[Funland] Từ vụ việc brand name SMS lừa đảo từ ngân hàng chúng ta cần làm gì để bảo vệ mình

Dungnt_93

Xe tải
Biển số
OF-430296
Ngày cấp bằng
16/6/16
Số km
460
Động cơ
218,914 Mã lực
Tuổi
31
Em, với tư cách là cựu CEO VHT, một trong những Công ty làm Brand Name SMS rất sớm ở Việt Nam, từ 2007. Muốn chia sẻ với các bạn một chút về nguyên lý vụ lừa đảo bằng Brand Name SMS của ngân hàng khá là rầm rộ hôm qua, ngày 4/2.

Cho các cụ nào chưa biết thông tin vụ việc này
Gửi tin nhắn giả đầu số ngân hàng lừa đảo
Một số ngân hàng gần đây liên tục cảnh báo tình trạng giả mạo thương hiệu ngân hàng gửi tin lừa đảo đến khách hàng để lấy cắp thông tin, trộm tiền tài khoản.

Những tin nhắn giả mạo thương hiệu ngân hàng để lừa đảo /// Ảnh: TX
Những tin nhắn giả mạo thương hiệu ngân hàng để lừa đảo
ẢNH: TX

Chiều tối ngày 3.2, chị Trang (Q.Bình Thạnh, TP.HCM) thông tin cảnh báo những người thân và bạn bè tình trạng lừa đảo bằng hình thức tin nhắn giả mạo thương hiệu ngân hàng. Chị Trang nhận được tin nhắn thể hiện đầu số ACB với nội dung “Chung toi phat hien tai khoan cua ban dang tieu dung o nuoc ngoai. Neu khong phai ban dang tieu dung vui long nhap vao https://v-acb.com de huy thanh toan” (Chúng tôi phát hiện tài khoản của bạn đang tiêu dùng ở nước ngoài. Nếu không phải bạn đang tiêu dùng vui lòng nhập vào https://v-acb.com để hủy thanh toán).
Một trường hợp khác là anh Tâm (Q.3, TP.HCM) cũng nhận tin nhắn có nội dung tương tự giả mạo Sacombank. Cụ thể là “Phat hien tai khoan cua ban dang nhap khac vung bat thuong, vui long dang nhap http://vn-sacombank.com de xac nhan thong tin va thay doi mat khau” (Phát hiện tài khoản của bạn đăng nhập khác vùng bất thường, vui lòng đăng nhập http://vn-sacombank.com để xác nhận thông tin và thay đổi mật khẩu).
ACB cảnh báo: “Hiện có các tin nhắn SMS mạo danh ACB gửi đến khách hàng nhằm mục đích lừa đảo. Các yêu cầu cung cấp thông tin hoặc số OTP hoặc mời bấm link đều là giả mạo. Đề nghị quý khách cảnh giác và chỉ giao dịch với ACB qua các kênh chính thức, ứng dụng ACB, website”.
Đây là chiêu lừa đảo khá tinh vi khi đầu số gửi tin nhắn đến khách hàng đều mang thương hiệu của các ngân hàng, điều này dễ làm khách hàng mất cảnh giác và thực hiện theo hướng dẫn trên tin nhắn.
Theo Vietcombank, cận Tết luôn là thời điểm các hoạt động gian lận, lừa đảo tài chính diễn ra phức tạp với các thủ đoạn ngày càng tinh vi. Đặc biệt, thời gian gần đây, xuất hiện hình thức mạo danh tin nhắn của ngân hàng để lừa khách hàng bấm vào đường link trong tin nhắn, từ đó đánh cắp thông tin dịch vụ ngân hàng điện tử và chiếm đoạt tiền trong tài khoản của khách hàng. Để phòng tránh các hình thức lừa đảo và đảm bảo an toàn khi giao dịch, khách hàng tuyệt đối không truy cập các đường link, liên kết trong tin nhắn/email lạ hoặc không rõ nguồn gốc. Vietcombank không bao giờ yêu cầu khách hàng cung cấp thông tin bảo mật của khách hàng dưới bất cứ hình thức nào. Khách hàng chỉ nên đăng nhập vào những đường link dịch vụ ngân hàng điện tử chính thức của Vietcombank.
Ngoài ra, khách hàng cũng hạn chế dùng máy tính công cộng, mạng không dây công cộng khi truy cập vào hệ thống ngân hàng điện tử; không cung cấp tên, mật khẩu đăng nhập ngân hàng trực tuyến, mã xác thực OTP, số thẻ ngân hàng qua điện thoại, email, mạng xã hội và các trang web. Đặt mật khẩu khó đoán, thực hiện thay đổi mật khẩu thường xuyên hoặc khi nghi ngờ bị lộ. Không sử dụng các tính năng lưu mật khẩu để đăng nhập tự động, không sử dụng chung một mật khẩu để đăng nhập ngân hàng trực tuyến và mật khẩu thư điện tử hoặc mật khẩu đăng nhập vào các mạng xã hội.

