Việc các ngân hàng yêu cầu cài đặt sinh trắc học là nhằm ngăn chặn tội phạm lấy cắp tiền trong tài khoản của người dùng. Tuy nhiên, nhiều đối tượng lại lợi dụng việc này để thực hiện lừa đảo nên ngân hàng phải ra cảnh báo gấp.
Chỉ có hai cách cài đặt sinh trắc học
Theo Quyết định 2345/QĐ-NHNN của Ngân hàng Nhà nước về việc triển khai các giải pháp an toàn, bảo mật trong thanh toán trực tuyến và thanh toán thẻ ngân hàng, các nhà băng đã và đang hỗ trợ khách hàng thu thập và đăng ký sinh trắc học theo hai hình thức:
Một là, đối với khách hàng đã có CCCD gắn chip và điện thoại hỗ trợ NFC, khách hàng chủ động thực hiện trên ứng dụng ngân hàng số (app chính thức của ngân hàng) từ tính năng “Cập nhật sinh trắc học”.
Thứ 2, với khách hàng chưa có CCCD gắn chip hoặc thiết bị của khách hàng không thực hiện được trên ứng dụng ngân hàng trực tuyến, khách hàng trực tiếp đến các điểm giao dịch của ngân hàng để được hỗ trợ.
Các nhà băng khuyến cáo khách hàng chỉ thực hiện đăng ký sinh trắc học theo một trong hai hình thức trên. Mọi hướng dẫn khác với hai hình thức này đều là giả mạo. Ngân hàng không yêu cầu khách hàng cung cấp bất cứ thông tin nào liên quan đến truy cập, mật khẩu, mã xác thực OTP,... để thực hiện đăng ký sinh trắc học.
Tuy nhiên, lợi dụng việc các ngân hàng thực hiện thu thập sinh trắc học, các đối tượng lừa đảo đã giả mạo nhân viên ngân hàng để hỗ trợ cập nhật thao tác này cho người dùng.
Một số cách thức lừa đảo phổ biến đang được các đối tượng thực hiện, gồm:
Liên hệ khách hàng bằng các hình thức như gọi điện, nhắn tin, kết bạn qua các mạng xã hội (Zalo, Facebook,... ) để hướng dẫn thu thập thông tin sinh trắc học.
Lập nick gây nhầm lẫn như “nhân viên ngân hàng”, “hỗ trợ khách hàng"... và trà trộn tương tác với những bình luận của khách hàng dưới các bài đăng trên trang mạng xã hội chính thức của ngân hàng, đề nghị liên hệ riêng (inbox) nhằm dẫn dụ, lừa đảo lấy thông tin của khách hàng.
Yêu cầu khách hàng cung cấp thông tin cá nhân, thông tin tài khoản, hình ảnh CCCD, hình ảnh khuôn mặt,... để được hỗ trợ. Thậm chí các đối tượng còn yêu cầu cuộc gọi video để thu thập thêm giọng nói, cử chỉ.
Đề nghị khách hàng truy cập vào đường link lạ để tải và cài đặt ứng dụng hỗ trợ thu thập sinh trắc học trên điện thoại.
Sau khi lấy được thông tin của khách hàng, các đối tượng sẽ tiến hành chiếm đoạt tiền trong tài khoản ngân hàng của khách.
Các ngân hàng cảnh báo, khách hàng tuyệt đối không cung cấp thông tin cá nhân qua các kênh như gọi điện, nhắn tin SMS, email, phần mềm chat (Zalo, Viber, Facebook messenger,... ). Đồng thời, tuyệt đối không bấm vào link, không cung cấp thông tin bảo mật tài khoản, dịch vụ ngân hàng số (tên đăng nhập, mật khẩu, mã OTP), dịch vụ thẻ (số thẻ, mã OTP), thông tin tài khoản hay bất cứ thông tin bảo mật dịch vụ ngân hàng, thông tin cá nhân nào khác.
Khách hàng không chia sẻ thông tin cá nhân, thông tin dịch vụ ngân hàng, thông tin giao dịch ngân hàng... lên mạng xã hội, tránh bị đối tượng lừa đảo lợi dụng mạo danh ngân hàng/cán bộ ngân hàng liên hệ, yêu cầu được hỗ trợ hoặc yêu cầu cung cấp thông tin nhằm thực hiện các hành vi lừa đảo, gian lận và chiếm đoạt tiền trong tài khoản.
Nói không với app lạ
Dù bắt đầu tiếp cận với hình thức nào, cuối cùng phương thức phổ biến nhất của đối tượng lừa đảo vẫn là hướng dẫn nạn nhân cài ứng dụng giả mạo (app giả mạo) có chứa mã độc, nhằm đánh cắp thông tin và chiếm đoạt tiền trong tài khoản của khách hàng.
Bên cạnh app giả mạo ngân hàng, một số app giả mạo được ghi nhận như: App dịch vụ công giả mạo, app VNeID giả mạo, app Chính phủ giả mạo, app cơ quan thuế giả mạo, app Bộ Công an giả mạo,...
Đối tượng liên hệ và dẫn dụ người dùng với một số kịch bản phổ biến như: Thông tin định danh trên hệ thống không đồng bộ; quá hạn làm sổ hộ khẩu điện tử; hỗ trợ định danh VNeID mức 2; tải app để bốc số thứ tự trước, không cần chờ đợi khi lên công an quận, huyện làm thủ tục; lên công an quận, huyện để cập nhật thông tin bằng lái xe;...
Đối tượng gửi đường link và yêu cầu người dân truy cập để tải và cài đặt các ứng dụng chứa mã độc vào điện thoại. Một số đường link lừa đảo được ghi nhận như: dichvucong.dulieuquocgia.co, dichvucong.bvgov.com, dichvucong.govn.com, dichvucong.bcagov.com,...
Ứng dụng giả mạo yêu cầu khách hàng cài đặt ứng dụng từ nguồn không xác định và cấp quyền truy cập thiết bị ở mức cao (đọc tin nhắn, kiểm soát điện thoại từ xa,... ).
Theo cơ quan chức năng, dấu hiệu nhận biết app giả mạo thường là khi ứng dụng không được cài đặt từ chợ ứng dụng (App Store, CH Play) mà thông qua đường link do đối tượng lừa đảo hướng dẫn; không thao tác được trên màn hình thiết bị (màn hình bị đen hoặc bị treo); máy chạy chậm, nóng, nhanh hết pin sau khi cài ứng dụng; ứng dụng tự động bật ngay cả khi không sử dụng;...
Do đó, cơ quan chức năng khuyến cáo người dân đặc biệt cảnh giác khi nhận cuộc gọi thông báo từ "cơ quan chức năng" và yêu cầu cài đặt ứng dụng;
Chỉ cài đặt ứng dụng được cung cấp bởi các đơn vị phát triển đáng tin cậy từ các chợ ứng dụng App Store (iOS) và CH Play (Android);
Tuyệt đối không cài đặt ứng dụng qua đường link được gửi qua Zalo, SMS, Viber,… và các phần mềm tin nhắn hoặc qua đường link do người khác hướng dẫn truy cập;
Thực hiện khôi phục cài đặt gốc (reset) đối với điện thoại ngay nếu phát hiện dấu hiệu lạ trên điện thoại (máy chạy chậm, màn hình đen, có thông báo ứng dụng đòi quyền truy cập, xuất hiện app lạ trên điện thoại, máy nóng, nhanh hết pin);
Cập nhật ứng dụng ngân hàng phiên bản mới nhất và đăng ký sinh trắc học để tăng cường bảo mật.