Nguy hiểm từ ứng dụng giả mạo số điện thoại người gọi

PV Tech News – Ứng dụng giả mạo số điện thoại người gọi (Caller ID Spoofing) đang tạo ra mối đe dọa lừa đảo chưa từng có, khi kẻ gian có thể mạo danh người thân hoặc tổ chức tin cậy. Biện pháp duy nhất hiệu quả là chủ động gọi lại để xác minh.

I. Ứng dụng giả mạo số điện thoại đang lan truyền

Một bài đăng trên Facebook gần đây đã thu hút sự chú ý khi người dùng trình diễn cách một ứng dụng trên điện thoại có thể thực hiện cuộc gọi đến chính thiết bị của họ, nhưng số hiển thị lại là 0999999999, một số không thuộc về người gọi. Thử nghiệm này đã được xác nhận thành công trên cả mạng Viettel và Vinaphone, cho thấy số giả mạo hiện lên giống hệt số thật. Tác giả bài đăng đã nhấn mạnh đây là một cảnh báo nghiêm trọng, không phải hướng dẫn sử dụng.

Vấn đề này lớn hơn nhiều so với một ứng dụng hay một bài đăng đơn lẻ. Kẻ xấu có khả năng tùy chỉnh bất kỳ số điện thoại nào mong muốn, và số này sẽ hiển thị trên màn hình nhận cuộc gọi của nạn nhân.

II. Lỗi thiết kế hệ thống viễn thông 50 năm tuổi

Kỹ thuật này được gọi là Caller ID Spoofing (giả mạo số điện thoại hiển thị). Đây không phải là một lỗ hổng mới được khai thác, mà là hệ quả trực tiếp từ kiến trúc của hệ thống viễn thông toàn cầu, được xây dựng từ những năm 1970.

Giao thức điều khiển cuộc gọi truyền thống (SS7), ra đời năm 1975, không tích hợp cơ chế xác thực số người gọi. Khi một cuộc gọi được thực hiện, mạng điện thoại chỉ đơn thuần hiển thị số mà bên gọi tự khai báo, không có bước kiểm tra xem số đó có thực sự thuộc về người gọi hay không. Hệ thống được thiết kế dựa trên nguyên tắc “tin tưởng mặc định”, điều này từng không gây vấn đề lớn khi mạng viễn thông chỉ có vài nhà mạng nhà nước hoạt động trong môi trường kiểm soát chặt chẽ.

Sự phát triển của VoIP (gọi điện qua internet) đã làm thay đổi hoàn toàn cục diện. Với VoIP, bất kỳ ai cũng có thể kết nối vào hệ thống viễn thông toàn cầu và điền một số bất kỳ vào trường “From” của gói tín hiệu trước khi gửi đi. Mạng nhận cuộc gọi, bao gồm cả Viettel và Vinaphone, sẽ nhận tín hiệu từ đối tác quốc tế và hiển thị đúng số đó mà không có thêm bước xác minh nào.

Các ứng dụng thực hiện Caller ID Spoofing không xâm nhập hay “hack” vào hệ thống của nhà mạng. Chúng hoạt động chính xác theo cách hệ thống VoIP được thiết kế, nhưng lại khai báo một số điện thoại không thuộc về người gọi. Nhà mạng nhận và hiển thị số điện thoại do bên gọi khai báo mà không có bước xác thực để đảm bảo tính chính xác của số đó.

Công Tơ Điện Hunonic Entec - Giải Pháp Tiết Kiệm Năng Lượng Thông Minh Điều Khiển

Chi tiết Địa chỉ tổ chức chịu trách nhiệm hàng hóa Tên tổ chức chịu trách nhiệm hàng hóa Khu vực xuất xứ Thời hạn bảo hành Điện áp đầu vào (V) Công suất (W) Loại bảo hành Thương hiệu 750 KIM GIANG HUNONIC HÀ NộI Việt Nam 12 tháng 220v 14000 Bảo hành

III. Các biện pháp đối phó hiện tại

Tại Mỹ, chuẩn chống spoofing STIR/SHAKEN đã được triển khai bắt buộc từ năm 2019, dù quá trình thực thi còn kéo dài và chưa hoàn chỉnh. Việt Nam hiện chưa có lộ trình tương tự. Biện pháp đang được triển khai là chương trình Voice Brandname, với cơ sở pháp lý từ Nghị định 91/2020/NĐ-CP.

Bộ Thông tin và Truyền thông (nay là Bộ Khoa học và Công nghệ) đã tiên phong gắn tên định danh cho các số của cơ quan nhà nước từ ngày 27/10/2023. Đến nay, 732 số điện thoại di động của cơ quan nhà nước đã được định danh, và một số ngân hàng, doanh nghiệp cũng đã tham gia. Tuy nhiên, phạm vi còn chưa đồng đều, không bao phủ toàn bộ các tổ chức tài chính và hoàn toàn không áp dụng cho số cá nhân.

IV. Mối đe dọa nguy hiểm chưa từng có

Mọi hướng dẫn phòng chống lừa đảo qua điện thoại hiện tại đều dựa trên giả định rằng số lạ là nguy hiểm, còn số quen thì an toàn. Giả định này đang sụp đổ.

