Lừa đảo trực tuyến: Thủ đoạn cũ - nạn nhân mới

10:11 | 18/09/2013

Tới tận ngày nay, mặc dù đã được cảnh báo rất nhiều, nhưng người dùng Internet bị lừa vì sự đa dạng và mức độ tinh vi của lừa đảo trực tuyến ngày càng tăng.

Cài mã độc 

Qua hộp thư điện tử, qua dịch vụ nhắn tin tức thời (instance messages, chat), hoặc các phương tiện khác như forum hay trang mạng xã hội... kẻ lừa đảo có thể gửi cho người dùng Internet một lời nhắn gây tò mò như “Cơ hội kiếm 1 triệu đồng/tháng bằng công việc online”, “Phần mềm giúp học giỏi tiếng Anh trong 3 tháng”... và kèm theo đó là một đường link dẫn tới một webpage chứa mã độc. Nếu nạn nhân nhấn chuột vào đường link đó thì một chương trình độc hại sẽ được cài lên máy của họ.
Việc cài mã độc lên máy nạn nhân cũng có thể được thực hiện thông qua tấn công XSS. Bằng cách giả mạo thông báo của tổ chức có uy tín (ngân hàng, nhà cung cấp dịch vụ thư điện tử...), kẻ lừa đảo gửi cho người dùng Internet một đường link tới website của tổ chức đó. Tuy nhiên, website đó lại chứa lỗi XSS (Cross-  Site Scripting) và đường link có mang payload độc hại mà không phải người dùng nào cũng có thể nhận ra, nhất là người dùng phổ thông.
Bằng cách cài mã độc lên máy tính của nạn nhân, kẻ lừa đảo có thể sẽ thực hiện các hành động tấn công tiếp theo như: đánh cắp mật khẩu (mã độc là key logger), đánh cắp dữ liệu nhạy cảm của nạn nhân (mã độc là trojan), lợi dụng để tấn công DDoS lên hệ thống khác (mã độc là botnet),... hoặc đơn giản chỉ là để phát tán mã độc.

