Cảnh báo chiêu rút tiền qua thẻ thanh toán dù thẻ vẫn nằm trong ví
Thanh toán không tiếp xúc (tap-to-pay) ngày càng được sử dụng rộng rãi, song xu hướng này cũng kéo theo những thủ đoạn gian lận công nghệ cao ngày một tinh vi hơn.
Một số loại thẻ ngân hàng (Ảnh: Vĩ Quang).
Thủ đoạn gian lận mới và khó nhận biết
Gần đây, nhiều ngân hàng tại Việt Nam liên tục phát đi cảnh báo về một hình thức lừa đảo được gọi là "chuyển tiếp token" (token relay) hoặc "ghost tapping".
Với cách thức này, chủ thẻ có thể bị trừ tiền hoặc phát sinh giao dịch không được cho phép dù chiếc thẻ vật lý vẫn đang nằm trong ví.
Thông thường, kịch bản bắt đầu khi kẻ xấu mạo danh nhân viên ngân hàng hoặc cơ quan chức năng, sau đó gửi đường link hay mã QR chứa nội dung độc hại để dụ nạn nhân nhập thông tin thẻ, gồm số thẻ, ngày hết hạn, mã bảo mật CVV/CVC và mã xác thực OTP.
Khi đã thu thập đủ dữ liệu, các đối tượng có thể đưa thẻ của nạn nhân vào những dịch vụ thanh toán số như Apple Pay, Google Pay hoặc Samsung Wallet trên thiết bị do chúng nắm quyền kiểm soát.
Việc này sẽ tạo ra một mã định danh thanh toán đã được số hóa (payment token), dùng để thay thế thông tin thẻ thật khi thực hiện giao dịch không tiếp xúc.
Kể từ đó, thiết bị của đối tượng gian lận có thể thanh toán tại máy POS theo cách tương tự như chính chủ thẻ.
Ở một số tình huống, nếu vượt qua các bước xác thực cần thiết, kẻ gian còn có thể gắn cùng một thẻ vào nhiều thiết bị khác nhau, qua đó thực hiện nhiều giao dịch gian lận trong thời gian ngắn nhằm nhanh chóng chuyển dịch tài sản.
Do thẻ vật lý không bị mất và vẫn nằm trong ví, không ít người chỉ phát hiện thông tin thẻ đã lộ hoặc đã bị thêm trái phép vào thiết bị khác khi nhận thông báo giao dịch, hoặc thấy tài khoản bị trừ tiền.
Cần tăng xác thực sinh trắc học khi thêm thẻ
Chuyên gia an ninh mạng Ngô Minh Hiếu (Dự án Chống lừa đảo) cho biết: "Vấn đề cốt lõi không nằm ở việc Apple Pay, Google Pay hay Samsung Wallet bị “hack”, mà là đối tượng lừa đảo đã lấy được dữ liệu thẻ cùng mã OTP để đăng ký thẻ của nạn nhân trên thiết bị của chúng. Sau khi liên kết thành công, ngân hàng sẽ phát hành token thanh toán cho thiết bị đó.
Từ lúc này, chúng có thể dùng điện thoại của mình để trả tiền bằng phương thức không tiếp xúc, trong khi thẻ thật vẫn ở trong ví của nạn nhân. Điều đáng ngại là mã OTP nạn nhân đưa ra không phải phục vụ việc “xác minh tài khoản” như lời kẻ gian nói, mà chính là mã xác nhận thao tác thêm thẻ vào ví số. Vì thế, hệ thống có thể ghi nhận đây là yêu cầu hợp lệ từ chủ thẻ".
Theo ông Hiếu, việc chỉ dùng mã OTP gửi qua SMS là chưa đủ an toàn đối với các thao tác nhạy cảm như đưa thẻ vào ví số. Ngân hàng nên ưu tiên xác thực ngay trong ứng dụng ngân hàng chính chủ, kết hợp sinh trắc học, đồng thời hiển thị rõ thiết bị đang được thêm thẻ, loại ví, thời điểm, vị trí tương đối và cảnh báo dễ thấy: “Bạn đang thêm thẻ vào Apple Pay/Google Pay trên một thiết bị mới”.
