Trong vòng một thập kỷ qua, những tác nhân xấu đã khai thác yếu tố này để làm lợi thế cho mình. Giả mạo cuộc gọi liên quan đến quá trình thay đổi danh tính (ID) người gọi thành bất kỳ số nào khác với số gọi thực là một thủ thuật đang gia tăng gần đây. Một phân tích đã ước tính rằng người Mỹ mất gần 29,8 tỷ USD từ các vụ lừa đảo qua điện thoại vào năm 2020, nhiều gấp đôi số tiền bị mất so với năm trước đó.
Ví dụ gần đây nhất được nhiều báo chí Mỹ đưa tin là câu chuyện người đàn ông California đã mất một nửa số tiền tiết kiệm của mình cho một kẻ lừa đảo sử dụng ID gọi điện thoại giả mạo. Trong trường hợp này, nạn nhân nhận được cuộc điện thoại từ một người tự xưng là chuyên gia tội phạm của ngân hàng Mỹ thông báo rằng một tên tội phạm cách đó 3.000 dặm đang trong quá trình chuyển tiền ra khỏi tài khoản của anh ta.
Ban đầu, nạn nhân hơi nghi ngờ, nhưng vì là cuộc điện thoại của anh ta được xác định gọi đến từ ngân hàng Mỹ nên anh ta đã tin tưởng và cho rằng nó là thật. Loại cuộc gọi giả mạo này rất dễ dàng thực hiện được bởi bọn tội phạm mạng sử dụng các dịch vụ giả mạo cuộc gọi dựa trên web đơn giản kết hợp với các đầu số 1-800 của các công ty hợp pháp.
Ngân hàng Mỹ đã hoàn lại tiền cho khách hàng mặc dù họ không có nghĩa vụ pháp lý phải làm như vậy. Tuy nhiên, các công ty nhận ra rằng khách hàng của họ cần sự giúp đỡ trong việc bảo vệ họ khỏi các cuộc tấn công này.
Các thủ thuật giả mạo cuộc gọi ngày càng tinh vi
Đại dịch COVID-19 dường như đã tiếp tay cho những kẻ lừa đảo. Những nạn nhân có nguy cơ bị lộ lọt thông tin cá nhân trong năm qua tăng gần gấp 3 lần so với thời điểm trước khi xảy ra đại dịch.
Theo Ủy ban Thương mại Liên bang Mỹ (FTC), trong năm 2020, các cuộc gọi điện thoại chiếm 31% các báo cáo gian lận khách hàng. Tuy nhiên, số lượng người tiêu dùng bị lừa đảo qua điện thoại có thể cao hơn nhiều, vì chỉ có 1/6 nạn nhân bị lừa đảo qua điện thoại báo cáo những sự cố này.
Những kẻ lừa đảo cũng ngày càng thành thạo trong sử dụng nhiều thủ đoạn từ kiểu tấn công phi kỹ thuật đến áp dụng việc kết hợp giữa tình huống khẩn cấp với tâm lý sợ hãi để buộc nạn nhân phải hợp tác. Chúng thường mạo danh cơ quan thực thi pháp luật để cưỡng chế và đe dọa pháp lý hay giả mạo là nhân viên các cơ sở chăm sóc sức khỏe, tước đi các lợi ích y tế và chúng hiểu rằng tính chất liên lạc tức thời của điện thoại là một phương tiện lý tưởng để lấy tiền ra khỏi ví của mục tiêu tấn công.
Cũng cần lưu ý rằng, giả mạo ID người gọi không chỉ được sử dụng để nhắm mục tiêu vào người tiêu dùng. Một số kẻ lừa đảo xảo quyệt cũng đang sử dụng chiêu thức này để lừa các tổ chức tài chính. Trong trường hợp này, chúng giả mạo ID người gọi để lừa ngân hàng cung cấp thông tin về các giao dịch gần đây trên tài khoản của khách hàng sau đó chúng lạm dụng dữ liệu để tạo các gian lận trên điện thoại.
Chiến lược bảo vệ khách hàng khỏi các cuộc gọi giả mạo
Để đối phó với đại dịch gọi điện thoại tự động, các nhà lập pháp Mỹ đã thông qua luật Đạo luật răn đe và thực thi hình sự lạm dụng cuộc gọi điện thoại (TRACED) để hạn chế những cuộc gọi tự động làm phiền người dân. Đạo luật này giao cho Ủy ban Truyền thông Liên bang (FCC) cập nhật khung (framework) nhận dạng người gọi STIR/SHAKEN (một giao thức hai hướng mà hai nhà mạng AT&T và T-Mobile sử dụng để xác minh rằng người gọi đến là hợp pháp) nhằm bảo vệ tốt hơn người tiêu dùng khỏi các cuộc gọi tự động không mong muốn và việc những kẻ gian lận lợi dụng ID người gọi cho những âm mưu của chúng.
