app giả, web giả chứa các hình ảnh, thậm chí tên miền gần giống với thương hiệu chính chủ nên có thể gây nhầm lẫn cho người dùng. Từ đó kẻ xấu dễ dàng lừa nạn nhân nhập tài khoản, mật khẩu để chiếm đoạt tài khoản hoặc chiếm quyền điều khiển thiết bị.
"Sau khi có tài khoản hoặc chiếm được quyền điều khiển thiết bị, những kẻ lừa đảo sẽ sử dụng tài khoản, thiết bị để tiếp tục đánh cắp các thông tin nhạy cảm khác, chuyển tiền hoặc dùng để tiếp tục lừa các nạn nhân khác như bạn bè, người thân của nạn nhân", ông Sơn cảnh báo.
Có thể ngăn chặn nhưng không xuể
Theo các chuyên gia bảo mật, sau khi phát triển xong các app, website giả mạo, tội phạm mạng sẽ bắt đầu gắn chúng vào các đường dẫn trên mạng như web, diễn đàn, hội nhóm chat, fanpage... để dụ người dùng truy cập.
Với các app giả mạo, tội phạm mạng sẽ phát tán chủ yếu qua các dẫn dụ người dùng tải về cài đặt trực tiếp. Thực tế cũng có một số trường hợp app giả mạo được đưa lên các kho ứng dụng chính thống như Google Play (dành cho smartphone chạy hệ điều hành Android) nhưng sẽ nhanh chóng bị Google phát hiện và gỡ bỏ khỏi hệ thống.
Do đó tội phạm mạng chủ yếu phát tán app giả mạo qua các kho ứng dụng không chính thống hoặc đường dẫn cài đặt trực tiếp lên thiết bị người dùng. Theo ông Trần Viết Quân - nhà sáng lập kiêm chủ tịch ứng dụng chuyển đổi số Tanca.io, đối với website, tội phạm mạng dễ dàng xây dựng và cung cấp đến nạn nhân đường dẫn truy cập.
"Còn đối với app, cần phê duyệt từ chợ ứng dụng của nhà cung cấp như Apple hay Google. Ngoài ra Google có thể cho phép người dùng cài đặt ứng dụng không thông qua chợ ứng dụng chính thống cũng tạo kẽ hở cho việc gọi điện lừa đảo hướng dẫn cài app", ông Quân cho biết.
Ngoài ra theo ông, một kỹ sư lập trình, tội phạm mạng còn đầu tư mua sẵn hàng loạt tên miền (gần giống với web cần mạo danh) và áp dụng cơ chế "bật, tắt". Khi tên miền này bị chặn, tên miền khác được bật lên thay thế ngay lập tức. Thậm chí hàng loạt tên miền được bật cùng lúc để bủa vây người dùng.
"Với app mạo danh, kẻ xấu không đưa trực tiếp lên các kho ứng dụng chính thống mà lừa người dùng trực tiếp cài vào máy nên rất khó phát hiện và ngăn chặn", ông chia sẻ.
Theo ông Vũ Ngọc Sơn, công nghệ hiện nay có thể cho phép thực hiện việc dò quét các trang, app giả mạo nhưng chi phí sẽ cao vì số lượng tên miền rất lớn. Do đó cách làm tối ưu nhất vẫn là "người dùng báo cáo cho các cơ quan quản lý nhà nước như Cục An toàn thông tin (Bộ TT&TT), Cục An ninh mạng và phòng chống tội phạm sử dụng công nghệ cao, Bộ Công an.
"Các cơ quan chức năng sẽ tập hợp các trang web lừa đảo để phối hợp với các bên quản lý trực tiếp về hạ tầng, tên miền để xử lý", ông Sơn nói.