(KTSG Online) – Do lỗ hổng bảo mật chí tử của công nghệ 2G, bọn tội phạm dễ dàng dùng trạm phát sóng giả để gửi tin nhắn lừa đảo. Cho đến khi tắt sóng 2G vào tháng 9 tới, các nhà mạng vẫn còn nợ một lời xin lỗi vì chưa bao giờ họ công khai thừa nhận lỗ hổng này như một nguyên nhân dẫn đến việc khách hàng bị lừa mất tiền.
- Khách hàng mất tiền vì lỗ hổng 2G, nhà mạng và ngân hàng vẫn vô can?
- Dừng sử dụng công nghệ 2G vào tháng 9-2024
Khi các vụ tin nhắn lừa đảo mạo danh ngân hàng bắt đầu xuất hiện, Cục An toàn thông tin (Bộ Thông tin và Truyền thông) đã xác định các tin này được gửi từ trạm phát sóng điện thoại di động (BTS) giả.
Nguyên nhân dẫn đến tình trạng này do lỗ hổng bảo mật của mạng điện thoại di động dùng công nghệ 2G. Công nghệ này chỉ yêu cầu xác thực người sử dụng điện thoại mà không yêu cầu xác thực nhà mạng. Do đó, trạm BTS giả có thể dễ dàng gửi SMS đến các máy điện thoại ở chung quanh khu vực phát sóng như một trạm BTS thật của nhà mạng(*).
Các ngân hàng thường sử dụng tin nhắn định danh (SMS Brandname) khi gửi đến máy điện thoại khách hàng sẽ hiển thị tên ngân hàng. Nhiều khách hàng giữ nguyên các tin nhận được vào trong máy sẽ có một chuỗi SMS Brandname. Khi nhận một SMS nằm trong chuỗi này, khách hàng đương nhiên xem đó là tin nhắn thật được gửi từ ngân hàng và không cần phải dè chừng.
Nắm được tâm lý đó, những nhóm lừa đảo trực tuyến đã dùng trạm phát sóng điện thoại di động (BTS) giả để chèn tin nhắn mạo danh vào chuỗi SMS Brandname ngân hàng và lừa người nhận tin truy cập vào các website giả mạo rồi chiếm đoạt tiền trong tài khoản nạn nhân.
Từ đầu năm 2021, SMS Brandname mạo danh ngân hàng được gửi qua các trạm phát sóng điện thoại di động (BTS) giả bắt đầu bùng nổ và kéo dài mãi đến giữa năm 2023 mới tạm lắng. Đó cũng là thời điểm số vụ phát hiện trạm BTS giả bắt đầu tăng lên.
Dù phát từ BTS giả nhưng tin nhắn SMS lừa đảo lại có mức độ mạo danh hoàn hảo như tin nhắn thật, khi gửi đến máy điện thoại thì nằm trong chuỗi SMS thật từ ngân hàng đã gửi trước đó. Với đặc điểm này, nhiều khách hàng tin rằng đây là tin nhắn ngân hàng gửi đến nên đã bấm vào đường link trong SMS và bị lừa gạt thao tác dẫn đến mất tiền trong tài khoản.
Đầu năm 2021, hai khách hàng của ngân hàng Sacombank bị mất gần 40 triệu đồng sau khi nhận SMS Brandname. Sau khi kiểm tra, một tuần sau đó ngân hàng này đã quyết định tạm ứng trả lại số tiền bị mất cho khách hàng trong khi chờ kết luận điều tra của công an về việc tại sao tin nhắn mạo danh lại “chui” được vào chuỗi tin nhắn thật gửi từ ngân hàng.
Tuy nhiên, số người may mắn được hoàn tiền bị lừa như hai khách hàng nói trên không nhiều. Hàng trăm vụ khác xảy ra sau đó ở nhiều ngân hàng khác đa số đều được ngân hàng “hỗ trợ” bằng cách hướng dẫn đến công an khai báo. Hầu hết nạn nhân trong các vụ này đều tự gánh chịu thiệt hại về số tiền bị mất, có vụ lên đến hàng tỉ đồng, do “click vào link lạ, cài app lạ”, theo giải thích từ phía ngân hàng.
Trong giai đoạn đầu, khi nạn tin nhắn mạo danh ngân hàng hoành hành, đã có ngân hàng và khách hàng dùng điện thoại di động chất vấn về trách nhiệm của nhà mạng rằng tại sao tin nhắn giả mạo lại lọt được vào chuỗi SMS Brandname thật. Đáng tiếc là câu trả lời rất loanh quanh, không rõ ràng, thậm chí lúc đầu có nhà mạng còn khẳng định họ không có lỗi gì trong việc này vì đó là “điều không thể xày ra”.
Lổ hổng bảo mật của mạng 2G một lần nữa được khẳng định tại cuộc họp báo giữa năm 2023 của Bộ Thông tin và Truyền thông với số liệu cho thấy, từ đầu năm 2022 đến giữa năm 2023, cơ quan chức năng đã bắt được 24 vụ sử dụng trạm BTS giả gửi tin nhắn lừa đảo.
Thế nhưng cho đến nay, các nhà mạng chỉ nhắn tin cảnh báo với SMS mạo danh mà chưa bao giờ nhắn tin với nội dung cảnh báo lỗ hổng 2G trong công nghệ của họ cho khách hàng biết để đề phòng nhiều hơn.
Việc tắt sóng 2G về bản chất là để ngăn chặn một lỗ hổng công nghệ không thể khắc phục. Cần sòng phẳng về điều này chứ không chỉ đưa ra lời có cánh “để mang lại nhiều lợi ích cho người dân, doanh nghiệp khi giảm chi phí vận hành, tập trung đẩy mạnh chất lượng của dịch vụ” như cách giải thích hiện nay.
Chưa công khai thừa nhận điều này khi tắt sóng 2G, các nhà mạng Việt Nam vẫn đang nợ khách hàng một lời xin lỗi!
———————-
(*) https://thesaigontimes.vn/khach-hang-mat-tien-vi-lo-hong-2g-nha-mang-va-ngan-hang-van-vo-can/
Cả tháng nay, tôi và cháu tôi ngày nào cũng nhận cuộc gọi từ đầu số 024888, 028888 mời chào mua chứng khoán, đất đai, cho vay liên tục, tìm hiểu thì mới biết các đầu số này là các số ảo không phải của máy đt cố định và thuộc quyền quản lý của nhà mạng Digitel. Những số này được cấp phép đàng hoàng chớ không phải là sim rác. Thậm chí có đầu sở gọi tới cháu tôi và chửi thề DM.
Thay vì dùng SMS, hầu hết người sử dụng đang chuyển sang OTT, nhằm tận dụng ưu thế không giới hạn của mạng internet trong giao tiếp, trao đổi thông tin, hình ảnh… OTT đúng là ngon bổ rẻ, an toàn, hơn nhiều so với SMS. Nhà mạng của ta cần phải tiếp tục cải tiến cung cách phục vụ, nếu không sẽ mất dần, mất hết khách hàng.