Nghe mà tức á, giờ bọn lừa đảo nó pro lắm rồi! Không phải nhà mạng đâu, mà là những thiết bị phát sóng giả mạo đang gửi tin nhắn "rác" tới điện thoại mình đó.
Theo Cục An toàn thông tin (Bộ Thông tin và Truyền thông) xác minh, bọn scammer đang xài hai món đồ chơi siêu nguy hiểm: IMSI Catcher và SMS Broadcaster. Hai thứ này gửi tin nhắn spam tới điện thoại mình mà không cần qua mạng di động luôn á!
Đáng sợ nhất là tin nhắn lừa đảo lại hiện chung luồng với tin nhắn thật của ngân hàng, nhưng link thì dẫn đến trang web lừa đảo. Vậy là dính bẫy ngay!
**Giải mã chiêu trò của bọn hacker**
IMSI Catcher là một loại trạm phát sóng giả, lợi dụng luôn cơ chế của hệ thống GSM. Các chuyên gia giải thích rằng điện thoại mình lúc nào cũng tự tìm trạm phát sóng nào mạnh nhất để kết nối. Khi kết nối với trạm thì điện thoại phải "khoe" mã định danh di động (IMSI) để xác thực, nhưng trạm đó thì... không cần xác thực lại.
Vậy là bọn xấu lợi dụng lỗ hổng này, dựng một trạm phát giả với tín hiệu siêu mạnh để lừa điện thoại kết nối vào. Xong xuôi rồi thì dùng SMS Broadcaster bắn tin nhắn spam đến hàng loạt điện thoại luôn.
Nhiều thiết bị SMS Broadcaster còn xịn xò có các tính năng như gửi theo brandname (tên thương hiệu), gửi số lượng cực khủng lên tới hàng chục nghìn tin nhắn mỗi giờ. Các hệ thống này được quảng cáo là có thể tiếp cận điện thoại trong bán kính 5km, hoặc thậm chí còn đặt luôn trong ô tô đi lung tung. Ghê chưa!
**Giá "đồ chơi" của hacker: Đắt đỏ nhưng lợi nhuận... khủng hơn**
Các thiết bị kiểu IMSI Catcher, SMS Broadcaster được rao bán rất nhiều trên Internet đấy. Một hệ thống IMSI Catcher 3G, có khả năng tấn công mục tiêu theo số IMEI, giá tầm 50 nghìn USD (tức khoảng 1,1 tỷ đồng) . Còn một thiết bị SMS Broadcaster hoạt động trong bán kính 2km thì giá khoảng 7,5 nghìn USD (170 triệu đồng).
Theo Cục An toàn thông tin thì những thiết bị phát sóng giả mạo này có nguồn gốc từ nước ngoài, được mua bán và sử dụng trái phép tại Việt Nam. Target chính là người dùng di động ở các đô thị lớn - nơi đông người, dễ kiếm "mồi" hơn.
**Chiêu thức ngày càng tinh vi**
Lừa đảo mạo danh ngân hàng vốn đã có từ lâu rồi, nhưng giờ nó càng ngày càng "lên level". Điểm mới trong thời gian gần đây là tin nhắn lừa đảo xuất hiện chung luồng với SMS thật của ngân hàng. Mình không có cách nào kiểm tra tin nhắn từ số nào gửi tới nên dễ tin lắm, rồi làm theo là bay màu tài khoản thôi.
Các chuyên gia cảnh báo có mấy kịch bản dẫn đến tình trạng này:
- Bọn scammer sử dụng dịch vụ từ nước ngoài, giả mạo "brandname" và lợi dụng cơ chế nhóm các brandname giống nhau thành một của smartphone
- Hacker khai thác được lỗ hổng trong các dịch vụ cung cấp tin nhắn "brandname" và chèn nội dung lừa đảo vào
- Hoặc đơn giản là điện thoại của nạn nhân bị cài mã độc rồi
**Cách tự bảo vệ bản thân** ️
Trước nguy cơ này, các chuyên gia khuyên mình:
- Đừng bấm vào những link lạ lạ, bất thường
- Kiểm tra kỹ trang web trước khi điền mật khẩu (nhìn URL cho kỹ nha!)
- Thiết lập bảo mật OTP cho các tài khoản
- Nên cài phần mềm bảo mật để bảo vệ máy tính và điện thoại
Các ngân hàng gần đây cũng đã đưa ra cảnh báo rồi, nhắc mình tuyệt đối KHÔNG cung cấp Tên đăng nhập/Mật khẩu đăng nhập/Mã xác thực OTP của dịch vụ Ngân hàng điện tử cho bất kỳ ai. Ngân hàng không bao giờ hỏi mấy thông tin này qua tin nhắn hay điện thoại đâu nha!
Ngoài ra nên đăng ký nhận thông báo biến động số dư để kịp thời biết tài khoản có gì lạ không, đồng thời ưu tiên sử dụng Smart OTP thay cho SMS OTP cho an toàn hơn.
Mới đây, công ty bảo mật CyRadar cũng phát hiện hai "ổ" tấn công lừa đảo trực tuyến, chuyên tạo ra các website mạo danh để dụ lấy thông tin thẻ ngân hàng của người dùng. Bọn này đăng ký tên miền và tạo ra các website lừa đảo mạo danh khoảng 27 ngân hàng và các ví điện tử ở Việt Nam luôn đó!
Nguồn: tinhte.vn