Việc áp dụng STIR/SHAKEN sẽ giúp cải thiện niềm tin với kênh điện thoại khi cho phép các nhà cung cấp dịch vụ điện thoại xác định xem số được gọi đến có phải là số thật hay không. Các nhà cung cấp dịch vụ đang xây dựng các dịch vụ có thể phân tích các cuộc gọi trên mạng của họ và thông báo cho khách hàng của mình về các mối đe dọa giả mạo hoặc spam tiềm ẩn.
Giống như các biện pháp phòng chống gian lận khác, chiến lược tốt nhất là cách tiếp cận đa lớp. Cách tiếp cận này có sức bảo vệ cho cả các công nghệ mới nhất và những quy trình làm việc linh hoạt. Dưới đây là những cách thức các công ty có thể làm để bảo vệ khách hàng của họ khỏi những kẻ lừa đảo một cách tốt nhất:
Nâng cao nhận thức cho người tiêu dùng và người lao động:
Con người luôn là mắt xích yếu nhất trong cả hệ thống, thậm chí không phải công nghệ mạnh nhất nào cũng có thể ngăn chặn nạn nhân vô tình làm lộ lọt các thông tin cá nhân của họ. Điều đó cho thấy rằng các tổ chức tài chính cần liên tục đầu tư và sáng kiến trong các chương trình giáo dục để tập huấn cho những khách hàng của mình những nguyên tắc cơ bản xung quanh việc bảo vệ các tài khoản của họ.
Tương tự như vậy, những nỗ lực này sẽ mở rộng tới những người làm việc tiếp xúc trực tiếp với khách hàng, đặc biệt là nhân viên trung tâm tổng đài, những người chịu trách nhiệm cuối cùng trong việc xác định danh tính khách hàng.
Phân tích hành vi để báo hiệu các hoạt động bất thường:
Mục đích cuối cùng của lừa đảo qua điện thoại là làm cho nạn nhân chuyển tiền, mua các thẻ quà tặng mà không để lại dấu vết hoặc chia sẻ dữ liệu quan trọng để có thể sử dụng trong việc tạo những danh tính giả mạo để mở các tài khoản mới. Với các tổ chức tài chính, điều này nghĩa là họ cần có khả năng thiết lập giới hạn cơ sở hành vi của các khách hàng để hiểu về các tương tác thông thường từ các hoạt động bất thường có thể là dấu hiệu cho thấy có sự tiềm ẩn của các mối đe dọa gian lận.
Việc nhúng những phân tích hành vi vào quy trình xác thực khách hàng có thể giúp xác định chính xác các dấu hiệu trong thiết bị hoặc mạng để biết sự rủi ro tương đối của mỗi giao dịch.
Tăng cường sự tin tưởng hơn vào kênh điện thoại
Hiện nay có những giải pháp có thể vượt qua được những lỗ hổng trong khung theo đạo luật TRACED có thể giúp khách hàng tự tin xác định tính hợp pháp của người gọi. Các giải pháp này vượt ra ngoài những thông báo ID cuộc gọi một chiều bằng cách cho phép các doanh nghiệp đăng ký xác nhận cuộc gọi của mình là hợp pháp (không phải spam) để nâng cao trải nghiệp cuộc gọi bằng cách hiển thị biểu tượng của họ cùng với lý do gọi và cung cấp xác minh trực quan về danh tính người gọi.
Kẻ lừa đảo hiện đại có khả năng thích nghi với môi trường mới càng nhanh thì khả năng tồn tại càng cao. Tương tự, doanh nghiệp nào nhạy bén, có thể chủ động bảo vệ khách hàng của mình khỏi các cuộc gọi giả mạo và các mối đe dọa dựa trên điện thoại sẽ là những doanh nghiệp có nhiều khả năng phát triển mạnh về đa kênh trong tương lai.
Tại Việt Nam, để giảm thiểu sự phiền toái cũng như những nguy cơ cho người dùng điện thoại, Cục An toàn thông tin, Bộ TT&TT đã đưa vào vận hành tổng đài điện thoại số 5656 (miễn phí) để nhận phản ảnh về tin nhắn rác, cuộc gọi rác.
Hơn nữa, ngày 01/10/2020, Nghị định số 91/2020/NĐ-CP của Chính phủ về chống tin nhắn rác, thư điện tử rác, cuộc gọi rác chính thức có hiệu lực. Trong Nghị định 91 xác định, tin nhắn rác, cuộc gọi rác là hoạt động quảng cáo không được sự đồng ý trước của người sử dụng hoặc tin nhắn, cuộc gọi quảng cáo có nội dung vi phạm các quy định hiện hành của pháp luật.
Các doanh nghiệp viễn thông và cơ quan quản lý viễn thông sẽ sử dụng các phần mềm ứng dụng công nghệ phân tích dữ liệu lớn (big data) và máy học (machine learning) để nhận diện thuê bao nghi ngờ phát tán cuộc gọi rác, tin nhắn rác. Kết quả phân tích của phần mềm là một trong số những căn cứ để nhà mạng, cơ quan quản lý nhà mạng, cơ quan quản lý căn cứ để xử lý các đơn vị phát tán thông tin rác./.
Theohelpnetsecurity