Lừa đảo trên mạng

(Một phiên bản bài này đã gửi đăng VNExpress)

Tôi về Sài Gòn được vài bữa, mua một “sim” mới toanh, vừa dùng đã nhận được hàng chục tin nhắn giả mạo thương hiệu của một ngân hàng lớn.

Để tối ưu, bọn tội phạm còn cất công phân loại khách hàng của từng ngân hàng để tin nhắn giả mạo thêm phần thuyết phục. Làm được như vậy đòi hỏi phải có đầu tư trang thiết bị và con người.

Đại diện một cơ quan hữu trách cho biết mỗi năm người Việt mất hơn 1.000 tỷ đồng vì lừa đảo trên mạng. Tôi đoán thiệt hại thực tế cao hơn nhiều và sẽ còn tăng, vì người Việt càng lúc càng có nhiều tài sản trên mạng. Nạn nhân đa phần là người già, tiền mất đi là mồ hôi nước mắt họ dành dụm cả đời. Đây là “nỗi đau công nghệ” kéo dài đã lâu nhưng vẫn chưa có “anh hùng mạng” nào đứng ra giải quyết.

Mỗi khi có tin về lừa đảo, tôi lại thấy ý kiến cho rằng chỉ người thiếu hiểu biết mới bị lừa. Tôi cũng từng nghĩ vậy, cho đến khi chính tôi, một kỹ sư an ninh mạng gần 20 năm, cũng bị lừa.

Đồng nghiệp gửi cho tôi một đường dẫn, khi nhấp vào phải “đăng nhập”. Tôi đã cẩn thận kiểm tra địa chỉ máy chủ rồi mới nhập mật khẩu. Khi nhấn Enter, máy chủ báo “mật khẩu sai”. Tôi nghĩ chắc mình gõ nhầm, chuyện này vẫn thường xảy ra, nên nhập lại lần nữa. Enter lần hai, tôi nhận ra mình đã bị lừa.

Chuyện gì đã xảy ra? Tôi nhập mật khẩu hai lần. Lần đầu tôi nhập vào trang web chính chủ, kỳ thực lúc đó tôi đã đăng nhập thành công, nhưng đồng nghiệp đã gửi cho tôi một đường dẫn đặc biệt: ngay sau khi tôi đăng nhập thành công, “nó” sẽ chuyển tôi đến một trang web giả mạo. Trang giả mạo này hiện lên thông báo lỗi giả rằng tôi đã nhập sai mật khẩu khiến tôi cắm cúi nhập lại mà không kiểm tra địa chỉ máy chủ nữa.

Bạn tôi hỏi có xấu hổ khi là chuyên gia mà vẫn bị lừa? Tôi thấy không có gì đáng xấu hổ cả. Tôi bị lừa không phải vì thiếu kiến thức mà vì một giây lơ đãng. Ai mà không có những lúc như vậy. Với đà phát triển của công nghệ làm giả khuôn mặt và giọng nói (deep fake), rồi đây kẻ ác sẽ có vô số cách để đưa cả những người cẩn thận nhất vào tròng.

Nếu chỉ có vài người bị lừa, có thể nói đây là lỗi cá nhân, nhưng nếu hàng ngàn người bị thì đó là lỗi hệ thống. Chỉ khi nào thừa nhận ai cũng có thể bị lừa và không còn đổ lỗi cho nạn nhân, chúng ta mới có thể tìm kiếm giải pháp tốt.

Có muôn hình vạn trạng kiểu lừa trên mạng. Phổ biến nhất là email, nhắn tin đánh cắp mật khẩu tài khoản ngân hàng hoặc yêu cầu chuyển tiền giúp người thân gặp nạn. Giải pháp tốt phải giúp giảm thiểu ít nhất 90% thiệt hại, tức 9 trong 10 nạn nhân sẽ không bị mất tiền, ngay cả khi nạn nhân chủ động chuyển tiền hay cung cấp thông tin cho kẻ xấu. 

Tại sao 90% mà không phải 100%? Vì chừng nào con người còn tin con người thì không thể nào chống 100% lừa đảo được. 90% đã là một tiêu chuẩn rất cao và rất khó thực hiện.

