Rùng mình nghe kẻ lừa đảo đọc vanh vách số dư, biết cả mã OTP: Lỗ hổng chết người đến từ đâu?

Hãy thử tưởng tượng vào một ngày đẹp trời, điện thoại của bạn bỗng nhận thông báo tài khoản mạng xã hội hay Apple ID bị đăng nhập lạ. Ngay sau đó, một cuộc gọi xưng danh “nhân viên ngân hàng” ập tới, thông báo tài khoản bị trừ tiền nhầm hoặc cần hỗ trợ gấp. Để tăng độ tin cậy, kẻ gian đọc làu làu số thẻ, địa chỉ nhà và số dư hiện có của bạn. Trong khoảnh khắc hoang mang tột độ, nạn nhân thường làm theo hướng dẫn trong vô thức và chỉ tích tắc sau, toàn bộ tiền tiết kiệm tích cóp cả đời “bốc hơi”.

Đây không phải là kịch bản phim trinh thám, mà là thực tế tàn khốc đang diễn ra mỗi ngày. Câu hỏi nhức nhối đặt ra là: Tại sao chúng biết tất cả mọi thứ về bạn?

Triệu Vũ, một chuyên gia lão luyện trong giới an ninh mạng và là người từng sáng lập Bạch Mạo Hội (nhóm hacker mũ trắng chuyên săn lùng tội phạm mạng), đã vén màn những bí mật đen tối phía sau các cuộc gọi này.

Theo ông, dữ liệu cá nhân không tự nhiên xuất hiện trên máy tính của hacker. Nó bị rò rỉ từ chính những nơi bạn đặt niềm tin nhất: các sàn thương mại điện tử, diễn đàn hay ứng dụng mua sắm online. Khi người dùng vô tư điền địa chỉ, số thẻ để thanh toán, dữ liệu đó được lưu trữ trên máy chủ doanh nghiệp. Hacker không mất công tấn công vào từng cá nhân, chúng tấn công thẳng vào “trái tim” hệ thống lưu trữ của các doanh nghiệp này thông qua các lỗ hổng bảo mật.

Trong giới tội phạm mạng, lỗ hổng bảo mật được ví như “vàng ròng”. Nguy hiểm nhất là các lỗ hổng 0Day (chưa từng được công bố), cho phép hacker âm thầm cài cửa hậu và vơ vét dữ liệu trong thời gian dài mà không ai hay biết. Tuy nhiên, đáng sợ và phổ biến hơn cả lại là các lỗ hổng NDay – những lỗi cũ đã có bản vá nhưng doanh nghiệp lười cập nhật hoặc tiếc chi phí bảo trì. Chỉ cần một email giả mạo chứa mã độc gửi đến nhân viên công ty, kẻ xấu có thể khai thác lỗ hổng cũ này và nắm trọn cơ sở dữ liệu khách hàng trong tay.

Một khi đã nắm trong tay dữ liệu thô, giới tội phạm mạng sẽ thực hiện bước tiếp theo gọi là kỹ thuật “Dò kho”. Đây là chiêu thức tận dụng thói quen chết người của đại đa số người dùng internet: dùng chung một mật khẩu cho mọi tài khoản. Từ dữ liệu rò rỉ ở một website bán hàng nhỏ lẻ, hacker dùng chính email và mật khẩu đó để thử đăng nhập vào tài khoản ngân hàng, ví điện tử hay iCloud của nạn nhân. Hậu quả là từ một lỗ kim nhỏ, cả con đê vỡ toang. Hàng tỷ cặp tài khoản và mật khẩu đang lưu hành trong thế giới ngầm chính là kết quả của chuỗi tấn công liên hoàn này.

Tinh vi hơn nữa, để vượt qua chốt chặn bảo mật cuối cùng là mã OTP, hacker sử dụng các ứng dụng gián điệp. Chỉ cần người dùng tò mò cài đặt một ứng dụng lạ từ đường link gửi qua tin nhắn hay mạng xã hội, toàn bộ quyền kiểm soát thiết bị sẽ thuộc về hacker, bao gồm cả quyền đọc tin nhắn SMS và nghe lén cuộc gọi. Lúc này, dù điện thoại vẫn nằm trên tay bạn, nhưng mã OTP gửi về máy cũng đồng thời hiện lên màn hình của kẻ gian. Nạn nhân hoàn toàn bất lực nhìn tiền trong tài khoản bị chuyển đi mà không hiểu chuyện gì đang xảy ra.

Thâm nhập sâu vào thế giới ngầm, Triệu Vũ từng chứng kiến những sự thật đau lòng khi có những nạn nhân vừa nhắn tin khoe với vợ về khoản tiền thưởng Tết, giây sau đã bị hacker vét sạch vì lộ thông tin. Thế giới tội phạm mạng hiện nay hoạt động với quy mô công nghiệp, phân chia rõ ràng từ đội ngũ cho thuê máy chủ ẩn danh, nhóm chuyên rửa tiền đến nhóm chuyên khai thác dữ liệu. Cuộc chiến này vốn không cân sức và điểm yếu lớn nhất không nằm ở công nghệ, mà nằm ở con người. Sự chủ quan, thói quen đặt mật khẩu dễ đoán và việc click chuột vô tội vạ vào các đường link lạ chính là chìa khóa bạn tự tay trao cho kẻ lừa đảo mở két sắt nhà mình.