Kẻ tấn công có thể giả mạo chính xác số “Bố”, “Mẹ”, “Sếp” hay “Ngân hàng MB” đã được lưu trong danh bạ của nạn nhân. Khi đó, thiết bị của người nhận sẽ tự động tra cứu danh bạ, tìm thấy kết quả trùng khớp và hiển thị tên người thân. Không hề có cảnh báo hay dấu hiệu bất thường nào xuất hiện. Mọi thứ trông giống hệt một cuộc gọi thông thường từ một người mà bạn tin tưởng.

Mức độ nguy hiểm càng tăng lên khi kỹ thuật này bắt đầu được kết hợp với công nghệ giả giọng nói bằng AI. Các hệ thống tổng hợp giọng nói nhân tạo hiện tại chỉ cần một đoạn giọng ngắn để tái tạo lại giọng của một người với độ chân thực đáng lo ngại. Nguồn mẫu giọng có thể dễ dàng lấy từ các video đăng tải trên TikTok, Facebook, YouTube – những nền tảng mà phần lớn người dùng Việt Nam đang chia sẻ hàng ngày mà không lường trước rủi ro.

Kịch bản tấn công kết hợp có thể diễn ra như sau: Điện thoại hiển thị số của mẹ, người nghe nhận ra đúng giọng mẹ, và “mẹ” nói cần tiền gấp vì một sự cố. Trong tình huống này, không có cách nào phân biệt thật hay giả nếu chỉ dựa vào màn hình và tai nghe.

V. Quy định pháp luật

Luật An ninh mạng 2025 (số 116/2025/QH15, có hiệu lực từ 01/7/2026) nghiêm cấm việc sử dụng trí tuệ nhân tạo hoặc công nghệ mới để giả mạo video, hình ảnh, giọng nói của người khác trái quy định pháp luật.

Nếu Caller ID Spoofing được sử dụng để lừa đảo, người thực hiện có thể bị truy cứu hình sự về tội lừa đảo chiếm đoạt tài sản theo Điều 174 Bộ luật Hình sự 2015 (sửa đổi, bổ sung 2017). Mức phạt tùy thuộc vào giá trị tài sản bị chiếm đoạt: từ cải tạo không giam giữ với số tiền nhỏ, đến tù từ 12 năm đến 20 năm hoặc tù chung thân nếu chiếm đoạt từ 500 triệu đồng trở lên. Dự thảo Nghị định xử phạt hành chính về an ninh mạng đang được lấy ý kiến (tháng 3/2026) còn đề xuất phạt tiền đến 100 triệu đồng đối với cá nhân vi phạm. Tuy nhiên, luật chỉ xử lý hành vi sau khi đã xảy ra, không thể ngăn chặn cuộc gọi giả mạo ngay từ đầu.

3ộ điều khiển nhiệt độ PID REX-C100, với cặp nhiệt

Giới thiệu về sản phẩm này Độ chính xác đo: + / - 0,5% FS Dung sai bù đầu lạnh: + /- 2 độ C (có thể được sửa đổi bằng phần mếm trong 0 ~ 50 độ C) Độ phân giải: 14 bit Chu ky lấy mẫu: 0,5 giây Quyền lực: AC 100-240V 50 / 60HZ Giá trị quá trình (PV), Giá trị cài đặt (SV) <iểm soát PIN (bao gồm ON / OFF, PID loại bước và PID liêr tỤc) Điều khiển tự điều chỉnh Đầu ra rơ le: công suất tiếp xúc 250V AC 3A (tải điện

VI. Cách phòng tránh hiệu quả

Khi nhận một cuộc gọi bất thường, dù số hiển thị là số quen thuộc, dù nội dung có vẻ khẩn cấp, hay giọng nói nghe quen thuộc, đặc biệt nếu có yêu cầu chuyển tiền hoặc cung cấp thông tin nhạy cảm, hãy cúp máy và tự mình gọi lại vào đúng số đó. Nếu người thân hoặc tổ chức thật sự cần gì, họ sẽ nghe máy. Nếu không ai nghe hoặc có bất kỳ điều bất thường nào, đó là dấu hiệu đủ để ngừng giao dịch.

Một thói quen bổ sung hữu ích là thiết lập “mật khẩu gia đình” – một từ hoặc câu ngắn mà chỉ những người trong gia đình biết. Nếu có cuộc gọi tự xưng là người nhà và cần tiền gấp, hãy yêu cầu mật khẩu này. Công nghệ AI giả giọng không thể biết được mật khẩu riêng tư đó.

Đối với các giao dịch tài chính qua điện thoại, bất kể số hiển thị là gì – kể cả số của ngân hàng quen thuộc – nguyên tắc chung là không thực hiện bất kỳ thao tác nào theo yêu cầu trong cuộc gọi đến. Thay vào đó, hãy tự truy cập ứng dụng ngân hàng hoặc gọi đến hotline chính thức được ghi trên thẻ để xác minh thông tin.

Để cập nhật những thông tin công nghệ mới nhất và các biện pháp bảo vệ bản thân khỏi những chiêu trò lừa đảo tinh vi, hãy luôn theo dõi Phong Vũ Tech News.

Bài viết liên quan:

• Mua máy lạnh tại Phong Vũ: Miễn phí công lắp đặt và ưu đãi hấp dẫn
• Microsoft tự động nâng cấp Windows 11 25H2 cho PC 24H2
• Titan Army ra mắt màn hình có tần số quét lên đến 1060 Hz