Đánh cắp mã OTP qua cuộc gọi tự động

Đánh cắp mã OTP qua cuộc gọi tự động

Các cuộc gọi tự động mô phỏng âm báo khẩn cấp kêu gọi người nghe cung cấp mã OTP, khiến nạn nhân dễ rơi vào bẫy.

Các chuyên gia tại công ty bảo mật Kaspersky của Việt Nam đã đưa ra cảnh báo sau khi phát hiện và ngăn chặn hàng nghìn cuộc tấn công trên toàn cầu từ tháng 3 đến tháng 5 sử dụng các trang web giả mạo kết hợp với “bot OTP”.

OTP (Mật khẩu dùng một lần) là hình thức bảo mật phổ biến được sử dụng để xác thực hai yếu tố cho các tài khoản trực tuyến. Mã thường được gửi qua tin nhắn văn bản, email hoặc ứng dụng để đảm bảo thông tin chính xác của người dùng và tránh bị đánh cắp tài khoản ngay cả khi tên người dùng và mật khẩu bị xâm phạm. Tuy nhiên, với các dạng bot OTP mới, người dùng có thể vô tình cung cấp mã cho những kẻ lừa đảo thông qua các cuộc gọi giả mạo hoặc mạo danh, dẫn đến tài khoản của họ bị hack.





Giao diện nhập mã OTP trên ứng dụng ngân hàng.  Ảnh: Lưu Quý

Giao diện nhập mã OTP trên ứng dụng ngân hàng. hình ảnh: Lữ Quế

Các chuyên gia cho biết những kẻ lừa đảo thường ưu tiên các cuộc gọi thoại hơn tin nhắn văn bản vì nạn nhân có xu hướng phản hồi nhanh hơn. Do đó, bot tự động gọi điện cho nạn nhân, giả làm nhân viên của một tổ chức đáng tin cậy và sử dụng kịch bản hội thoại được lập trình sẵn để thuyết phục nạn nhân nói mã OTP.

Tình huống nạn nhân phổ biến và dễ xảy ra nhất là khi bot giả vờ là một tổ chức tài chính và gọi điện để thông báo cho người dùng rằng ai đó đang cố truy cập vào tài khoản ngân hàng của họ để đánh cắp tiền. Vì vậy, người dùng cần cung cấp ngay mã OTP để các tổ chức có thể nhanh chóng can thiệp và có biện pháp phòng ngừa kịp thời. Chuyên gia cho biết: “Bot mô phỏng giọng nói của con người và tính khẩn cấp của cuộc gọi để tạo cảm giác tin cậy và thuyết phục”.





Cách thức hoạt động của bot OTP.  Ảnh: Arkoselabs

Cách thức hoạt động của bot OTP. hình ảnh: Phòng thí nghiệm Akose

Một trong những lý do khiến số lượng bot OTP gia tăng là vì chúng được cung cấp dưới dạng dịch vụ và có thể dễ dàng mua bán trên thị trường chợ đen của tin tặc. Theo nghiên cứu của Kaspersky về các bot do nền tảng Telegram cung cấp, chúng đi kèm với một số gói đăng ký với các tính năng khác nhau. Một số gói này cho phép những kẻ lừa đảo tùy chỉnh khả năng của bot để mạo danh một tổ chức, nói nhiều ngôn ngữ và chọn giọng điệu nam hoặc nữ. Ngoài ra, các tùy chọn nâng cao bao gồm giả mạo số điện thoại để lừa nạn nhân tin rằng cuộc gọi đến từ một tổ chức có uy tín.

Sau khi có OTP, chúng có thể dễ dàng truy cập vào tài khoản của nạn nhân và lấy cắp thông tin, tiền bạc, lừa đảo hoặc trao đổi thông tin để chiếm đoạt tài khoản.

Chuyên gia bảo mật của Kaspersky, Olga Svistunova nhận xét: “Các cuộc tấn công ảo được coi là một phương thức lừa đảo cực kỳ tinh vi, đặc biệt với sự xuất hiện của các bot OTP, có thể mô phỏng hợp pháp cuộc gọi từ đại diện dịch vụ”.

Trước khi đánh cắp mã OTP, kẻ gian cần vượt qua lớp đăng nhập đầu tiên là tên người dùng và mật khẩu. Để làm điều này, chúng thường tạo các trang web lừa đảo được thiết kế giống với các trang đăng nhập hợp pháp của ngân hàng, dịch vụ email hoặc các tài khoản trực tuyến khác để lừa nạn nhân nhập thông tin. Ngoài ra, dữ liệu này có thể được mua trên thị trường chợ đen hoặc bị đánh cắp thông qua các lỗ hổng hệ thống.

Hệ thống của Trung tâm Giám sát An ninh mạng Quốc gia NCSC đã ghi nhận 124.775 URL giả mạo của các cơ quan, tổ chức. Theo thống kê của Kaspersky từ ngày 1 tháng 3 đến ngày 31 tháng 5, các công cụ của công ty này trên toàn cầu đã chặn 653.088 lượt truy cập vào các trang web được tạo bởi các tổ chức nhắm mục tiêu vào bộ công cụ lừa đảo và 4.721 lần cố gắng vượt qua bộ công cụ xác thực Double Factor thời gian thực được tạo cho các trang web lừa đảo.

Các chuyên gia khuyên người dùng không nên cung cấp mã OTP qua điện thoại, dù người gọi có thuyết phục đến đâu, vì các ngân hàng, tổ chức uy tín không bao giờ yêu cầu người dùng đọc hay nhập mã OTP trong khi gọi để xác minh danh tính.

Ngoài ra, người dùng nên tránh nhấp vào liên kết trong các tin nhắn và email đáng ngờ. Nếu bạn cần đăng nhập vào tài khoản của mình, hãy đảm bảo bạn nhập chính xác hoặc truy cập tài khoản đó thông qua dấu trang đã lưu. Ngoài ra, bạn có thể sử dụng công cụ kiểm tra tên miền. Kaspersky cho biết nếu trang web này được đăng ký gần đây thì có khả năng đó là một trang lừa đảo.

Lữ Quế