Đánh cắp tài khoản
Tài khoản của người dùng Internet có thể bị đánh cắp theo cách đơn giản hơn nhiều so với cách cài mã độc lên các thiết bị của họ. Tài khoản ở đây được hiểu là thông tin xác thực người dùng trên một website nhất định, bao gồm định danh người dùng (user ID hay user name) và mật khẩu. Để đánh cắp tài khoản người dùng trên website S, kẻ lừa đảo trước hết sẽ tạo ra một website S’ có giao diện giống hệt với giao diện của website S, đồng thời đăng ký cho website S’ một tên miền gần giống với tên miền của website S. Ví dụ, người dùng Facebook có thể bị đánh lừa bởi các tên miền: www.faccebook.com, www.fakebook.com, www.facebook.webly.com,... Tiếp theo, kẻ lừa đảo sẽ mạo danh quản trị website S để gửi một email tới hộp thư của người dùng (ví dụ, với thông báo rằng website S đang thực hiện thanh lọc các tài khoản không hoạt động, để đảm bảo tài khoản không bị xóa khỏi hệ thống thì người dùng phải tái xác nhận tài khoản của mình tại địa chỉ được gửi kèm theo email). Nếu người dùng không nghi ngờ mà nhấn chuột vào đường link thì sẽ nhìn thấy trang đăng nhập giống hệt với trang đăng nhập vẫn thường thấy trên website S. Khi người dùng nhập định danh và mật khẩu của mình vào thì những thông tin đó sẽ được gửi cho kẻ lừa đảo, còn người dùng sẽ được định hướng sang website S thật sự. Như thế, họ không hay biết tài khoản của mình đã bị đánh cắp.
Nếu tài khoản bị đánh cắp thuộc các forum, blog... thì kẻ tấn công có thể thực hiện đăng/xóa bài viết dưới danh nghĩa nạn nhân. Nếu tài khoản bị đánh cắp là tài khoản hộp thư điện tử thì kẻ lừa đảo có thể sử dụng nó để khai thác dữ liệu nhạy cảm của nạn nhân (nội dung các email). Ngoài ra, email thường là công cụ để xác thực một số thao tác trên các tài khoản thuộc các website khác (ví dụ như xác thực yêu cầu thay đổi mật khẩu), nên tài khoản email có thể bị kẻ tấn công khai thác để chiếm đoạt các tài khoản khác của nạn nhân. Nếu tài khoản bị đánh cắp thuộc các trang mạng xã hội hoặc thuộc hệ thống tin nhắn tức thời (chat) thì kẻ lừa đảo có thể mạo danh nạn nhân để lừa những người có trong danh sách bạn bè.
Cách thức trên đây cũng có thể được sử dụng để lừa đảo, chiếm đoạt thông tin thẻ tín dụng của nạn nhân và sau đó sử dụng các thông tin này để thực hiện mua hàng trực tuyến, hoặc làm thẻ giả để rút tiền từ tài khoản của nạn nhân.
Đánh cắp dữ liệu nhạy cảm
Trong trường hợp này, nạn nhân thường là những người có khả năng nắm giữ dữ liệu nhạy cảm trong một tổ chức chính phủ hoặc phi chính phủ và kẻ tấn công có thể được hậu thuẫn bởi một tổ chức hoặc một chính phủ khác.
Việc đánh cắp dữ liệu có thể được thực hiện qua việc cài đặt mã độc lên máy tính hoặc đánh cắp tài khoản của nạn nhân, nhưng cũng có thể được thực hiện bằng hành vi lừa đảo khác. Vào tháng 9/2007, một chuyên gia bảo mật đã giới thiệu cách thức sử dụng CSRF (Cross- Site Request Fogery) để cấu hình bộ lọc thư của Gmail nhằm chuyển tiếp tất cả thư của nạn nhân về một địa chỉ xác định trước. Ý tưởng của tấn công là trong lúc người dùng đang sử dụng hộp thư Gmail (đăng nhập thành công vào Gmail), kẻ tấn công sẽ lừa người dùng mở một đường link tới một webpage mà trên webpage đó lại chứa đoạn mã thực hiện truy vấn tới Gmail để cấu hình hộp thư người dùng. Vì người dùng đã đăng nhập thành công, nên truy vấn trên đây sẽ được thực thi với quyền của anh ta.
Chiếm đoạt tiền
Để chiếm đoạt tiền của người dùng Internet, kẻ lừa đảo có thể chỉ cần thực hiện việc gửi/nhận thư điện tử. Phổ biến nhất trên thế giới và các nạn nhân bị lừa những khoản tiền lớn nhất là chiêu lừa đảo “Lá thư Nigeria”. Loại tội phạm này còn có nhiều tên gọi khác, ví dụ  “Trò lừa 419”,  “Trò lừa ngân hàng Nigeria”, “Tù nhân Tây Ban Nha”, “Trò lừa món tiền đen” hoặc “Trò lừa Nga/Ukraina”.... Tất cả các tên gọi nói trên đều chỉ một loại hình lừa đảo mang tính quốc tế, có tổ chức và thủ đoạn tinh vi đã có từ lâu (từ những năm 1980) nhưng vẫn đang phổ biến trên khắp thế giới. Bản chất của trò lừa này là dụ nạn nhân bỏ ra một số tiền nhất định (“lệ phí trả trước”) để được nhận lại một khoản tiền lớn hơn nhiều. Kịch bản được dựng lên thường là có một khoản tiền phi pháp lớn (hàng chục triệu USD) cần được rút khỏi một ngân hàng nào đó. Và người ta muốn nhờ chuyển số tiền đó vào tài khoản của nạn nhân “tiềm năng” với lời hứa sẽ được hưởng phần trăm nhất định (từ 10% đến 40%). Khi nan nhân đồng ý, kẻ lừa đảo tìm cách tạo niềm tin cho nạn nhân (trình ra một số giấy tờ liên quan, tạo vẻ thân thiện bằng những bức ảnh cá nhân...) rồi yêu cầu nạn nhân chuyển trước một khoản chi phí (khoảng vài nghìn USD). Nếu nạn nhân chuyển tiền thì kẻ lừa đảo lại nghĩ ra những lý do để yêu cầu chuyển thêm những khoản khác: phí lưu kho, phí chuyển tiền, phí luật sư,... Cứ như thế cho đến khi nạn nhân phát hiện ra mình bị lừa thì màn kịch kết thúc. Nạn nhân mới nhất của trò lừa này ở Việt Nam được ghi nhận vào tháng 12/2012 với tổng thiệt hại là gần 40.000 USD.
Một hình thức lừa đảo trực tuyến nữa khá phổ biến ở Việt Nam là bán hàng khống qua mạng. Tức là kẻ lừa đảo rao bán những mặt hàng (máy tính, điện thoại, máy ảnh...) mà thực ra kẻ lừa đảo không hề sở hữu. Khi có người đặt mua thì chúng yêu cầu chuyển tiền trước vào một tài khoản ngân hàng. Nếu nạn nhân chuyển tiền thì chúng sẽ rút và cắt đứt mọi liên lạc. Đặc biệt, kẻ lừa đảo sẽ không dùng tài khoản của mình mà nhờ tài khoản của một người quen qua mạng, khiến cơ quan chức năng gặp khó khăn trong điều tra. Nếu người mua cảnh giác, không chuyển tiền thì kẻ lừa đảo vẫn không chịu từ bỏ. Các trang thương mại điện tử hiện nay thường có dịch vụ thanh toán đảm bảo qua bên thứ ba, ví dụ Ngân Lượng, Bảo Kim...
Khi người mua C muốn mua một mặt hàng nào đó của người bán S thì C sẽ chuyền tiền vào tài khoản của S mở tại bên thứ ba T. Nhưng T sẽ tạm giữ số tiền trên. Khi C nhận được hàng và không có khiếu nại thì T mới trao số tiền cho S. Như vậy, người mua hoàn toàn có thể tin tưởng khi chuyển tiền cho S.
Một hình thức lừa đảo mua bán khác được thực hiện theo kịch bản: Khi C đặt mua món hàng X mà từ chối chuyển tiền vào tài khoản ngân hàng, kẻ lừa đảo (C’) sẽ lập một tài khoản trùng với tên của người mua C. Kế đó, hắn tìm một gian hàng đảm bảo S có bán mặt hàng X và mạo danh C để đặt hàng, rồi yêu cầu C chuyển tiền vào tài khoản của S. Vì thanh toán với S được đảm bảo bởi bên thứ ba nên C sẽ đồng ý chuyển tiền. Khi được C thông báo đã chuyển tiền, C’ sẽ yêu cầu S giao hàng X. Bên bán S kiểm tra thông tin và thấy có người tên C đặt hàng X và cũng có người tên C đã chuyển tiền trả cho mặt hàng X nên quyết định giao hàng cho C (mà thực ra là C’ mạo danh). Như vậy, tuy không chiếm đoạt được tiền nhưng kẻ lừa đảo đã chiếm đoạt được mặt hàng X với giá trị có thể lên đến hàng chục triệu đồng (Hình 1).

