(KTSG) - Vài năm gần đây, có hàng trăm người bị lừa đảo trực tuyến khiến họ mất tiền trong tài khoản ngân hàng. Trong đa số trường hợp, nạn nhân phải chịu mất tiền trong ấm ức vì ngân hàng cho rằng, “lỗi hoàn toàn do khách hàng bấm vào đường link không phải của ngân hàng”.
Tuy nhiên thông tin mới được công bố cho thấy, cả ngân hàng và nhà mạng đã lờ đi một nguyên nhân quan trọng: lỗ hổng an ninh trong mạng 2G khiến bọn lừa đảo có thể gửi tin nhắn SMS giả mạo “y như thật”.
Theo thống kê vừa công bố của Cục An toàn thông tin thuộc Bộ Thông tin và Truyền thông, trong sáu tháng đầu năm 2023, lừa đảo trực tuyến tại Việt Nam tăng tới gần 65% so với cùng kỳ năm ngoái và tăng gần 38% so với sáu tháng cuối năm 2022. Các nhóm lừa đảo chính gồm giả mạo thương hiệu, chiếm đoạt tài khoản và các hình thức kết hợp khác. Có tới 24 hình thức lừa đảo đang diễn ra trên không gian mạng Việt Nam được ghi nhận.
Lỗ hổng an ninh không thể khắc phục của mạng 2G
Cục An toàn thông tin cũng nhận định, các nhóm lừa đảo đã tận dụng được các tiện ích, công nghệ hiện đại để tạo ra những hệ thống lừa đảo tinh vi, hiệu quả khiến người dùng rất khó nhận diện. Chẳng hạn, để lừa người dân cài ứng dụng nộp thuế trực tuyến nhằm lấy thông tin tài khoản ngân hàng và chiếm đoạt tiền, các nhóm tội phạm sử dụng tới gần 200 hệ thống khác nhau(1).
Những con số và nhận định từ cơ quan chức năng nhà nước về an ninh mạng cho thấy, tình trạng lừa đảo trực tuyến đã kéo dài trong vài năm qua, ngày càng tăng và vẫn chưa có biện pháp ngăn chặn hiệu quả. Thử hỏi, những người dân bình thường làm sao đủ kỹ năng đối phó khi bị bao vây trong một mê hồn trận lừa đảo dùng công nghệ cao như vậy? Không chỉ có vậy, việc lừa đảo trực tuyến còn dễ dàng hơn với hạ tầng viễn thông hiện nay do lỗ hổng an ninh không thể khắc phục của mạng 2G.
Tình trạng lừa đảo trực tuyến đã kéo dài trong vài năm qua, ngày càng tăng và vẫn chưa có biện pháp ngăn chặn hiệu quả.
Tại buổi họp báo thường kỳ tháng 7-2023, Cục Tần số vô tuyến điện thuộc Bộ Thông tin và Truyền thông cho biết, tính từ đầu năm 2022 đến nay, các cơ quan chức năng đã phát hiện và xử lý 24 vụ sử dụng các trạm phát sóng điện thoại di động (BTS) giả để phát tán tin nhắn SMS. Chỉ riêng trong sáu tháng đầu năm 2023 cơ quan chức năng đã phát hiện và bắt giữ được 15 trạm BTS giả.
Trạm BTS giả phát tán sóng đè lên sóng của các nhà mạng di động, khi đó thuê bao di động kết nối vào trạm phát sóng giả này mà không qua các nhà mạng. Nguyên nhân xảy ra tình trạng này do lỗ hổng bảo mật của mạng 2G. Mạng di động 2G chỉ yêu cầu xác thực người sử dụng điện thoại nhưng không yêu cầu người sử dụng xác thực nhà mạng(2).
SMS “y như thật”: biết đâu mà tránh?
Việc khách hàng của ngân hàng mất tiền bắt nguồn từ lỗ hổng mạng 2G nên bọn tội phạm lợi dụng lỗ hổng này để nguỵ tạo tin nhắn SMS y hệt như tin nhắn chính thức của ngân hàng (SMS brandname). Vì vậy, tin nhắn gửi đến là nằm trong chuỗi SMS brandname trước đó của ngân hàng, người nhận không thể nhận ra đó là một SMS giả mạo.
Vậy mà, trong suốt mấy năm qua, khách hàng của ngân hàng bị mất tiền thì đành cắn răng chịu vì ngân hàng giải thích do bấm vào đường link thì… ráng chịu. Trong đa số trường hợp, ngân hàng chỉ “giúp” khách hàng bằng cách hướng dẫn khách hàng đến công an khai báo.
Các nhà mạng thì chỉ đưa ra những lời khuyên chung chung chiếu lệ suốt chừng đó thời gian mặc cho các trạm BTS giả tha hồ hoành hành. Không có nhà mạng nào thừa nhận lỗ hổng mạng 2G dù trên mạng xã hội đã có một số ý kiến đề cập đến vấn đề này.
Bộ Thông tin và Truyền thông cũng thừa nhận việc ngăn chặn tình trạng này chưa thực sự hiệu quả triệt để. Tình trạng dùng trạm phát sóng giả để mạo danh tin nhắn tổ chức tài chính, ngân hàng lừa đảo người dùng vẫn tiếp tục tái diễn. Lực lượng chức năng theo dõi để phát hiện và bắt giữ rất mệt mỏi và hiệu quả không cao vì trạm được chở trên xe hơi chạy lòng vòng, thỉnh thoảng lại được mở lên gửi tin SMS rồi tắt đi.
Như vậy, ngoài 24 trạm BTS bị bắt giữ thì còn bao nhiêu trạm đang tung hoành bên ngoài và người dân làm sao tránh bị lừa?
Ngân hàng, nhà mạng không thể đổ lỗi cho khách hàng
Nạn nhân bị lừa vừa là khách hàng của nhà mạng, vừa là khách hàng của ngân hàng. “Thượng đế” chỉ biết ngậm bồ hòn làm ngọt vì biết rõ không lấy lại được tiền, chỉ thêm mất thời gian.
Với lỗ hổng an ninh mạng 2G này, nhà mạng và cả ngân hàng phải liên đới chịu trách nhiệm khi khách hàng của mình nhận được tin nhắn SMS “y như thật” nằm trong chuỗi tin nhắn brandname của ngân hàng hay các loại tin nhắn SMS lừa đảo khác phát từ BTS giả.
Khi không thể phủ nhận lỗ hổng mạng 2G đã góp phần gây ra các vụ lừa đảo khiến khách hàng của mình mất tiền thì nhà mạng và ngân hàng phải có cách ứng xử có trách nhiệm hơn, chẳng hạn như truy tìm và phong tỏa số tiền chuyển đến bọn lừa đảo khi có tố cáo từ phía nạn nhân.
Cơ quan quản lý nhà nước cũng cần tăng cường quy định buộc nhà mạng và ngân hàng phải liên đới trách nhiệm, có biện pháp bảo vệ người tiêu dùng tốt hơn. Không thể để tiếp diễn tình trạng đổ lỗi do khách hàng “bấm vào đường link lạ” nên mất tiền và chối bỏ trách nhiệm từ phía nhà mạng, ngân hàng như suốt mấy năm qua!
(2) https://tuoitre.vn/phat-hien-15-tram-phat-song-gia-phat-tin-nhan-lua-dao-20230705182803245.htm