Đối với các trường hợp có mức rủi ro cao, cần bổ sung xác thực tăng cường như phê duyệt qua app ngân hàng, liveness/sinh trắc học, cuộc gọi xác nhận từ tổng đài chính thức hoặc thiết lập thời gian chờ. Bên cạnh đó, ví số vừa được liên kết nên bị giới hạn hạn mức trong 24-48 giờ đầu nhằm giảm thiểu thiệt hại nếu người dùng bị lừa.
"Ngân hàng cần đánh giá rủi ro theo toàn bộ chuỗi hành vi, thay vì chỉ nhìn vào từng giao dịch riêng lẻ. Chẳng hạn, một thẻ vừa được đưa vào thiết bị mới rồi ngay sau đó xuất hiện nhiều giao dịch liên tục với giá trị cao như điện thoại, vàng, hàng xa xỉ, hoặc phát sinh tại khu vực địa lý bất thường thì phải được xếp vào nhóm rủi ro cao.
Những tín hiệu như một thẻ được liên kết với nhiều thiết bị trong thời gian ngắn, giao dịch diễn ra dồn dập, số tiền bị chia nhỏ, quốc gia/thành phố thay đổi bất thường, hoặc giao dịch đầu tiên xuất hiện ngay sau khi thêm ví đều cần kích hoạt cơ chế tự động: tạm khóa token ví số, yêu cầu xác minh lại trong app ngân hàng, hoặc ngăn giao dịch trước khi tiền bị rút đi", ông Hiếu bày tỏ.
Khuyến cáo bảo vệ tài sản khi dùng thẻ
Để giảm nguy cơ mất tiền trước hình thức lừa đảo này, chuyên gia khuyến nghị người dùng thẻ phải thực hiện nghiêm các nguyên tắc bảo mật:
- Không chia sẻ số thẻ, ngày hết hạn, CVV/CVC và đặc biệt là OTP với bất kỳ người nào, kể cả khi họ tự nhận là nhân viên ngân hàng, công an hoặc đại diện cơ quan chức năng.
Khi nhận được OTP, người dùng cần xem kỹ nội dung tin nhắn để biết mã đó được dùng cho thao tác nào. Nếu tin nhắn có các nội dung như “liên kết ví”, “Apple Pay”, “Google Pay”, “Samsung Wallet” trong khi bản thân không thực hiện, tuyệt đối không nhập mã và không đọc mã cho người khác.
- Chủ thẻ chỉ nên tự thêm thẻ vào ví số thông qua ứng dụng ngân hàng hoặc ứng dụng ví chính thức trên thiết bị của mình. Đồng thời, nên bật thông báo biến động số dư, cài hạn mức thẻ, thường xuyên kiểm tra danh sách thiết bị/ví đang liên kết và khóa thẻ ngay khi phát hiện giao dịch bất thường.
Nếu đã vô tình cung cấp OTP hoặc thông tin thẻ, người dùng cần liên hệ ngay hotline ngân hàng để khóa thẻ, khóa token ví số, đồng thời lưu lại chứng cứ để trình báo cơ quan chức năng.
- Người dùng nên thêm thẻ vào Apple Pay/Google Pay để tăng mức độ an toàn khi sử dụng, hạn chế đưa thẻ tín dụng vật lý cho bất kỳ ai đáng nghi; trong trường hợp buộc phải đưa thẻ, cần bảo đảm thẻ luôn nằm trong phạm vi quan sát an toàn.
Cảm ơn bạn đã theo dõi bài viết. Bạn có thể tiếp tục đọc thêm các nội dung liên quan bên dưới để cập nhật những khuyến cáo mới về an toàn tài chính và bảo mật khi thanh toán số.
Ý kiến bạn đọc (0)