Hình 1: Sơ đồ lừa đảo mua hàng trực tuyến
Liên quan đến lĩnh vực thương mại điện tử, cần phải kể đến trò lừa đảo “kinh doanh gian hàng trực tuyến đa cấp” mà điển hình là vụ việc với Công ty Cổ phần đào tạo Mua bán trực tuyến (MB24) xảy ra vào giữa năm 2012. Dù còn có những tranh cãi quanh yếu tố “lừa đảo” ở đây, nhưng có một thực tế là vì bị lôi kéo tham gia vào MB24 mà nhiều người đã bị vỡ nợ, nhiều sinh viên phải dang dở chuyện học hành.
Nếu các hình thức lừa đảo chiếm đoạt tiền (hoặc tài sản) trên đây đòi hỏi kẻ lừa đảo phải thực hiện một cách chuyên nghiệp, thậm chí cần có tổ chức, và số tiền thiệt hại thường có giá trị lớn, thì có những hình thức lừa đảo manh mún khác cũng rất phổ biến ở Việt Nam, nhằm chiếm đoạt tiền của nạn nhân với số lượng nhỏ hơn. Đó là các hình thức khác nhau của việc lừa thẻ cào, gồm thẻ điện thoại và thẻ game. Chiêu thức được sử dụng nhiều nhất ở đây là kẻ lừa đảo trước hết sẽ cố gắng đánh cắp tài khoản của người dùng mạng xã hội hoặc người dùng dịch vụ tin nhắn tức thời (chat). Sau đó mạo danh nạn nhân để nhờ những người trong danh sách bạn bè (friend lists) mua hộ thẻ điện thoại, thẻ game.
Và thậm chí trên mạng còn có trò lừa đảo lợi dụng lòng tốt của con người để trục lợi. Đã có những kẻ giả vờ bị bệnh hiểm nghèo trong khi có một tương lai tươi sáng đang chờ đợi phía trước, rồi lên mạng cầu cứu, kêu gọi ủng hộ. Đến khi vụ việc bị phanh phui thì tổng số tiền mà các nhà hảo tâm chuyển cho kẻ lừa đảo đã lên đến hàng trăm triệu đồng.
Kết luận

Sự ra đời của mạng Internet đã mang lại những lợi ích to lớn cho nhân loại, bởi nguồn thông tin phong phú về mọi lĩnh vực, là phương tiện kết nối mọi người trên khắp thế giới, tạo môi trường để thực hiện giao dịch điện tử, giúp con người tiết kiệm được thời gian và tiền bạc... Nhưng Internet cũng là nơi tiềm ẩn nhiều nguy cơ đối với bất kỳ người dùng nào, trong đó có nguy cơ lừa đảo trực tuyến. Nếu người dùng không có đủ kiến thức và ý thức để bảo vệ mình khi tham gia Internet thì không những bản thân họ bị thiệt hại mà còn có thể gây hại cho bạn bè, người thân và tổ chức nơi họ làm việc.