Cướp sim để đoạt tiền, phương thức mới của tội phạm

ANTĐ - Lần đầu tiên tại Việt Nam xảy ra sự việc mạo danh để cướp sim điện thoại của khách hàng rồi xâm nhập tài khoản ngân hàng để thanh toán trực tuyến với mục đích chiếm đoạt tài sản. Đây là phương thức phạm tội mới song kẻ gian lại sử dụng những thủ đoạn cũ và lợi dụng những kẽ hở của ngân hàng cũng như nhà mạng để có thể chiếm đoạt tiền một cách dễ dàng.

Ảnh minh họa. Nguồn: Internet

“Mượn sim” để đoạt tiền

Liên tiếp trong thời gian đầu tháng 7, đã xảy ra 2 trường hợp, các chủ thuê bao bỗng dưng bị khóa số điện thoại rồi sau đó bị người khác mạo danh cướp sim điện thoại đang sử dụng rồi xâm nhập tài khoản ngân hàng thực hiện các thanh toán online, khiến cho khổ chủ bị mất hàng chục triệu đồng trong một thời gian ngắn. Đầu tiên là trường hợp của anh Đặng Thanh Hải (TP.HCM) chủ nhân số thuê bao trực thuộc tổng đài Viettel. Anh Hải sau khi phát hiện sim trên máy điện thoại của mình bị khóa và không thể sử dụng được đã liên hệ với tổng đài và được biết, có người đã thông báo mất sim và xin cấp lại số thuê bao mà anh đang sử dụng. Đây cũng là số điện thoại được anh Hải đăng ký để sử dụng các giao dịch Internet Banking (Ngân hàng trực tuyến). Kiểm tra tài khoản qua ATM anh Hải phát hiện mình đã bị mất cắp 30 triệu đồng.

Tương tự như vậy là trường hợp của anh Vũ Minh Nhật (Thanh Xuân - Hà Nội) một chủ thuê bao của tổng đài Mobiphone cũng bị người khác mạo danh cướp sim đang sử dụng rồi xâm nhập tài khoản ngân hàng thực hiện thanh toán online mất 74,8 triệu đồng.

 Hai sự việc trên xảy ra trong một thời gian ngắn với số tiền bị chiếm đoạt tương đối lớn. Hiện nay cơ quan chức năng vẫn đang tiếp tục điều tra để làm rõ thủ phạm, tuy nhiên theo nhận định rất có thể đều do một đối tượng thực hiện. Bởi dù xảy ra ở 2 địa phương khác nhau nhưng giữa 2 sự việc đều có điểm chung giống nhau. Các nạn nhân đều bị chiếm đoạt sim với cùng một cách thức tại khu vực thành phố Thanh Hóa và cả 2 nạn nhân đều sử dụng dịch vụ xác thực OTP của chung một ngân hàng. OTP (One time password - mật khẩu dùng một lần) là mật khẩu được gửi qua số điện thoại di động của khách hàng. Mỗi khi mua hàng trên các các trang web thanh toán trực tuyến, khách hàng chỉ cần nhập các thông tin về ngân hàng, tên chủ thẻ và mã số thẻ. Hệ thống sau đó sẽ tự động gửi mã OTP về số điện thoại tương ứng đã đăng ký dịch vụ Internet Banking. Khách hàng sau khi nhập mã OTP giao dịch sẽ được hoàn tất. Ngoài ra, trong cả 2 trường hợp nói trên, sau khi đã chiếm đoạt được sim điện thoại của nạn nhân, kẻ gian đều ngay lập tức tiến hành mua thẻ điện thoại online. 