Bài toán này khó vì nhiều nguyên nhân. Ban đầu tôi nghĩ giải pháp khá đơn giản, chỉ cần sử dụng một công nghệ xác thực chống lừa đảo như WebAuthn là được. Đây chính là cách mà nhiều hãng công nghệ lớn sử dụng để bảo vệ nhân viên và khách hàng của họ. Sự thật là từ khi Google triển khai WebAuthn, không còn nhân viên bị lừa mất tài khoản nữa.

Để xác thực nhân viên, WebAuthn là giải pháp hoàn hảo, nhưng để xác thực khách hàng thì công nghệ này còn nhiều khiếm khuyết, ảnh hưởng xấu đến trải nghiệm. Một giải pháp tốt phải cân bằng được giữa an toàn và dễ dùng, tức là vừa phải bảo vệ được khách hàng mà không làm họ khó chịu.

Các ngân hàng có thể xây dựng giải pháp tự động phát hiện đường dẫn lừa đảo trong tin nhắn, nhưng cái khó là làm sao cân bằng giữa bảo vệ người dùng và đảm bảo riêng tư. Nội dung tin nhắn và thói quen truy cập Internet là những thông tin nhạy cảm, không thể tùy tiện tiết lộ cho bên thứ ba.

Bài toán còn khó vì kẻ xấu quá đông, nhiều thủ đoạn và có tổ chức - hàng chục tin nhắn rác trong “sim” tôi mới mua là một ví dụ. Thực tế, không quá khó để lừa tiền người khác, cái khó là làm sao rút tiền mà không bị bắt. Tội phạm nghiệp dư thường để lộ tung tích khi rút tiền, nhưng những nhóm tội phạm trong và ngoài nước đang nhắm vào người Việt đã cất công xây dựng mạng lưới rửa tiền bao gồm hàng ngàn tài khoản.

Ngay khi lừa được, chúng sẽ liên tục chuyển tiền qua nhiều tài khoản ở các ngân hàng khác nhau, trước khi rút ra để mua các đồng tiền mã hóa như USDT ở các sàn giao dịch quốc tế. Theo quy định của pháp luật, các ngân hàng không thể chia sẻ thông tin và cũng không thể yêu cầu ngân hàng khác giữ lại tiền, do đó rất khó để ngăn chặn và truy vết dòng tiền một khi nó ra khỏi ngân hàng của nạn nhân.

Những năm gần đây, Việt Nam liên tục tăng hạng trên các bảng xếp hạng an ninh mạng của thế giới. Có ý kiến còn cho rằng, Việt Nam đủ khả năng trở thành cường quốc an ninh mạng. Việt Nam cũng đã có công ty an ninh mạng hàng đầu thế giới, mặc dù chỉ là tự phong.

Tôi không rõ tiêu chí của các danh hiệu trên là gì, nhưng nếu người dân liên tục bị lừa mất nghìn tỷ thì có lẽ danh hiệu cũng không mấy ý nghĩa. Với đà phát triển như hiện tại, lừa đảo mạng sẽ không chỉ là vấn đề của các ngân hàng, mà đang trên đường trở thành vấn đề của quốc gia, cản trở sự phát triển của Internet và cả ngành công nghiệp số Việt Nam. Nếu không thấy an toàn trên mạng, người ta sẽ không dám sử dụng nữa.

Bài toán này, tôi biết nhiều nơi cũng đang đau đáu tìm lời giải, nhưng thú thật không chắc sẽ có lời giải trọn vẹn. Dẫu sao, đây là một thử thách nhiều ý nghĩa, đáng để giới kỹ sư và nhà chức trách đầu tư suy ngẫm. Không cường quốc nào mà không thể tự bảo vệ người dân của mình.

