Chiêu đánh cắp mã OTP bằng cuộc gọi tự động

Cuộc gọi tự động bằng bot mô phỏng giọng khẩn trương, thúc giục người nghe cung cấp mã OTP, khiến nạn nhân dễ sập bẫy.

Các chuyên gia tại hãng bảo mật Kaspersky tại Việt Nam đưa ra cảnh báo sau khi phát hiện và ngăn chặn hàng nghìn cuộc tấn công bằng trang web giả mạo kết hợp "bot OTP" trong giai đoạn tháng 3-5 trên khắp thế giới.

OTP (mật khẩu dùng một lần) là hình thức bảo mật phổ biến, dùng trong xác thực hai yếu tố cho các tài khoản online. Mã này thường được gửi qua tin nhắn văn bản, email hoặc ứng dụng, nhằm đảm bảo đúng người dùng, tránh việc bị đánh cắp tài khoản ngay cả khi đã lộ tên đăng nhập và mật khẩu. Tuy nhiên, với hình thức bot OTP mới, người dùng có thể vô tình cung cấp mã cho kẻ gian qua các cuộc gọi lừa đảo, mạo danh, từ đó bị xâm nhập tài khoản.

Giao diện nhập mã OTP trên một ứng dụng ngân hàng. Ảnh: Lưu Quý
Giao diện nhập mã OTP trên một ứng dụng ngân hàng. Ảnh: Lưu Quý

Theo các chuyên gia, nhóm lừa đảo thường ưu tiên sử dụng cuộc gọi thoại hơn là tin nhắn, vì nạn nhân có xu hướng phản hồi nhanh hơn. Theo đó, bot tự động gọi đến nạn nhân, mạo danh nhân viên một tổ chức đáng tin cậy, sử dụng kịch bản hội thoại được lập trình sẵn để thuyết phục nạn nhân nói mã OTP.

Kịch bản phổ biến và khiến nạn nhân dễ sập bẫy nhất là bot đóng vai tổ chức tài chính gọi điện thông báo tới người dùng rằng ai đó đang cố truy cập vào tài khoản ngân hàng của họ để đánh cắp tiền. Do đó, người dùng cần lập tức đưa mã OTP để tổ chức có thể sớm can thiệp và thực hiện biện pháp ngăn chặn kịp thời. "Bot mô phỏng giọng điệu và sự khẩn trương của con người trong cuộc gọi nhằm tạo cảm giác đáng tin cậy và tính thuyết phục", chuyên gia cho biết.

Cách thức hoạt động của bot OTP. Ảnh: Arkoselabs
Cách thức hoạt động của bot OTP. Ảnh: Arkoselabs

Một trong những lý do dẫn đến việc gia tăng bot OTP là chúng được cung cấp dưới dạng dịch vụ, có thể mua bán dễ dàng trên chợ đen của tin tặc. Theo nghiên cứu của Kaspersky trên một bot cung cấp qua nền tảng Telegram, chúng đi kèm nhiều gói đăng ký với tính năng khác nhau. Trong đó, có những gói cho phép kẻ gian tùy chỉnh tính năng của bot để mạo danh tổ chức, sử dụng đa ngôn ngữ, chọn tông giọng nam hoặc nữ. Ngoài ra, các tùy chọn nâng cao còn bao gồm giả mạo số điện thoại nhằm đánh lừa nạn nhân tin đó là cuộc gọi từ một tổ chức uy tín.

Khi đã có OTP, chúng dễ dàng truy cập vào tài khoản của nạn nhân và thực hiện hành vi lấy thông tin, tiền, gian lận, hoặc đổi thông tin để chiếm tài khoản.

"Tấn công phi kỹ thuật được xem là phương thức lừa đảo cực kỳ tinh vi, đặc biệt với sự xuất hiện của bot OTP với khả năng mô phỏng một cách hợp pháp cuộc gọi từ đại diện của các dịch vụ", Olga Svistunova, chuyên gia bảo mật của Kaspersky, nhận định.

Trước khi thực hiện đánh cắp mã OTP, kẻ gian cần vượt qua lớp đăng nhập đầu tiên là tên và mật khẩu. Để làm được điều này, chúng thường tạo các trang web lừa đảo được thiết kế giống với các trang đăng nhập hợp pháp của ngân hàng, dịch vụ email hoặc tài khoản trực tuyến khác để lừa nạn nhân nhập thông tin. Ngoài ra, dữ liệu này còn có thể mua được từ chợ đen hoặc đánh cắp thông qua lỗ hổng của hệ thống.

