Muôn hình, vạn trạng kiểu lừa qua mạng

Từ các cuộc gọi mạo danh cơ quan chức năng, sử dụng công nghệ deepfake giả giọng người thân, đến các trang web giả ngân hàng, lừa đảo tài chính tại Việt Nam khiến nhiều người mất tiền lẫn mất niềm tin.

“Chúng tôi sẽ chuyển máy sang công an để điều tra đơn hàng chứa sừng tê giác.” Câu nói vào một buổi sáng cuối năm 2022 đã cuốn Thanh Trúc (tên được đổi theo yêu cầu của nhân vật), 36 tuổi, làm nghề tự do tại TP.HCM, vào vòng xoáy của một vụ lừa đảo mà cô không hề hay biết. Qua điện thoại, người gọi tự xưng là nhân viên bưu điện, thông báo gói hàng gửi đi Singapore thất bại, kèm thông tin chính xác họ tên, số điện thoại khiến mọi nghi ngờ của Trúc tan biến.

Cuộc gọi chuyển hướng. Tiếng “tít, tít, tít” vang lên như tín hiệu kết nối tổng đài. Một giọng nam tự xưng là nhân viên công an, gọi cô là “đồng chí,” yêu cầu Thanh Trúc đăng nhập vào một trang web giả mạo có giao diện nhang nhác trang chủ của cơ quan chức năng. “Họ kêu tôi tạo tài khoản, kết nối qua Zalo, đăng nhập tài khoản ngân hàng để kiểm tra giao dịch. Tôi nghĩ mật khẩu ẩn dưới dấu chấm nên an toàn, nhưng thực ra họ đã thấy hết,” cô nhớ lại, ánh mắt như còn mắc kẹt trong cú sốc ngày ấy.

Kẻ lừa đảo thao tác nhanh với tài khoản ngân hàng trong nước, nhưng chậm với ngân hàng nước ngoài. Trong lúc nói chuyện, Thanh Trúc chợt nhận ra điều bất thường. “Tại sao công an lại bắt tôi mở màn hình điện thoại? Nếu cần, tôi phải tới đồn công an chứ?” Cô kéo dài thời gian, tắt micro để gọi ngân hàng và yêu cầu khóa tài khoản. Nhưng đã muộn. Ngân hàng thông báo trừ 40 triệu đồng từ 12:15, bốn phút trước khi Trúc kết thúc cuộc gọi với kẻ mạo danh. “Mã OTP xác nhận giao dịch không gửi về số điện thoại tôi đăng ký, nên tôi không hề biết tiền đã bị trừ,” cô kể, giọng nghẹn lại.

Điều đáng tiếc hơn, một năm sau ba cô cũng bị lừa 200 triệu đồng qua cuộc gọi video deepfake giả người thân. “Ba tôi không phân biệt được AI với người thật. Tôi thường nhắc mọi người cẩn thận, nhưng hôm đó tôi đã mất tập trung,” cô thở dài nói.

Không chỉ có Thanh Trúc là nạn nhân, những kịch bản như vậy vẫn tiếp tục giăng bẫy, đánh vào sự chủ quan và nhu cầu tài chính của nhiều nạn nhân khác. Anh Khoa, 27 tuổi, chủ tiệm cà phê ở TP.HCM, hồi tháng 8.2023 khi cần tiền mặt để mua máy pha cà phê mới, anh tìm dịch vụ rút tiền từ thẻ tín dụng qua nhóm trên Facebook. Một đối tượng tiếp cận, đưa ra mức phí ưu đãi: 1-1,5% thay vì 1,8-2%. “Họ chủ động, xởi lởi và nghe có vẻ chuyên nghiệp. Tôi tin tưởng vì lời đề nghị của họ hợp lý,” anh Khoa kể.

Đối tượng yêu cầu chuyển sang Zalo, cung cấp ảnh căn cước công dân, hình ảnh thẻ tín dụng, mã OTP. “Họ nói tôi phải chuyển tiền ngược lại để hoàn tất thủ tục miễn phí. Tôi chuyển hơn 70 triệu đồng, rồi bị chặn liên lạc,” anh kể. Sau khi thấy tài khoản Zalo của đối tượng xóa sạch tin nhắn, hình ảnh, Khoa phát hiện thẻ bị trừ thêm “mười mấy triệu đồng” qua giao dịch ở Shopee, dù không có tin nhắn báo OTP. “Sau mã OTP đầu tiên, thiết bị của họ đã được ngân hàng chấp nhận. Tôi không nghi ngờ, vì lần đầu sử dụng dịch vụ này,” anh thừa nhận.