Comments

Anonymous said…
Em thắc mắc, a gửi bài lên vnexpress anh có bị kiểm duyệt hay phải tự kiểm duyệt gì không?
Anonymous said…
> Em thắc mắc, a gửi bài lên vnexpress anh có bị kiểm duyệt hay phải tự kiểm duyệt gì không?
Chắc chắn rồi bạn, phải lược bớt và chỉnh sửa cho phù hợp, nếu không bài của anh thái mà trèo lên ấy được lắm XD
Thai Duong said…
Anonymous: có. Đó là lý do tôi ít viết cho VNE.
NAD said…
Không biết ở các nước khác thế nào, chứ ở VN tin nhắn rác (chưa kể lừa đảo) nhiều quá, cứ như là các nhà mạng tiếp tay hoặc bán thông tin cho bọn đấy vậy
Anonymous said…
Xin hỏi Mr Thái,
Anh bảo lần đầu đăng nhập vào một trang web chính chủ, vậy làm sao mà nó lại redirect sang được trang web giả mạo với thông báo mk sai? Phải trang trang web chính chủ đã bị hack???
Dustin Dang said…
Q:Anh bảo lần đầu đăng nhập vào một trang web chính chủ, vậy làm sao mà nó lại redirect sang được trang web giả mạo với thông báo mk sai? Phải trang trang web chính chủ đã bị hack???

A: Tôi đoán sự cố trên có thể chỉ đơn giản là một số API trên trang web chính chủ tự động redirect theo thông tin trong query.

Ví dụ đơn giản như thế này /Login?redirect=

Rất có thể là trang web chính chủ kia, không thực hiện kiểm tra target có nằm ngoài hệ thống không. Dẫn đến kẻ xấu lợi dụng để redirect người dùng về trang web giả mạo.
Phong said…
Bài viết chỉ gói gọn trong Lừa đảo trên không gian mạng, cũng hiểu cho với kiến thức khá hẹp của tác giả nhìn từ khía cạnh một chuyên gia an ninh mạng. Như Charlie Munger có nói: "To the man with only a hammer, every problem looks like a nail"

Lừa đảo hiện nay có rất nhiều kiểu, cả có công nghệ lẫn không có công nghệ. Xã hội cũng ưu tiên giải quyết những kiểu lừa đảo gây nhiều thiệt hại nhất, như lừa đảo đất đai (Alibaba), đa cấp, Ponzi type vv. Thiệt hại trong thời gian ngắn khoảng vài nghìn tỉ đến cả chục nghìn tỉ. Ở Mỹ lừa đảo bằng công nghệ cũng chỉ là phần rất nhỏ, các vụ lừa đảo như của Bernard Lawrence Madoff, Theranos làm ngay cả những người giầu nhất, giỏi nhất cũng bị lừa với số tiền bị lừa lên đến cả 60 tỷ đô, đó mới gọi là đẳng cấp của sự lừa đảo.

Nên mấy kiểu lừa đảo như này thường chỉ gây ức chế cho người dân, chứ hiện tại vẫn phải ưu tiên giải quyết những vụ lừa đảo như trên, bằng việc hoàn thiện khung pháp lí nâng cao kiến thức cho người dân

Và lừa đảo thì vẫn luôn song hành cùng nhân loại, từ quá khứ đến tương lai, và nhiều khi danh rới giữa lừa đảo và không lừa đảo nó rất mong manh. Bill Gate rất nhiều lần nói dối với đối tác rằng Microsoft có sản phẩm rồi, kì thực là ổng chưa có lúc đó, nhưng ông dùng hết sức để biến cái ko có thành có, từ lừa đảo thành sự thực.

Steve Wozinak có Steve Jobs thì được làm co founder của Apple, Steve Wozinak không có Steve Jobs thì ko là gì cả
Steve Jobs không có Wozinak thì chúng ta có Pixar, Next, iPod, iPhone, vv.
Anonymous said…
Xin chào quý ngài Phong, ngài có thể chia sẽ cho tôi cũng như quý đọc giả gần xa, bài viết khá nhiều chữ của ngài nhằm truyền tải điều gì vậy?