Thông thường, một tin nhắn gửi đến cho điện thoại của bạn sẽ hiển thị một dãy số, ví dụ +849XXXXXXXX. Từ nhiều năm trước, đã có thể gửi bằng một chuỗi ký tự (chữ) thay vì số và dịch vụ đó gọi là Brand Name SMS (hay Branded SMS, Brandname SMS).
Ngày chúng Em kinh doanh dịch vụ này, có một sự thật buồn cười đó là chúng Em mua dịch vụ của một công ty ở… Singapore chứ không phải mua từ các nhà mạng viễn thông trong nước như Viettel, Mobifone, Vinaphone…

Công ty mà chúng Em mua dịch vụ Brand Name SMS ở Singapore tên là Sybase 365, công ty này được SAP mua lại vào năm 2010 và đến năm 2014 thì ngưng sử dụng tên gọi Sybase này.
Vì sao gửi cho thuê bao trong nước lại đi mua dịch vụ từ nước ngoài?

Nói không ngoa rằng, chúng Em là người làm Brand Name SMS trước nhà mạng. Khi ấy, chúng Em toàn quyền khởi tạo Brand Name, muốn tạo Brand Name gì cũng được (ACB, Nike hay Adidas thậm chí tên của chính trị gia) và thoải mái gửi đến cho thuê bao trong nước mà không qua bất cứ kiểm duyệt nào.
Công cụ chỉ là công cụ. Dùng với mục đích tốt hay xấu là do người dùng.
Tầm 8-9 năm trước, có một sự dịch chuyển rất rất buồn cười của nhà mạng: Nhằm ngăn chặn tin nhắn rác, mấy ông nhà mạng đã đưa ra quyết định cấm tất cả luồng Brand Name SMS từ nước ngoài. Xong lập ra các phòng ban ngồi duyệt từng hồ sơ, từng Brand Name, từng nội dung tin nhắn muốn gửi…

Vì sao Em gọi đây là hành động trò hề của nhà mạng:
1. Tin nhắn rác đến từ SIM rác chứ không phải từ Brand Name SMS vì chi phí gửi SMS từ SIM rác rẻ hơn rác còn chi phí gửi Brand Name SMS mắc chết mẹ. Ai điên mà đi spam bằng Brand Name SMS hử các ông? Các ông biết vì sao SIM rẻ và nhan nhản không? Do các ông (nhà mạng) làm nát thị trường chứ đâu. Thằng này làm, đem thằng kia ra chịu. Quý vị có thấy nó giống trò hề không?
2. Các ông kiểm soát các công ty ở VN còn các đơn vị nước ngoài gửi thẳng về VN thì các ông đếch cấm được.
3. Các ông nghĩ ra cái chính sách chỉ để làm khó người ngay còn kẻ gian vẫn nhởn nhơ.
Dẫn nhập chút xíu cho bà con biết. Giờ quay lại vụ lừa đảo hôm qua.