Phương thức mới - thủ đoạn cũ

Trao đổi với chúng tôi, một cán bộ của Đội phòng chống tội phạm sử dụng công nghệ cao - Phòng Cảnh sát hình sự Công an Hà Nội cho biết đây là một thủ đoạn mới của bọn tội phạm. Sở dĩ kẻ gian có thể thực hiện được hành vi phạm tội của mình là do đã lợi dụng được sơ hở từ chính cá nhân người sử dụng cũng như những kẽ hở của ngân hàng và các nhà mạng. Về sơ hở của người sử dụng, theo phân tích của cán bộ Đội phòng chống tội phạm sử dụng công nghệ cao có thể họ đã sơ suất để lộ các thông tin cá nhân. Bởi ngoài việc có được số điện thoại thì để chiếm đoạt được tiền kẻ gian còn cần phải có số thẻ (dãy số in trên thẻ) và ngày hiệu lực (hoặc ngày cấp) thẻ sau đó mới có thể nhận mật khẩu OTP qua số điện thoại di động.

Việc bị lộ các thông tin cá nhân này hoàn toàn có thể là do vô tình (thông qua các hoạt động giao dịch trực tuyến hoặc có thể là do bị làm mất thẻ ATM… ) hoặc đã bị các hacker lấy cắp thông tin thẻ. Trong 2 sự việc nói trên, cả anh Hải và anh Nhật đều khẳng định đã giữ kín thông tin cá nhân, như vậy rất có thể các nạn nhân đã bị theo dõi và bị lấy cắp toàn bộ thông tin cá nhân liên quan. Có thể thấy trong 2 vụ nói trên, mấu chốt vấn đề nằm ở chỗ kẻ gian đã nắm được những thông tin cá nhân của nạn nhân như CMTND, số tài khoản ngân hàng, phương thức giao dịch… trước khi tính đến chuyện lấy sim. Và việc kẻ gian dùng giấy tờ giả mạo, lừa các cửa hàng giao dịch của Viettel, Mobifone để cướp số thuê bao chỉ là bước cuối cùng để chúng thực hiện mục đích.

Qua nghiên cứu vụ việc, anh Phan Anh Tuấn một chuyên gia công nghệ thông tin cho biết, cả phía ngân hàng và nhà mạng đều có những kẽ hở để kẻ gian có thể lợi dụng để thực hiện mục đích của mình. Về phía các ngân hàng, hiện tại hầu hết các ngân hàng thương mại cổ phần của Việt Nam đều cung cấp dịch vụ thanh toán trực tuyến cho thẻ ATM. Có 2 hình thức thanh toán song song, thứ nhất là khách hàng được ngân hàng cung cấp user (tên truy cập) và password (mật khẩu) để truy cập và thực hiện các giao dịch. Thứ 2 là sử dụng các cổng thanh toán và thực hiện giao dịch thông qua số thẻ thanh toán, chứng thực bằng OTP về số điện thoại đã đăng ký gắn với tài khoản ngân hàng.

Khác với hình thức thứ nhất, khách hàng muốn giao dịch phải qua nhiều lớp bảo mật mà trước hết phải truy cập bằng tài khoản và mật khẩu cấp riêng tại quầy cho chủ thẻ mới có thể tiến hành các giao dịch tiếp theo. Ở hình thức thanh toán thứ 2 và cũng là hình thức thanh toán mà kẻ gian đã lợi dụng để chiếm đoạt tiền, phía ngân hàng không còn chủ động được như khi khách hàng giao dịch thông qua Internet Banking của ngân hàng. Bởi toàn bộ giao dịch sẽ do website của đơn vị bán hàng kiểm soát. Trong quá trình này đơn vị bán hàng sẽ gửi thông tin của khách hàng về cho ngân hàng phát hành thẻ. Ngân hàng sẽ kiểm tra các thông tin của chủ thẻ, nếu đúng sẽ trả lời cho đơn vị bán hàng, đồng thời gửi một mật khẩu về số điện thoại mà khách hàng đã đăng ký trước đó. Mặc dù một số cổng bán hàng trực tuyến được các ngân hàng lựa chọn rất kỹ đối tác chấp nhận thanh toán, tuy nhiên quy trình thanh toán vẫn còn bị coi là dễ dàng.