Hệ thống của Trung tâm Giám sát an toàn không gian mạng quốc gia NCSC đã ghi nhận 124.775 địa chỉ website giả mạo cơ quan, tổ chức. Trên thế giới, theo thống kê của Kaspersky từ ngày 1/3 đến 31/5, công cụ của công ty này đã ngăn chặn 653.088 lượt truy cập vào các trang web được tạo bởi bộ công cụ phishing nhắm vào các tổ chức, 4.721 trang web phishing do các bộ công cụ tạo ra nhằm mục đích vượt qua xác thực hai yếu tố theo thời gian thực.

Các chuyên gia khuyến nghị người dùng không cung cấp mã OTP qua điện thoại, bất kể người gọi có thuyết phục đến mức nào, bởi ngân hàng và tổ chức uy tín không bao giờ yêu cầu người dùng đọc hoặc nhập mã OTP thông qua cuộc gọi để xác minh danh tính.

Ngoài ra, người dùng cũng tránh nhấp vào liên kết trong tin nhắn, email đáng ngờ. Nếu cần đăng nhập tài khoản, cần đảm bảo nhập chính xác hoặc truy cập qua các dấu trang đã lưu (bookmark). Ngoài ra, có thể sử dụng công cụ kiểm tra tên miền. Nếu website mới được đăng ký gần đây, khả năng cao đây là trang web lừa đảo, theo Kaspersky.

vnexpress.net

Đọc thêm

"Người ảo" - xu hướng mới sau AI?

"Người ảo" - xu hướng mới sau AI?

DJ Dex là một nữ DJ đặc biệt, tuy cô tham gia biểu diễn tại rất nhiều show âm nhạc vòng quanh thế giới, diện nhiều bộ trang phục mới và chia sẻ về sở thích của mình trên các nền tảng mạng xã hội nhưng cô không có thật.
Trải nghiệm nhẫn thông minh Galaxy Ring

Trải nghiệm nhẫn thông minh Galaxy Ring

Galaxy Ring của Samsung được đánh giá có phần cứng hoàn thiện nhưng tính năng hạn chế, cần mở rộng hệ sinh thái để thành sản phẩm tiên phong.
Làm thế nào để hạn chế rủi ro khi sử dụng Wi-Fi công cộng?

Làm thế nào để hạn chế rủi ro khi sử dụng Wi-Fi công cộng?

Với nhu cầu kết nối mạng mọi lúc mọi nơi, người dùng công nghệ có thói quen sử dụng Wi-Fi công cộng tại quán cà phê, sân bay hoặc xuyên suốt kỳ nghỉ lễ và chuyến đi công tác. Tuy nhiên, đi cùng với tiện ích thường có những rủi ro, vì đôi lúc, những kẻ lừa đảo sẽ tạo mạng Wi-Fi giả hoặc xâm phạm các mạng lưới hiện có.
Tin vui với người dùng iPhone sợ 'chai pin'

Tin vui với người dùng iPhone sợ 'chai pin'

Viên pin của iPhone 16 Pro Max sẽ được tăng mật độ năng lượng để không chỉ tăng hiệu suất cho mỗi lần sạc mà còn giúp người dùng và thợ thay thế dễ dàng hơn.
Cuộc chiến smartphone mới sắp bắt đầu

Cuộc chiến smartphone mới sắp bắt đầu

Cả Apple, Samsung và Google đều đang tận dụng AI để thổi luồng sinh khí mới vào các thiết bị di động của họ. Điều này sẽ giúp mở ra kỷ nguyên mới cho lĩnh vực smartphone.
Cách tăng tín hiệu smartphone khi sóng kém

Cách tăng tín hiệu smartphone khi sóng kém

Nếu sóng điện thoại chập chờn, yếu hoặc kết nối không liền mạch, người dùng có thể thực hiện một số cách để cải thiện, như tắt bật chế độ máy bay.
iPhone 16 Pro Max sẽ lớn hơn

iPhone 16 Pro Max sẽ lớn hơn

Dù viền màn hình mỏng, nâng cấp về pin và camera có thể khiến iPhone 16 Pro Max tăng kích thước so với thế hệ trước.