Ở Việt Nam, muốn đăng ký Brand Name là ACB hay Apple hay Pepsi gì gì thì quý vị phải nộp một số giấy tờ để chứng minh quý vị là người sở hữu thương hiệu này. Tuy nhiên vụ này cũng rất buồn cười và dễ lách. Ví dụ nhé - và chỉ là ví dụ thôi nha - công ty thì tên là Trà Cà Phê VN nhưng thương hiệu là The Coffee House* thì làm sao dùng GPKD Trà Cà Phê VN đi đăng ký Brand The Coffee House được. Thế là chứng minh rằng Em đang sở hữu domain thecoffeehouse.xxx là được.
Trớ trêu thay, bỏ ra một hai trăm ngàn là sở hữu được một domain rồi. Vậy một công ty ma, mua domain RapViet.xxx là có thể đăng ký Brand Name RAPVIET đi lừa đảo bán vé???

Có một vài công ty SMS lớn trên thế giới như Clickatell, Nexmo, Infobip… ban đầu cũng thoải mái gửi Brand Name SMS về thuê bao ở Việt Nam nhưng sau cũng bị chặn và phải thành lập công ty ở VN hoặc hợp tác với các công ty ở VN để đăng ký được Brand Name cho họ. Tuy nhiên do đây là họ làm ăn đàng hoàng. Chứ kẻ xấu thì chả ai đi đúng như vậy mà nó cứ phang đại thôi.
Trong một bài phân tích trên Zing, có một vài nguyên nhân cho vụ lừa đảo kia như là:
1. SMS bị hack trên đường đi từ công ty SMS đến nhà mạng hoặc từ nhà mạng xuống thuê bao.
2. Hacker tấn công các công ty cung cấp Brand Name SMS.
3. Kẻ xấu, chả cần là hacker mẹ gì hết, mua dịch vụ từ nước ngoài.

Trong thế giới CNTT, không gì là tuyệt đối. Bảo mật là một thứ xa xỉ. Đến Google / Facebook / Microsoft còn bị hack nữa là. Cho nên, mọi xác suất trên đều có thể xảy ra.
Khoan bàn về lỗi thuộc về ai trong vụ này. Có một điều chắc chắn đó là nạn nhân - cụ thể là các ngân hàng - sẽ bị thiệt hại không ít, cả về uy tín lẫn tiền bạc vì sự yếu kém trong chính sách Brand Name SMS của nhà mạng. Làm ra chính sách chỉ để nghĩ cách chặn người ngay trong khi kẻ gian vô cùng gian xảo.

Là người dùng, nếu nhận được những tin nhắn “lạ” như vậy, bạn nên làm gì:
1. Nên tham vấn ý kiến từ những người rành về CNTT xung quanh bạn.
2. Không bấm vào bất cứ đường link nào nếu không chắc đó có phải đường link “sạch” hay không.
3. Gọi cho tổng đài ngân hàng hay các đơn vị được đề cập trong SMS để double check.
4. Không chia sẻ thông tin trong SMS đó cho người khác.
5. Tỉnh táo trước những nội dung liên quan tiền bạc mà chúng gửi tới bạn. Đừng hám lợi mà thiệt thân.

Sau cùng, mọi giao dịch liên quan tiền hay tài khoản số, bạn nên cài 2FA (xác thực 2 lớp) hết nhé. Hãy nhờ người thân cài đặt dùm nếu không rành.
*Em chỉ lấy ví dụ chứ Brand Name chỉ cho tối đa 11 ký tự. Không có chuyện đăng ký được cái tên dài như The Coffee House.
Cre: Vu Hoang Tam
 

tuananh.3112

Xe tải
Biển số
OF-379252
Ngày cấp bằng
24/8/15
Số km
417
Động cơ
248,800 Mã lực
Tuổi
50
Ko chỉ là trùng tên. mà nó còn trùng cả sđt nguồn gửi đi nữa

144552593_1366316200411129_6713667036510076165_n.jpg
 

leequang.sd

Xe tải
Biển số
OF-678114
Ngày cấp bằng
26/6/19
Số km
328
Động cơ
107,630 Mã lực
Ko chỉ là trùng tên. mà nó còn trùng cả sđt nguồn gửi đi nữa

