Bạn vẫn tin rằng chỉ cần giữ kín mã OTP là tiền trong tài khoản sẽ an toàn tuyệt đối? Thực tế phũ phàng đã chứng minh điều ngược lại. Hàng loạt vụ án nạn nhân "bốc hơi" hàng tỷ đồng dù điện thoại vẫn nằm trên tay, không hề cung cấp mật khẩu cho bất kỳ ai đang gióng lên hồi chuông báo động đỏ. Vậy chính xác thì những tên tội phạm vô hình đã "đi xuyên" qua các lớp bảo mật ngân hàng bằng cách nào?
Cú lừa kinh điển: "Website giả" nuốt chửng thông tin thật
Phương thức phổ biến nhất và cũng là "cửa ngõ" đầu tiên để kẻ gian xâm nhập tài khoản của bạn chính là tấn công Phishing (giả mạo). Chúng không tấn công vào hệ thống tường lửa kiên cố của ngân hàng, mà tấn công vào sự chủ quan của người dùng.
Kịch bản thường thấy là một tin nhắn SMS Brandname giả mạo ngân hàng hoặc một Email cảnh báo tài khoản bị khóa, yêu cầu xác thực lại danh tính. Khi bạn bấm vào đường link đính kèm, một website có giao diện giống hệt trang chủ ngân hàng hiện ra. Ngay khoảnh khắc bạn gõ tên đăng nhập và mật khẩu vào ô trống, toàn bộ dữ liệu đó được chuyển thẳng về máy chủ của hacker. Lúc này, chúng chỉ cần thực hiện lệnh chuyển tiền và lừa bạn nhập mã OTP thêm một lần nữa là phi vụ hoàn tất.
Quyền Trợ năng (Accessibility): "Chìa khóa vạn năng" nguy hiểm nhất 2025
Nếu như Phishing cần sự tương tác của nạn nhân, thì thủ đoạn chiếm quyền Trợ năng (Accessibility) trên các thiết bị Android lại nguy hiểm hơn gấp bội vì nó diễn ra âm thầm. Kẻ gian thường dụ dỗ người dùng cài đặt các ứng dụng giả mạo dịch vụ công (như VNeID giả, Tổng cục Thuế giả) hoặc các ứng dụng giải trí qua các file .apk. Trong quá trình cài đặt, ứng dụng này sẽ khéo léo yêu cầu cấp quyền "Trợ năng". Đây là quyền hạn cao cấp nhất cho phép ứng dụng can thiệp sâu vào hệ điều hành.
Một khi đã được cấp quyền này, mã độc sẽ nằm vùng trong máy và âm thầm theo dõi mọi thao tác của bạn. Khi tài khoản ngân hàng nhận được tiền, hacker sẽ kích hoạt chế độ điều khiển từ xa. Chúng có thể làm mờ màn hình hoặc làm đơ máy khiến bạn không thể thao tác, trong khi đó, ở phía bên kia, chúng tự động mở ứng dụng ngân hàng, tự nhập mật khẩu (đã ghi lại trước đó), tự đọc mã OTP và thực hiện chuyển tiền đi. Tất cả diễn ra ngay trên chiếc điện thoại của bạn nhưng bạn hoàn toàn bất lực.
Thao túng tâm lý và chiếm đoạt SIM
Một kịch bản khác tinh vi không kém là tấn công vào số điện thoại đăng ký nhận OTP. Kẻ gian sẽ thu thập thông tin cá nhân của bạn, sau đó giả danh bạn liên hệ với nhà mạng báo mất SIM và yêu cầu cấp lại SIM mới. Nếu qua mặt được nhân viên nhà mạng, SIM trên điện thoại của bạn sẽ mất sóng và vô hiệu hóa ngay lập tức. Lúc này, quyền nhận cuộc gọi và tin nhắn OTP đã nằm trong tay kẻ lừa đảo. Kết hợp với việc lộ lọt thông tin đăng nhập, chúng dễ dàng reset mật khẩu ngân hàng và chiếm đoạt tài sản trước khi bạn kịp nhận ra điện thoại mình bị mất sóng.
Nguyên tắc "Zero Trust": Không tin bất kỳ ai trên không gian mạng
Để bảo vệ túi tiền của mình, người dùng ngân hàng số buộc phải thiết lập tư duy "Zero Trust" (Không tin tưởng). Tuyệt đối không bao giờ bấm vào các đường link lạ gửi qua tin nhắn SMS hay Zalo. Quan trọng hơn, hãy nói "Không" tuyệt đối với việc cài đặt ứng dụng lạ qua file .apk đối với điện thoại Android, và đặc biệt cảnh giác khi bất kỳ ứng dụng nào yêu cầu cấp quyền Trợ năng.
Cuối cùng, hãy thiết lập bảo mật sinh trắc học (FaceID/Vân tay) cho các giao dịch chuyển tiền, vì đây là chốt chặn cuối cùng mà hacker khó lòng vượt qua được.