Nhân tiện, trong trườn hợp ngài chưa biết, blogspot hiện tại cho phép chúng ta gửi bình luận nặc danh mà không cần tạo tài khoản mới.
Phong said…
Xin chào bạn Anonymous, gọi mình là Phong nhé, ko phải ngài

Thứ nhất cũng xin thứ lỗi là comment của mình hơi dài, nhưng không có đoạn kết luận. Mình chỉ muốn truyền tải là thứ nhất nhìn từ khía cạnh một chuyên gia an ninh, thì tác giả bài viết nói đúng về trải nghiệm của việc lừa đảo qua mạng, nhưng cũng chỉ đưa ra những giải pháp về mặt kĩ thuật, mà cũng chưa thực sự rõ ràng. Mình muốn đưa ra một vài ví dụ rộng hơn, để có thể cho thấy bức tranh rộng về "Lừa đảo", cũng như góp ý là những chuyên gia trong lĩnh vực hẹp thì cần phải kết hợp với những người có kiến thức rộng, thực tế và hành động để thực sự giải quyết vấn đề. Và vế sau quan trọng hơn.

Còn mình không muốn Anonymous trong việc comment, làm như vậy chính bản thân mình còn không tin, không tôn trọng comment cũng như quan điểm của mình, thì comment để làm gì?
Thai Duong said…
Anonymous: đúng như bạn Dustin Dang nói đó.
Teeh_Ex said…
Cảm ơn anh Thái đã chia sẻ vấn nạn thực tế. Hiện tại cũng khá nhiều campaign sử dụng redirector link để lừa đảo. Thậm chí các tổ chức lừa đảo có quy mô còn dựng hẳn 1 trang 3rd email protection page để nhằm tăng thêm tính legitimacy

To Mr Phong - Bài viết của anh Thái chỉ muốn xoay quanh việc lừa đảo qua mạng vì càng ngày công nghệ càng đi vào đời sống con người. Mr Phong đâu cần phải tỏ ra nguy hiểm bằng cách đưa ra nhiều câu chữ như vậy đâu. Đọc và bình luận kiểu nửa vời như Mr Phong thì ai cũng làm được.
Anonymous said…
Chào ngài Phong

Sau khi đọc bình luận số 2 của ngài tôi có một số kết luận về khả năng đưa ra bình luận và đọc hiểu nội dung của ngài. Nếu nêu ra đây thì sẽ trở thành công kích cá nhân, tôi sẽ không làm vậy. Nhưng tôi mong ngài dành thời gian để suy ngẫm về lời của tôi.

Ngài Phong cho rằng đưa ra quan điểm một cách nặc danh là đồng nghĩa với không tin, không tôn trọng quan điểm được đưa ra. Phải chăng ngài đang ám chỉ chính bản thân ngài?

Profile của ngài được tạo trong tháng 12, năm 2021, lấy duy nhất chữ Phong làm đại diện, không có liên hệ với thông tin nào khác. Đối với phần đông độc giả, profile của ngài cũng chỉ được xem là nặc danh, chẳng ai biết ngài là ai, tôi tin rằng đây cũng là điều ngài muốn, có chăng ngài đang tự lừa dối bản thân ngài.

Đến đây thì tôi vô tình thấy được sự hợp lý khi ngài không ngừng đưa ra những bình luận khiến người đọc rối bời như vậy. Quả là cao thâm, tôi lạy ngài.
Ned said…
Giờ browser làm một cái allow list của trusted domains nhỉ. Đa số người dùng phổ thông thì chỉ thường xuyên vào đâu tầm 100 trang web trở lại (pareto law), những trang web không nằm trong allow list thì hoặc chặn cảnh báo, hoặc chỉ để "view only mode".

Thiết kế kiểu này điểm bất lợi là có thể ảnh hưởng đến tính mở hoặc tính tự do của web.
Thai Duong said…
Cảm ơn mọi người đã còm. Tôi thấy rất vui khi được người khác bảo vệ :))

Ned: đúng rồi, làm vậy không được đâu, vì quyền lực sẽ vào tay một nhóm người nhỏ. Ngay cả làm denylist cũng khó, vì có thể bị lợi dụng để kiểm duyệt.
Anonymous said…
E nghĩ bật thông báo mỗi khi có "redirect links" trên trình duyệt + sử dụng HTTPS Everywhere là đủ để tránh những trường hợp như vầy rồi.