144552593_1366316200411129_6713667036510076165_n.jpg
Chỗ này có 2 khả năng, 1 là setup của chính iPhone khi nhận được tên trùng ACB thì nó đưa vào 1 loop tin nhắn, 2 là do nhà mạng khi thấy trùng tên lại tưởng nhầm nên đưa vào thôi cụ
 

Coming Soon

Xe tải
Biển số
OF-509748
Ngày cấp bằng
12/5/17
Số km
311
Động cơ
185,121 Mã lực
Nhìn link biết ngay.
Chủ yếu thông tin cho bà con thêm trên loa đài vì đa số ko biết mấy món 4.0 này :D
Thêm nữa xài smartotp hết đi, đỡ nhiều
 

lx125_black

Xe lăn
Biển số
OF-3794
Ngày cấp bằng
15/3/07
Số km
11,527
Động cơ
643,623 Mã lực
Nơi ở
Góc ngã tư chợ người
Em cũng thấy kinh vì người bình thường khó tỉnh táo trong trường hợp tin nhắn đến từ Brand Name như này.
 

aladanh

Xe tăng
Biển số
OF-81397
Ngày cấp bằng
29/12/10
Số km
1,524
Động cơ
436,444 Mã lực
Là người dùng, nếu nhận được những tin nhắn “lạ” như vậy, bạn nên làm gì:
1. Nên tham vấn ý kiến từ những người rành về CNTT xung quanh bạn.
2. Không bấm vào bất cứ đường link nào nếu không chắc đó có phải đường link “sạch” hay không.
3. Gọi cho tổng đài ngân hàng hay các đơn vị được đề cập trong SMS để double check.
4. Không chia sẻ thông tin trong SMS đó cho người khác.
5. Tỉnh táo trước những nội dung liên quan tiền bạc mà chúng gửi tới bạn. Đừng hám lợi mà thiệt thân.
em xin trao đổi với cụ vài ý kiến cá nhân
1. Nếu thông tin về tài khoản, số tiền giao dịch, em cho là bí mật cá nhân, e ko trao đổi, tham vấn người lạ
2. em ko chuyên về bank, cũng ko phải it, làm sao biết nó sạch hay không
3. Gọi tổng đài thì ko bắt máy 25/24h
4. Cái này thì chắc chắn, nhưng có xung đột với (1) không?
5. Thông tin kiểu tài khoản bạn có khả năng mất tiền, đề nghị truy cập để xác định ko phải, thậm chí từ tổng đài của ngân hàng thì hám lợi gì ở đây
PS: Giữa lúc nhà nước, ngân hàng kêu gọi người dân, doanh nghiệp không dùng tiền mặt, ngoài việc kêu gọi người dân nâng cao cảnh giác, thì chính NHNN, NHTM phải nâng cao trách nhiệm với người gửi tiền, nâng cao bảo mật hệ thống. Nếu không làm được thì đừng có kêu gọi không dùng tiền mặt trong khi chính họ không có hoặc có các động thái nhưng rất chậm, Để người dân tiền mất tật mang
Kính cụ!
 
Chỉnh sửa cuối:

NNS

Xe trâu
Biển số
OF-4688
Ngày cấp bằng
12/5/07
Số km
33,023
Động cơ
520,367 Mã lực
internetbanking em xài giờ nó bỏ mẹ nó cái OTP rồi, chủ tự nhớ pass mà nhập khi confirm chuyển xèng
 