Bên cạnh đó, rất có thể xảy ra tình trạng khi khách hàng sử dụng thẻ ATM để thanh toán qua mạng hay thanh toán ở nhà hàng, khách sạn, trung tâm mua sắm… hoàn toàn có thể dẫn đến số thẻ bị lưu ở đâu đó. Ngoài ra, nhiều khách hàng cũng gặp phải trường hợp, ngân hàng hoàn toàn không thông báo cũng như đề cập gì đến việc khách hàng có thể sử dụng thẻ ATM để tiến hành mua bán hàng hóa hay dịch vụ trực tuyến với một bên thứ 3 có kết nối với ngân hàng, vì không hay biết về loại hình dịch vụ này họ phải đối mặt với những rủi ro.

Kẽ hở chết người

Về phía các nhà mạng, qua 2 vụ việc này một lần nữa lại cho thấy kẽ hở “chết người” trong việc quản lý kho số. Giống như hiện tượng “cướp sim đẹp” đã từng được cảnh báo trước đây, trong các vụ việc này, kẻ gian đã lợi dụng vào quy trình cấp lại sim mới có phần dễ dãi của các công ty viễn thông. Việc xác thực người dùng thuê bao trả trước dựa trên xuất trình CMND bản gốc hoặc bản sao công chứng CMND và khoảng 5 số điện thoại liên hệ. Do vậy kẻ gian có thể dùng các sim khuyến mãi để gọi đến số điện thoại của khách hàng trong một thời gian. Sau đó, trên cơ sở các thông tin đã thu thập được của người dùng, kẻ gian làm giả thông tin và yêu cầu nhà mạng cấp lại sim điện thoại mới để lừa đảo. Dựa vào việc các nhà mạng chấp nhận việc sử dụng giấy photo CMND có công chứng để cấp lại sim mới, trong trường hợp của anh Đặng Thanh Hải và Vũ Nhật Minh, theo nhận định của cơ quan chức năng rất có thể sau khi có được các thông tin cá nhân của nạn nhân, chúng đã chỉnh sửa và làm giả giấy tờ công chứng CMND để có thể được cấp lại sim mới… Sau khi vụ việc xảy ra các nhà mạng cũng đã thừa nhận những tắc trách của mình trong quá trình kiểm tra, đối chiếu và xác nhận việc cấp lại sim mới cho khách hàng.

Theo cán bộ của Đội phòng chống tội phạm sử dụng công nghệ cao, mặc dù đây là thủ đoạn mới của tội phạm nhưng phương thức hoạt động không hề mới, đã được cảnh báo nhiều lần và hoàn toàn có thể phòng tránh được. Trong khi chờ đợi cơ quan chức năng tìm ra thủ phạm và xác định trách nhiệm của các bên có liên quan, khách hàng cần phải biết cách để bảo vệ chính mình tránh rơi vào tình trạng như trên. Trước hết để không bị mất sim cũng như các thông tin cá nhân khác, người dùng cần lưu ý, phải đăng ký chính xác thông tin thuê bao đồng thời không chia sẻ các thông tin cá nhân trên mạng. Ngoài ra cần hạn chế gọi lại cho những số điện thoại lạ trong thời gian ngắn điều khiến cho kẻ gian có thể tích đủ 5 số thuê bao mà người dùng đã gọi đi rồi khai báo với nhà mạng để yêu cầu làm lại sim. Hạn chế việc cho người lạ mượn điện thoại vì họ có thể lấy được những thông tin quan trọng trong việc việc xin cấp lại sim. Người dùng cũng cần nâng cao tính bảo mật của Smartphone (điện thoại thông minh), không cài đặt các ứng dụng không rõ nguồn gốc, cập nhật thường xuyên các bản vá của hệ điều hành và phần mềm có trên máy. Ngoài ra khi biết sim của mình bị tấn công, việc đầu tiên, khách hàng cần làm là thông báo với ngân hàng nơi mở tài khoản đề nghị khóa giao dịch với số điện thoại đó rồi mới liên lạc với nhà mạng để đòi sim. Nếu như người sử dụng quá chú tâm vào việc đòi sim mà quên mất khóa tài khoản, thì chỉ trong thời gian ngắn đó, kẻ gian đã có thể thực hiện các giao dịch trộm tiền từ tài khoản.