 |
Chuyên gia khuyến cáo ngân hàng không nên sử dụng link rút gọn |
Ông Vũ Ngọc Sơn- Phó Chủ tịch phụ trách mảng chống mã độc của Bkav cho biết, hồi tháng 3-2021, hàng loạt vụ việc mạo danh Brand name ngân hàng để lừa đảo, chiếm đoạt tài khoản người dùng đã bùng phát tại Việt Nam.
Các ngân hàng sau đó cũng đã phát đi thông báo hướng dẫn người dùng cần cảnh giác với các đường link nhận được qua tin nhắn, trong đó đặc biệt nhấn mạnh người dùng cần xem kỹ đường link có chứa tên miền chính thức của ngân hàng hay không trước khi mở.
“Điều này là cần thiết, nhưng chưa đủ, chúng tôi nhận thấy còn một nguy cơ khác dẫn tới người dùng có thể bị lừa đảo chiếm đoạt tài khoản ngân hàng, đó là nguy cơ đến từ việc sử dụng các đường link rút gọn”- ông Vũ Ngọc Sơn nói.
Thực tế cho thấy, hiện nhiều ngân hàng tại Việt Nam đang sử dụng đường link rút gọn như Bit.ly để gửi các đường link về các chương trình khuyến mãi, tặng quà cho khách hàng. Bên cạnh đó, một số ngân hàng còn hướng dẫn khách hàng tài phần mềm SmartBanking thông qua các đường link rút gọn.
“Việc sử dụng dịch vụ đường link rút gọn tuy giúp các tin nhắn, hướng dẫn của ngân hàng trông ngắn gọn hơn, nhưng kèm với đó lại phát sinh một nguy cơ khác có thể bị lợi dụng để lừa đảo”- chuyên gia của Bkav nhấn mạnh.
Cụ thể, nguyên lý truy cập link rút gọn như sau:
Bước 1: Người dùng bấm vào link rút gọn do Ngân hàng A gửi, ví dụ Bit.ly/ ChuoiKyTu
Bước 2: Thiết bị của người dùng sẽ được kết nối đến Server của nhà cung cấp link rút gọn, ở đây là Server của Bit.ly để yêu cầu ánh xạ từ link rút gọn sang link đầy đủ
Bước 3: Thiết bị của người dùng nhận được đường link đầy đủ do Bit.ly cung cấp
Bước 4: Thiết bị của người dùng truy cập server của Ngân hàng A theo đường link đầy đủ đã nhận được ở bước 3
Theo sơ đồ trên, chỉ có bước 1 là người dùng chủ động bấm, các bước còn lại từ bước 2 đến bước 4 lại được diễn ra tự động, trong suốt với người dùng.
Tuy nhiên, ngay ở bước 1, khách hàng khi bấm vào link rút gọn lại chưa biết link này có dẫn tới địa chỉ của ngân hàng hay không vì link đầy đủ chỉ xuất hiện từ bước 3 nên đây là một điểm yếu.
Nếu kẻ xấu cũng chuẩn bị một đường link rút gọn kiểu Bit.ly tương tự, thay đổi các ký tự trong ChuoiKyTu đi thì người dùng rất khó để phân biệt đâu là link thật và đâu là link giả. Từ đó kẻ xấu có thể lừa người dùng truy cập vào các website giả mạo để chiếm đoạt tài khoản ngân hàng.
Nghiêm trọng hơn nữa, nếu kẻ xấu vừa giả mạo link Bit.ly, vừa giả mạo Brand Name ngân hàng thì nguy cơ người dùng bị lừa là rất cao.
Ông Vũ Ngọc Sơn khuyến cáo, để tránh các nguy cơ bị kẻ xấu lợi dụng, các ngân hàng nên hạn chế tối đa việc sử dụng link rút gọn, chỉ nên sử dụng link rút gọn trên website chính thức của ngân hàng. Không gửi link rút gọn theo tin nhắn, nên sử dụng đường link đầy đủ có tên miền “chính chủ” đã được công bố chính thức.
Đối với người dùng, nếu nhận được đường link rút gọn thì nên mở trong môi trường cách ly an toàn, sau đó kiểm tra lại kỹ website cuối cùng sau khi trình duyệt hoàn thành việc mở link rút gọn, xem link cuối cùng đó có phải đúng là website chính thức của ngân hàng hay không.
Trước tình trạng lừa đảo ngày càng gia tăng, ngày 21-5, Vietcombank cũng khuyến cáo khách hàng không nên truy cập link lạ. Ngân hàng này chỉ sử dụng duy nhất 1 địa chỉ website.