  • Vodka
Reactions: XPQ

Dungnt_93

Xe tải
Biển số
OF-430296
Ngày cấp bằng
16/6/16
Số km
460
Động cơ
218,914 Mã lực
Tuổi
31
em xin trao đổi với cụ vài ý kiến cá nhân
1. Nếu thông tin về tài khoản, số tiền giao dịch, em cho là bí mật cá nhân, e ko trao đổi, tham vấn người lạ
2. em ko chuyên về bank, cũng ko phải it, làm sao biết nó sạch hay không
3. Gọi tổng đài thì ko bắt máy 25/24h
4. Cái này thì chắc chắn, nhưng có xung đột với (1) không?
5. Thông tin kiểu tài khoản bạn có khả năng mất tiền, đề nghị truy cập để xác định ko phải, thậm chí từ tổng đài của ngân hàng thì hám lợi gì ở đây
PS: Giữa lúc nhà nước, ngân hàng kêu gọi người dân, doanh nghiệp không dùng tiền mặt, ngoài việc kêu gọi người dân nâng cao cảnh giác, thì chính NHNN, NHTM phải nâng cao trách nhiệm với người gửi tiền, nâng cao bảo mật hệ thống. Nếu không làm được thì đừng có kêu gọi không dùng tiền mặt trong khi chính họ không có hoặc có các động thái nhưng rất chậm, Để người dân tiền mất tật mang
Kính cụ!
Mục 1 với 4 khác nhau mà cụ, nó ko xung đột đâu. Khi nhận đc những tin nhắn (ví dụ như trong trường hợp bài đang nêu) như trên mà cảm thấy ko ti tưởng thì mang đi hỏi người mà mình tin tưởng, rằng cái nội dung tin nhắn này thế nào và nó có gì lạ ko?
Còn mục 4 ở trên khả năng đang muốn nói là các SMS OPT (chắc ý người viết là thế)

QUả gọi tổng đài thì thường mấy bank nhỏ, hay bank kiểu agri thì đúng là gọi toàn đc nghe nhạc chờ. Bank bự thì gọi tầm 2-3 phát sẽ gặp đc
 

Dungnt_93

Xe tải
Biển số
OF-430296
Ngày cấp bằng
16/6/16
Số km
460
Động cơ
218,914 Mã lực
Tuổi
31
em xin trao đổi với cụ vài ý kiến cá nhân
1. Nếu thông tin về tài khoản, số tiền giao dịch, em cho là bí mật cá nhân, e ko trao đổi, tham vấn người lạ
2. em ko chuyên về bank, cũng ko phải it, làm sao biết nó sạch hay không
3. Gọi tổng đài thì ko bắt máy 25/24h
4. Cái này thì chắc chắn, nhưng có xung đột với (1) không?
5. Thông tin kiểu tài khoản bạn có khả năng mất tiền, đề nghị truy cập để xác định ko phải, thậm chí từ tổng đài của ngân hàng thì hám lợi gì ở đây
PS: Giữa lúc nhà nước, ngân hàng kêu gọi người dân, doanh nghiệp không dùng tiền mặt, ngoài việc kêu gọi người dân nâng cao cảnh giác, thì chính NHNN, NHTM phải nâng cao trách nhiệm với người gửi tiền, nâng cao bảo mật hệ thống. Nếu không làm được thì đừng có kêu gọi không dùng tiền mặt trong khi chính họ không có hoặc có các động thái nhưng rất chậm, Để người dân tiền mất tật mang
Kính cụ!
Em thêm tý, cái này bank là bên bị hại nhưng qua đây bank cũng cần cập nhật thêm về chất lượng dịch vụ. Cái ông quản lý dịch vụ viễn thông mới là thằng đáng ăn dép trong vụ này. Toàn đưa chính sách để quản lý thằng có tóc, còn bọn trọc thì lại kecomeno, hay năng lực của họ thua bọn trọc đầu. Em quan ngại thực sự
 

aladanh

Xe tăng
Biển số
OF-81397
Ngày cấp bằng
29/12/10
Số km
1,524
Động cơ
436,444 Mã lực
Em thêm tý, cái này bank là bên bị hại nhưng qua đây bank cũng cần cập nhật thêm về chất lượng dịch vụ. Cái ông quản lý dịch vụ viễn thông mới là thằng đáng ăn dép trong vụ này. Toàn đưa chính sách để quản lý thằng có tóc, còn bọn trọc thì lại kecomeno, hay năng lực của họ thua bọn trọc đầu. Em quan ngại thực sự
em là người dân, cứ ra rả không dùng TM chứ e có biết đoạn nào của viễn thông, đoạn nào của NH đâu, trong khi phí định kỳ vẫn thu đều
QUả gọi tổng đài thì thường mấy bank nhỏ, hay bank kiểu agri thì đúng là gọi toàn đc nghe nhạc chờ. Bank bự thì gọi tầm 2-3 phát sẽ gặp đc
Bank bự là bank nào ạ? Để e check hotline xem bao lâu thì nghe, và nghe thì có giải quyết đc ko?
 

