Chiêu đánh cắp mã OTP bằng cuộc gọi tự động

Cuộc gọi tự động bằng bot mô phỏng giọng khẩn trương, thúc giục người nghe cung cấp mã OTP, khiến nạn nhân dễ sập bẫy.

Các chuyên gia tại hãng bảo mật Kaspersky tại Việt Nam đưa ra cảnh báo sau khi phát hiện và ngăn chặn hàng nghìn cuộc tấn công bằng trang web giả mạo kết hợp “bot OTP” trong giai đoạn tháng 3-5 trên khắp thế giới.

OTP (mật khẩu dùng một lần) là hình thức bảo mật phổ biến, dùng trong xác thực hai yếu tố cho các tài khoản online. Mã này thường được gửi qua tin nhắn văn bản, email hoặc ứng dụng, nhằm đảm bảo đúng người dùng, tránh việc bị đánh cắp tài khoản ngay cả khi đã lộ tên đăng nhập và mật khẩu. Tuy nhiên với hình thức bot OTP mới, người dùng có thể vô tình cung cấp mã cho kẻ gian qua các cuộc gọi lừa đảo, mạo danh, từ đó bị xâm nhập tài khoản.

Giao diện nhập mã OTP trên một ứng dụng ngân hàng. Ảnh: Lưu Quý.

Theo các chuyên gia, nhóm lừa đảo thường ưu tiên sử dụng cuộc gọi thoại hơn là tin nhắn, vì nạn nhân có xu hướng phản hồi nhanh hơn. Theo đó, bot tự động gọi đến nạn nhân, mạo danh nhân viên một tổ chức đáng tin cậy, sử dụng kịch bản hội thoại được lập trình sẵn để thuyết phục nạn nhân nói mã OTP.

Kịch bản phổ biến và khiến nạn nhân dễ sập bẫy nhất là bot đóng vai tổ chức tài chính gọi điện thông báo tới người dùng rằng ai đó đang cố truy cập vào tài khoản ngân hàng của họ để đánh cắp tiền. Do đó, người dùng cần lập tức đưa mã OTP để tổ chức có thể sớm can thiệp và thực hiện biện pháp ngăn chặn kịp thời. “Bot mô phỏng giọng điệu và sự khẩn trương của con người trong cuộc gọi nhằm tạo cảm giác đáng tin cậy và tính thuyết phục“, chuyên gia cho biết.

Cách thức hoạt động của bot OTP. Ảnh: Arkoselabs.

Một trong những lý do dẫn đến việc gia tăng bot OTP là chúng được cung cấp dưới dạng dịch vụ, có thể mua bán dễ dàng trên chợ đen của tin tặc. Theo nghiên cứu của Kaspersky trên một bot cung cấp qua nền tảng Telegram, chúng đi kèm nhiều gói đăng ký với tính năng khác nhau. Trong đó, có những gói cho phép kẻ gian tùy chỉnh tính năng của bot để mạo danh tổ chức, sử dụng đa ngôn ngữ, chọn tông giọng nam hoặc nữ. Ngoài ra, các tùy chọn nâng cao còn bao gồm giả mạo số điện thoại nhằm đánh lừa nạn nhân tin đó là cuộc gọi từ một tổ chức uy tín.

Khi đã có OTP, chúng dễ dàng truy cập vào tài khoản của nạn nhân và thực hiện hành vi lấy thông tin, tiền, gian lận, hoặc đổi thông tin để chiếm tài khoản.

“Tấn công phi kỹ thuật được xem là phương thức lừa đảo cực kỳ tinh vi, đặc biệt với sự xuất hiện của bot OTP với khả năng mô phỏng một cách hợp pháp cuộc gọi từ đại diện của các dịch vụ“, Olga Svistunova, chuyên gia bảo mật của Kaspersky, nhận định.

Trước khi thực hiện đánh cắp mã OTP, kẻ gian cần vượt qua lớp đăng nhập đầu tiên là tên và mật khẩu. Để làm được điều này, chúng thường tạo các trang web lừa đảo được thiết kế giống với các trang đăng nhập hợp pháp của ngân hàng, dịch vụ email hoặc tài khoản trực tuyến khác để lừa nạn nhân nhập thông tin. Ngoài ra, dữ liệu này còn có thể mua được từ chợ đen hoặc đánh cắp thông qua lỗ hổng của hệ thống.

Hệ thống của Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC) đã ghi nhận 124.775 địa chỉ website giả mạo cơ quan, tổ chức. Trên thế giới, theo thống kê của Kaspersky từ ngày 1/3 đến 31/5, công cụ của công ty này đã ngăn chặn 653.088 lượt truy cập vào các trang web được tạo bởi bộ công cụ phishing nhắm vào các tổ chức, 4.721 trang web phishing do các bộ công cụ tạo ra nhằm mục đích vượt qua xác thực hai yếu tố theo thời gian thực.

Các chuyên gia khuyến nghị người dùng không cung cấp mã OTP qua điện thoại, bất kể người gọi có thuyết phục đến mức nào, bởi ngân hàng và tổ chức uy tín không bao giờ yêu cầu người dùng đọc hoặc nhập mã OTP thông qua cuộc gọi để xác minh danh tính.

Ngoài ra, người dùng cũng tránh nhấp vào liên kết trong tin nhắn, email đáng ngờ. Nếu cần đăng nhập tài khoản, cần đảm bảo nhập chính xác hoặc truy cập qua các dấu trang đã lưu (bookmark). Ngoài ra, có thể sử dụng công cụ kiểm tra tên miền. Nếu website mới được đăng ký gần đây, khả năng cao đây là trang web lừa đảo, theo Kaspersky.