Theo Ngân hàng Việt Nam Thịnh Vượng (VPBank), hình thức lừa đảo này đang nở rộ ở nhiều thành phố lớn.
Kẻ gian giả danh cán bộ cơ quan thuế, dịch vụ công để đe dọa, thúc ép người dùng tải và cài đặt phần mềm độc hại.
Tiếp đó, lợi dụng điểm yếu từ quyền trợ năng (Accessibility) của hệ điều hành Android chiếm đoạt quyền điều khiển điện thoại, ăn cắp thông cá nhân, chiếm đoạt tiền trong tài khoản ngân hàng.
Các ngân hàng khuyến cáo khách hàng cần tắt ngay quyền Trợ năng đã mở cho các ứng dụng rủi ro trước khi thực hiện giao dịch tài chính trên thiết bị di động.
Tại VPBank, khi khách hàng khi đăng nhập app VPBank NEO phiên bản từ 5.11.2 trở lên sẽ nhận được màn hình cảnh báo, chỉ ra tên các ứng dụng rủi ro được bật quyền trợ năng trên thiết bị. Chỉ những thiết bị có cấp quyền trợ năng cho những ứng dụng rủi ro mới nhận được cảnh báo này.
Đại diện VPBank cho biết việc cấp quyền trợ năng cho các ứng dụng rủi ro có thể khiến thiết bị di động của khách hàng bị chiếm quyền điều khiển.
Từ đó kẻ gian chỉ cần đợi khách hàng đăng nhập 1 lần vào tài khoản ngân hàng sau khi cấp quyền trợ năng là chiếm được quyền sở hữu tài khoản đó.
Theo ngân hàng, quyền trợ năng (Accessibility) là chức năng có sẵn trên thiết bị sử dụng hệ điều hành Android, nhằm hỗ trợ những người dùng bị hạn chế về khả năng nghe, nhìn, đọc…
“Khi đã có quyền sở hữu tài khoản, kẻ gian sẽ thực hiện toàn bộ giao dịch trên tài khoản ngay trên chính thiết bị, lúc này đã bị điều khiển từ xa, và trên điện thoại không hề có dấu hiệu thể hiện việc thiết bị đang bị kẻ gian điều khiển” – đại diện VPBank nói.
Nhiều hình thức lừa đảo khác cũng liên tục được các ngân hàng cập nhật và cảnh báo. Ngân hàng Nông nghiệp và Phát triển Nông thôn Việt Nam (Agribank) cho biết kẻ gian đã mạo danh nhân viên ngân hàng để tiếp cận, mời chào khách hàng mở và sử dụng thẻ tín dụng, thẻ phi vật lý online. Các thủ đoạn này, thực chất là lừa đảo.
Agribank cảnh báo khách hàng cần cảnh giác trước các thủ đoạn giả mạo là nhân viên ngân hàng gọi điện, nhắn tin mời chào mở thẻ tín dụng, thẻ phi vật lý online và hướng dẫn khách hàng nộp tiền vào tài khoản, sử dụng các dịch vụ thẻ.
Đối tượng kết bạn qua mạng xã hội (Zalo, Facebook,…) để trao đổi trực tiếp, gửi và hối thúc khách hàng click vào đường link giả mạo hoặc QR Code dẫn tới website giả mạo.
Sau khi click vào link giả mạo sẽ được tiếp tục yêu cầu nhập thông tin cá nhân CCCD, số thẻ, mã bí mật CVV, ngày hết hạn thẻ và OTP gửi về số điện thoại…
Ngay sau khi nhập, cung cấp mã OTP, kẻ gian sẽ chiếm được quyền sử dụng tài khoản ngân hàng và thực hiện giao dịch chiếm đoạt tiền của khách hàng.
Các ngân hàng cảnh báo
Khách hàng tuyệt đối không cung cấp mã xác thực OTP/Smart OTP cho bất kỳ ai kể cả nhân viên ngân hàng; cảnh giác với các tin nhắn, cuộc gọi, email yêu cầu quét mã QR hoặc truy cập đường link lạ.