Vì sao tài khoản vẫn âm thầm bị lừa đảo hack cả trăm triệu đồng dù đã có xác thực sinh trắc học?

Theo China News, các đối tượng lừa đảo không cần phải tìm cách phá vỡ hệ thống bảo mật của ngân hàng. Thay vào đó, chúng sử dụng những thủ đoạn tinh vi để qua mặt người dùng ngay trong chính chiếc điện thoại của họ. Một trong những phương thức lừa đảo phổ biến hiện nay là cài đặt ứng dụng giả mạo độc hại, có khả năng che đè lên các ứng dụng thật mà người dùng đang sử dụng, đặc biệt là ứng dụng ngân hàng.

Một vụ lừa đảo đáng chú ý xảy ra tại Trung Quốc vào năm 2022, khi bà Lý sống Bắc Kinh, trở thành nạn nhân của một cuộc tấn công mạng cực kỳ tinh vi. Mặc dù bà đã rất cảnh giác với những trò lừa đảo, bà vẫn bị mất gần 43.000 NDT (khoảng 150 triệu đồng) trong tài khoản.

Thủ đoạn lừa đảo của kẻ gian rất đơn giản nhưng vô cùng hiệu quả. Đầu tiên, chúng chiếm quyền kiểm soát điện thoại của bà Lý thông qua một ứng dụng giả mạo được cài đặt trước đó. Ứng dụng này có thể ngụy trang dưới dạng một ứng dụng ngân hàng, ứng dụng cơ quan nhà nước, hoặc dịch vụ thanh toán trực tuyến.

Khi bà Lý mở ứng dụng ngân hàng để thực hiện các giao dịch, kẻ gian sử dụng mã độc để tạo một lớp giao diện giả lên màn hình, khiến bà không nhận ra rằng mình đang thực hiện giao dịch trên một ứng dụng giả mạo.

Khi bà Lý tiến hành xác thực giao dịch, ứng dụng giả yêu cầu bà thực hiện các thao tác như quay mặt trái, quay phải, ngẩng lên, cúi xuống, hoặc đưa mặt gần xa – những thao tác thường xuất hiện trong quy trình xác thực khuôn mặt. Tuy nhiên, thực chất, đây là bước xác thực cho giao dịch chuyển tiền, và tất cả các thông tin này đều được gửi về cho kẻ gian để chúng có thể tiếp cận tài khoản ngân hàng của bà.

Sau khi giao dịch được hoàn tất, tiền trong tài khoản của bà Lý đã bị chuyển đi mà không để lại dấu vết. Bà chỉ phát hiện ra khi kiểm tra lại tài khoản và nhận thấy số tiền khổng lồ đã biến mất. Dù bà đã yêu cầu ngân hàng điều tra, nhưng sự thật là tất cả các giao dịch đều được thực hiện hợp lệ, qua bước xác thực sinh trắc học mà bà không hề hay biết.

Mặc dù nhiều người lầm tưởng rằng lỗi bảo mật đến từ phía ngân hàng, thực tế lại không phải vậy. Ngân hàng có thể đã thực hiện đúng quy trình bảo mật của mình, bao gồm việc yêu cầu xác thực sinh trắc học khi giao dịch, nhưng vấn đề chính nằm ở người dùng – những người đã bị thao túng và lừa dối qua ứng dụng giả mạo.

Trong trường hợp của bà Lý, giao dịch đã được thực hiện hợp lệ với việc xác thực khuôn mặt của chính bà. Do đó, trong các vụ việc như thế này, vấn đề là do người dùng thiếu cảnh giác và không nhận thức được các nguy cơ tiềm ẩn từ các ứng dụng giả mạo.

Làm sao để tránh rơi vào bẫy?

Bằng việc hiểu rõ các phương thức lừa đảo và có các biện pháp phòng tránh, người dùng có thể giảm thiểu nguy cơ bị tấn công. Sau đây là một số lưu ý quan trọng:

Tuyệt đối không cài đặt ứng dụng từ nguồn không chính thống: Chỉ tải ứng dụng từ các cửa hàng ứng dụng chính thức như App Store hoặc Google Play.

Kiểm tra kỹ các ứng dụng đã cài đặt: Nếu phát hiện có ứng dụng nào lạ hoặc nghi ngờ, ngay lập tức gỡ bỏ và quét lại điện thoại bằng phần mềm diệt virus.

Không chia sẻ thông tin cá nhân: Tuyệt đối không cung cấp thông tin nhạy cảm như mã OTP, thông tin tài khoản ngân hàng qua các cuộc gọi hoặc tin nhắn từ những người không rõ nguồn gốc.

Thận trọng với các yêu cầu quét khuôn mặt: Nếu nhận được yêu cầu quét khuôn mặt trong một ứng dụng không quen thuộc, hãy kiểm tra lại tính hợp lệ của yêu cầu này và đảm bảo rằng ứng dụng bạn đang sử dụng là chính thống.

Sử dụng phần mềm bảo mật: Hãy cài đặt phần mềm bảo mật uy tín để quét các mã độc và các ứng dụng độc hại có thể xâm nhập vào thiết bị.