Những thủ đoạn tinh vi mà Thanh Trúc và anh Khoa gặp không phải là trường hợp cá biệt. Công nghệ deepfake, web giả mạo và social engineering (kỹ thuật thao túng tâm lý để lừa nạn nhân) đang biến niềm tin thành con mồi cho tội phạm qua mạng. “Công nghệ deepfake đang nổi lên nhanh chóng như một mối đe dọa an ninh mạng lớn ở Việt Nam, đặc biệt trong các vụ lừa đảo, đánh cắp danh tính và phát tán thông tin sai lệch,” ông Robert Trần, phó tổng giám đốc công ty TNHH Dịch vụ An toàn thông tin EY Việt Nam chia sẻ. Ông Robert nhấn mạnh, tội phạm mạng tận dụng trí tuệ nhân tạo để tạo ra các video, âm thanh hoặc hình ảnh giả mạo cực kỳ chân thực, khiến việc lừa đảo các cá nhân, tổ chức trở nên dễ dàng chưa từng có.

Cứ 220 người dùng điện thoại thông minh tại Việt Nam, có một người là nạn nhân của lừa đảo trực tuyến, với tỉ lệ 0,45%, theo kết quả khảo sát có tên An ninh mạng 2024 do hiệp hội An ninh mạng quốc gia thực hiện, từ 28.11 đến 19.12.2024, với hơn 59 ngàn người tham gia. Chín tháng tính từ đầu năm 2024, công an TP.HCM tiếp nhận và thụ lý 461 vụ lừa đảo trên không gian mạng, với tổng thiệt hại khoảng 982 tỉ đồng. Trên phạm vi cả nước, tổng thiệt hại do lừa đảo trực tuyến gây ra trong năm 2024 ước tính 18.900 tỉ đồng, theo hiệp hội An ninh mạng quốc gia.

Ba hình thức lừa đảo phổ biến nhất năm 2024 gồm đầu tư tài chính giả mạo, mạo danh cơ quan, tổ chức và thông báo trúng thưởng giả. Theo khảo sát của hiệp hội An ninh mạng quốc gia, gần 71% người dùng từng nhận được lời mời đầu tư từ các nền tảng tài chính không rõ nguồn gốc, hơn 62% gặp các cuộc gọi giả danh công an, ngân hàng và hơn 60% nhận được thông báo trúng thưởng đáng ngờ. Kẻ lừa đảo hứa hẹn lợi nhuận cao không rủi ro, hoặc đe dọa nạn nhân qua các cuộc gọi mạo danh hay dụ dỗ cung cấp thông tin cá nhân.

Ai là đối tượng dễ bị tấn công? “Điều này có thể xảy ra với bất kỳ ai, kể cả người cẩn thận nhất,” ông Nguyễn Đức Long, giám đốc chuyển đổi số của Sun Group nói. Theo ông Đức Long, một trong những nguyên nhân khiến nhiều người tại Việt Nam sập bẫy là tâm lý muốn làm giàu nhanh. “Rất nhiều người tin vào những cơ hội kiếm tiền dễ dàng, dù điều đó đi ngược lại các nguyên tắc kinh tế cơ bản,” ông Long cho biết. Khi đối mặt với các lời mời gọi đầu tư hứa hẹn lợi nhuận cao hoặc những chiêu trò tài chính hấp dẫn, nhiều người bỏ qua việc kiểm chứng mà bị cuốn theo kỳ vọng làm giàu nhanh chóng.

Không chỉ cá nhân, các doanh nghiệp cũng đối mặt với những mối đe dọa tương tự khi lỗ hổng bảo mật bị khai thác. “Có hai yếu tố rủi ro chính mà doanh nghiệp cầnlưuý:Rủirokỹthuậtvàrủiro từ yếu tố con người,” ông Đức Long cho hay. Về mặt kỹ thuật, doanh nghiệp cần tuân thủ các tiêu chuẩn bảo mật như ISO 27001, GDPR (quy định Bảo vệ Dữ liệu chung của liên minh Châu Âu), hay nghị định 13 của Việt Nam về bảo vệ dữ liệu cá nhân. Ngoài ra, hệ thống hạ tầng mạng phải đáp ứng các tiêu chuẩn an ninh mạng cấp độ hai hoặc ba, tùy từng ngành. Về rủi ro từ yếu tố con người, theo giám đốc chuyển đổi số của Sun Group, kẻ gian có thể giả danh sếp hoặc người thân để lấy thông tin. “Với deepfake, việc này ngày càng dễ dàng hơn,” ông Long nhận định.