Dungnt_93

Xe tải
Biển số
OF-430296
Ngày cấp bằng
16/6/16
Số km
460
Động cơ
218,914 Mã lực
Tuổi
31
em là người dân, cứ ra rả không dùng TM chứ e có biết đoạn nào của viễn thông, đoạn nào của NH đâu, trong khi phí định kỳ vẫn thu đều

Bank bự là bank nào ạ? Để e check hotline xem bao lâu thì nghe, và nghe thì có giải quyết đc ko?
:D cụ cứ phải bắt lỗi này do bank à. Cụ thử dùng mấy bank bự như Citi bank, HSBC xem sao
 

NNS

Xe trâu
Biển số
OF-4688
Ngày cấp bằng
12/5/07
Số km
33,023
Động cơ
520,367 Mã lực
Ô, sao lại bỏ OTP, bỏ OTP thì rất dễ mất tiền lắm bác ạ
Theo bank nó thuyết minh thì bỏ otp thì là nó nâng cấp thêm 1 mức về bảo mật nữa cụ ạ. Chủ tk tự quản lí mk của mình chứ ko phải phụ thuộc vào bank nhắn tin cho nữa
 

vietdang89

Xe tải
Biển số
OF-469158
Ngày cấp bằng
9/11/16
Số km
312
Động cơ
203,590 Mã lực
Tuổi
36
Sau vụ này bank nó làm việc trực tiếp với telcos, các agency như VNpay mất khách
 

Tuan Can

Xe container
Biển số
OF-162235
Ngày cấp bằng
23/10/12
Số km
8,565
Động cơ
423,646 Mã lực
Nơi ở
Linh Đàm, Hà Nội
Năm nào cty em cũng có đào tạo bắt buộc về internet an toàn. Các nguy cơ đều đươc cảnh báo. Mấy cái tin nhắn không kiểm chứng này cần có đối chiếu chứng thực từ nguồn chính thống.
 

NNS

Xe trâu
Biển số
OF-4688
Ngày cấp bằng
12/5/07
Số km
33,023
Động cơ
520,367 Mã lực
Thế nó có cho mật khẩu 2 lớp ko bác
nó gọi là Smart OTP cụ ạ, thay vì nhận đc cái mã OTP qua ms nhắn về đt thì tự chủ tk set và nhập mã PIN khi chuyển tiền:

Để sử dụng Smart OTP, Quý khách cần đăng ký kích hoạt Smart OTP trên một thiết bị di động (điện thoại, máy tính bảng) duy nhất. Ngoài tài khoản ngân hàng điện tử và mật khẩu đăng nhập, Smart OTP sẽ được bảo vệ bằng một mã mở khóa 4 số do chính Quý Khách thiết lập.
Khi thực hiện xác thực giao dịch, Quý khách cần nhập Mã mở khóa Smart OTP, sau đó hệ thống sẽ tạo mã OTP duy nhất ứng với giao dịch đang chờ xác thực và tự động nhập OTP này để hoàn tất xác thực giao dịch.
Với giải pháp Smart OTP, mã OTP được sinh ra ngay trên ứng dụng và mã hóa với hệ thống bảo vệ nhiều lớp phức tạp. Nhờ vậy mà giải pháp này mang đến mức độ bảo mật cao nhất và trải nghiệm vượt trội khi thực hiện các giao dịch trực tuyến
 
Chỉnh sửa cuối:
Thông tin thớt
Đang tải

Bài viết mới

Top