E hơi tò mò một chút, tại sao đồng nghiệp của anh lại gửi cho cái link như vậy?
Hay anh/chị ấy cũng đã bị lừa?
Thai Duong said…
>E nghĩ bật thông báo mỗi khi có "redirect links" trên trình duyệt

Lần đầu tôi mới nghe chức năng này. Trên Chrome thì setting này nằm ở đâu vậy bạn? Tôi đoán là nó off by default vì nó cũng không user-friendly lắm.

>+ sử dụng HTTPS Everywhere là đủ để tránh những trường hợp như vầy rồi.

Cái trang chuyển về nó cũng chạy HTTPS luôn bạn ơi.
Thai Duong said…
>E hơi tò mò một chút, tại sao đồng nghiệp của anh lại gửi cho cái link như vậy?
Hay anh/chị ấy cũng đã bị lừa?

À họ chỉ muốn chứng minh là ai cũng có thể bị lừa.
NVTC said…
Cảm ơn anh Thái đã chia sẻ về vấn nạn này.
Bản thân em cũng rất đề phòng nhưng cũng gặp những quả phising không ngờ tới.
Thời đại mà ở đâu cũng có sự hiện diện của internet thì lừa đảo, tấn công trên không gian mạng có rất nhiều đất để hoành hành, với muôn hình vạn trạng.
Để hạn chế những vụ lừa đảo, tấn công này thì thực sự phải đưa nó vào giáo dục (các môn học, hoạt động ngoại khóa,...) và cả các hình thức tuyên truyền thường xuyên qua báo đài,... Phải cách nào để kĩ năng tự phòng vệ trên không gian mạng được trang bị cho càng nhiều người càng tốt. Ở VN bây giờ cướp trên mạng giờ nó cũng phổ biến chả khác gì cướp ngoài đường nữa rồi :(
Anonymous said…
> Lần đầu tôi mới nghe chức năng này. Trên Chrome thì setting này nằm ở đâu vậy bạn? Tôi đoán là nó off by default vì nó cũng không user-friendly lắm.

Với Chrome e không rõ, còn với Firefox trước đây tính năng này được bật mặc định, từ phiên bản 56+ về sau thì cần bật thủ công trong about:config. [1]


[1]. https://support.mozilla.org/bm/questions/1257364
Anonymous said…
Một giải pháp để tránh bị phishing kiểu này theo e là tạo các sanbox khác nhau khi sử dụng browser vào các mục đích khác nhau, và sử dụng công cụ quản lý mật khẩu, nếu đúng domain, nó mới gợi ý cho mình chọn auto-type để nhập username/password.

Còn tình trạng lừa đảo thì như anh Thái đề cập, không tránh được khi mà con người còn giao tiếp với con người. Chỉ có làm sao để giảm rủi ro đến mức tối đa nếu lỡ may bị hack.
Anonymous said…
Mình cũng từng demo trường hợp này trong lớp. Việc trực tiếp gửi link như tình huống của anh Thái là còn dễ thấy, vì thông thường người khác gửi link đến (nhất là người lạ) thì ai cũng nghi ngờ. Nếu làm màu mè hơn chút thì sẽ khó phát hiện. Giả sử shopee có lỗi tương tự, lên facebook post bài review và chia sẻ sản phẩm sau đó đính kèm link thì chắc chắn sẽ có rất nhiều người bị lừa. Open redirect thì lại luôn bị out of scope trong các chương trình bug bounty trừ khi có thể chain được với những lỗ hổng khác nên nhiều người không quan tâm.
Anonymous said…
> Bài viết chỉ gói gọn trong Lừa đảo trên không gian mạng, cũng hiểu cho với kiến thức khá hẹp của tác giả nhìn từ khía cạnh một chuyên gia an ninh mạng.

Bạn Phong gì đó lạc đề rồi bạn ơi, bài viết này mục đích đúng là gói gọn trong lừa đảo trên không gian mạng mà, đâu có nói tới mấy cái lừa đảo ở dưới không gian mạng đâu? Focus vô chủ đề đi bạn, nếu bạn thấy tác giả chỉ đưa ra giải pháp chung chung thì bạn đóng góp giải pháp của bạn cho mọi người biết đi, còn tự nhiên có mình bạn nói về lừa đảo khác thì bạn off-topic rồi.