Một trong những công cụ phổ biến mà kẻ gian sử dụng để tiếp cận và dẫn dụ nạn nhân là qua các cuộc gọi phiền nhiễu (spam). 95,54% người dùng bị các cuộc gọi dạng này làm phiền, trong đó gần 53% nhận vài cuộc mỗi tháng. Gần 43% bị làm phiền hàng tuần trong năm 2024. Nửa cuối năm, hệ thống phòng chống lừa đảo ghi nhận 134 ngàn lượt báo cáo về số điện thoại lừa đảo, nâng danh sách ghi nhận số điện thoại làm phiền lên tới 296 ngàn số điện thoại, theo hiệp hội An ninh mạng quốc gia. “Mỗi ngày có ít nhất một cuộc gọi cho tôi về việc tăng hạn mức tín dụng, yêu cầu cung cấp hình ảnh thẻ, mã OTP, căn cược công dân… Và có một lần nữa, họ xém lừa được tôi,” anh Khoa chia sẻ. Không chỉ vậy, 23,4% người dùng bị tấn công bởi mã độc, trong đó 9,65% trở thành nạn nhân của mã độc tống tiền, cho thấy mối đe dọa an ninh mạng ngày càng tinh vi.

Vậy giải pháp để đối phó là gì? “Thứ nhất, đầu tư vào công nghệ và tiêu chuẩn bảo mật dữ liệu. Thứ hai, giám sát chủ động các mối đe dọa. Thứ ba, giáo dục người dùng về rủi ro, đặc biệt là rủi ro phi kỹ thuật,” ông Nguyễn Đức Long nhấn mạnh. Theo ông Long, doanh nghiệp hoặc tổ chức tài chính cần gửi bản tin cập nhật rủi ro thường gặp qua các kênh liên lạc với khách hàng, đồng thời sử dụng các sự kiện thực tế làm bài học để giới thiệu công cụ phòng ngừa và nâng cao nhận thức. Tuy nhiên, “lừa đảo thao túng tâm lý (social engineering) rất khó ngăn chặn bằng công nghệ, mà chủ yếu phải dựa vào giám sát chủ động và hướng dẫn người dùng,” ông Long cho biết.

Để bảo vệ hệ thống và khách hàng, ông Robert Trần cho rằng, doanh nghiệp cần chú trọng ba yếu tố chính: Con người, công nghệ và quy trình. Doanh nghiệp nên tổ chức đào tạo thường xuyên cho nhân viên về các mối đe dọa mạng, đầu tư vào hạ tầng công nghệ như mã hóa dữ liệu nhạy cảm và thiết lập hệ thống giám sát an ninh mạng liên tục để phát hiện hành vi bất thường. Ông cũng nhấn mạnh một số biện pháp cụ thể để đối phó với các cuộc gọi lừa đảo, bao gồm sử dụng AI để “phân tích thông tin cuộc gọi và xác định dấu hiệu bất thường,” áp dụng xác thực đa yếu tố (MFA) cho giao dịch nhạy cảm và hợp tác với các công ty viễn thông để chặn số lừa đảo ở cấp độ mạng.

Trong thời đại công nghệ ngày càng phát triển, kẻ gian có thể tận dụng công nghệ tối tân, từ deepfake đến các trang web giả giống hệt bản gốc, để biến từng khoảnh khắc mất cảnh giác của người nhận thành cơ hội vàng. Tổn thất không chỉ là tài sản, tiền bạc, mà còn là sự đánh mất niềm tin vào người bị hại. “Bây giờ tôi không dám rút tiền qua mạng nữa, chỉ tin tưởng sử dụng giao dịch trực tiếp,” anh Khoa nói.

*Bài được xuất bản trong số báo tháng 4.2025, Bloomberg Businessweek Vietnam