Rồi em giải thích cụ rõ thế này nhé. Em đóng vai Hacker đi, cụ là chị Hương. Em đưa ra kịch bản phía hacker chuẩn bị, rồi người bị hại cho cụ xem nhé.
Hacker chuẩn bị:
1. Mua một tên miền đại loại vietcombank-cardcentre*.com sau đó spam email vào email của cụ. Trong đó có yêu cầu thay đổi lại mật khẩu Internet Banking hoặc đại loại trúng thưởng. Có link kiểu Click vào đây.
2. Chuẩn bị một giả lập android trên PC, viết một con bot auto click, auto nhập dữ liệu.
3. Website fake vietcombank-cardcentre*.com thiết lập các giao diện, tính năng giống VCB IB như đúc. Nhưng thực tế chỉ có 2 tính năng
3.1 Đăng nhập, nhập sai cũng được, đúng cũng ok.
3.2 Đăng nhập xong, thêm tính năng yêu cầu: Bạn cần click vào đây để lấy OTP kích hoạt hay để làm gì đó (Đại loại vậy), khi click vào nút Yêu cầu OTP sẽ ra trang nhập OTP.
Mọi thứ chờ ở đây......
Cụ bị hại:
2.Cụ thấy email cảnh báo, không để ý, thấy ghê click luôn vào, thấy nó bắt đăng nhập, ok, nhập vào nó vào trang trong --> đến trang ở bước 3.2 cụ cũng nhấn Yêu cầu ---> Ở bước Đăng nhập trước, con bot được web fake gửi U/Pass và được kích hoạt, nó mở SmartOTP, dùng user pass đăng nhập chờ đó, khi cụ nhấn Yêu cầu OTP Web fake gửi msg cho Bot kích hoạt yêu cầu active SmartOTP. --> VCB nhận yêu cầu, gửi SMS đến máy cụ. Cụ cũng ngu ngơ nhập ngay lên Web fake, web fake gửi msg về cho Bot. Bot nhập lên App --> Active thành công --> Web đẩy chị Hương khỏi quá trình đăng nhập, vào ngược lại trang IB của VCB. Chị Hương cũng thấy hợp lý vì nó bắt yêu cầu nhập xong phải đăng nhập lại...
Xong.