Chuyên gia cảnh báo chiêu lừa đảo ngân hàng mới

Mới đây, các nhà nghiên cứu bảo mật của ThreatFabric đã xác định được một mạng lưới các trang web lừa đảo, nhắm vào người dùng ngân hàng trực tuyến.

Lừa đảo ngân hàng bằng giọng nói

Theo thống kê của Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC), mỗi tuần có hàng trăm báo liên quan đến các vụ lừa đảo qua mạng.

Ngoài việc sử dụng tin nhắn, email, liên kết giả mạo… kẻ gian còn sử dụng chiến thuật lừa đảo bằng giọng nói (vishing) để lừa nạn nhân cài đặt phần mềm độc hại lên điện thoại Android, các nhà nghiên cứu tiết lộ.

Cụ thể, kẻ gian sẽ giả mạo là nhân viên ngân hàng, hướng dẫn người dùng cài đặt một ứng dụng bảo mật và cấp các quyền hạn cần thiết. Tuy nhiên, thực tế đây là phần mềm độc hại Copybara, cho phép tin tặc có thể truy cập từ xa hoặc thực hiện các giao dịch gian lận.

Copybara là một trojan di động, được phát hiện lần đầu tiên vào năm 2021. Giống như các phần mềm độc hại khác dựa trên Android, Copybara cũng lạm dụng API dịch vụ trợ năng của hệ điều hành để thu thập thông tin nhạy cảm, và thậm chí gỡ cài đặt ứng dụng để xóa dấu vết.

Các nhà nghiên cứu tại ThreatFabric nói rằng chiến dịch lừa đảo này đã diễn ra trong gần một năm. Đồng thời, họ còn phát hiện thêm một phần mềm độc hại khác là SMS Spy, cho phép kẻ gian truy cập vào tất cả tin nhắn SMS và chặn OTP được gửi từ các ngân hàng.

Làn sóng tấn công gian lận kết hợp nhiều phương pháp đã khiến nhiều người trở thành nạn nhân của kẻ gian.

“Các cuộc tấn công như vậy đòi hỏi nhiều nguồn lực hơn, tinh vi hơn để thực hiện và duy trì”, nhóm Tình báo Mối đe dọa Di động (MTI) của ThreatFabric chia sẻ.

Tháng trước, MalwareHunterTeam đã trình bày chi tiết một cuộc tấn công tương tự nhằm vào khách hàng của Axis Bank, một ngân hàng có trụ sở tại Ấn Độ.

6 cách để hạn chế mất tiền trong tài khoản ngân hàng

- Tuyệt đối không nhấp vào liên kết được gửi kèm trong tin nhắn, email… thậm chí kể cả khi chúng được gửi từ bạn bè hoặc ngân hàng (không loại trừ trường hợp tài khoản của bạn bè đã bị xâm nhập).

- Tuyệt đối không cung cấp tên đăng nhập, mật khẩu ngân hàng, mã OTP (mật khẩu một lần), số thẻ ngân hàng… thông qua tin nhắn, email, mạng xã hội hoặc điện thoại cho bất kỳ ai, kể cả khi người đó tự xưng là công an, nhân viên ngân hàng.

Chuyên gia cảnh báo chiêu lừa đảo ngân hàng mới - 1
Chuyên gia cảnh báo chiêu lừa đảo ngân hàng mới - 2

- Đặt mật khẩu khó đoán và có tối thiểu 8 ký tự, bao gồm chữ hoa, chữ thường, số và các ký tự đặc biệt.

- Sử dụng phương thức xác thực Smart OTP, Soft OTP… khi giao dịch trực tuyến, thay vì SMS OTP như hiện nay.

- Khi thực hiện việc chuyển khoản, người dùng cần phải chú ý lại địa chỉ trang web, xem có đúng là trang web của ngân hàng hay không.

- Thường xuyên cập nhật thông tin về các chiêu trò lừa đảo trên những phương tiện thông tin đại chúng.