Theo Cổng thông tin điện tử Công an tỉnh Phú Thọ, Phòng an ninh mạng và phòng chống tội phạm sử dụng công nghệ cao mới cảnh báo hình thức tấn công gián tiếp nhưng cực kỳ nguy hiểm. Đối tượng không trực tiếp bẻ khóa ứng dụng ngân hàng hay tấn công hệ thống bảo mật sinh trắc học, mà chúng “đóng vai” chính nạn nhân bằng cách cướp đi chiếc “chìa khóa quyền lực nhất” trong giao dịch số: Số điện thoại (SIM) và thông tin cá nhân của nạn nhân.
Cụ thể, các đối tượng thường thực hiện qua các bước tinh vi sau:
Bước 1: Thu thập thông tin cá nhân của nạn nhân:
- Đối tượng thu thập thông tin cá nhân của nạn nhân bao gồm: Họ tên, số CCCD, ngày tháng năm sinh, địa chỉ... qua các hội nhóm mua bán dữ liệu, các đường link phishing giả mạo, hoặc do chính nạn nhân vô tình chia sẻ trên mạng xã hội.
Bước 2: Chiếm quyền kiểm soát SIM:
- Đối tượng giả danh nạn nhân, sử dụng giấy tờ giả hoặc lợi dụng kẽ hở trong khâu xác minh của nhà mạng để báo mất SIM và yêu cầu cấp lại SIM mới (4G/5G). Hoặc chúng lừa nạn nhân tự nhắn tin theo cú pháp chuyển đổi SIM (ví dụ: Dụ dỗ nâng cấp SIM 4G/5G miễn phí,...).
- Hậu quả: SIM trên điện thoại của nạn nhân ngay lập tức bị mất sóng (bị vô hiệu hóa), còn SIM mới trong tay đối tượng sẽ được kích hoạt.
Bước 3: Đăng kí sinh trắc học giả mạo:
- Đối tượng tải ứng dụng ngân hàng/ví điện tử của nạn nhân trên một chiếc điện thoại hoàn toàn mới của chúng. Chúng dùng thông tin cá nhân đã cắp được để đăng nhập và yêu cầu cấp lại mật khẩu. Lúc này, mã OTP sẽ gửi thẳng về chiếc SIM giả mạo mà chúng đang giữ.
- “Vượt rào sinh trắc học”: Do hệ thống nhận diện đây là lượt đăng nhập trên thiết bị mới, một số ứng dụng sẽ cho phép người dùng thiết lập lại khuôn mặt/vân tay sau khi nhập đúng OTP SMS và thông tin định danh.
Đối tượng sẽ thoải mái quét chính khuôn mặt của chúng để làm dữ liệu sinh trắc học mới. Kể từ đó, tài khoản ngân hàng hoàn toàn thuộc về đối tượng.
Để bảo vệ tài sản trước thủ đoạn tinh vi này cần tuyệt đối tuân thủ “Quy tắc 3 KHÔNG” và “Quy tắc 3 NÊN” sau đây:
Quy tắc 3 KHÔNG (Hạn chế tối đa rủi ro):
- KHÔNG chia sẻ thông tin cá nhân nhạy cảm: Tuyệt đối không đăng tải ảnh chụp Căn cước công dân (hai mặt), số điện thoại gắn với tài khoản ngân hàng, hay email lên các nền tảng mạng xã hội công khai.
- KHÔNG làm theo hướng dẫn từ người lạ qua điện thoại: Không nhắn tin theo các cú pháp lạ liên quan đến dịch vụ di động (như đổi SIM, nâng cấp SIM) do các đối tượng tự xưng là “nhân viên nhà mạng” yêu cầu. Muốn nâng cấp SIM, hãy ra trực tiếp điểm giao dịch chính thức.
- KHÔNG bấm vào các đường link lạ: Các đường link giả mạo khảo sát, nhận quà, bình chọn... thường cài cắm mã độc để thu thập thông tin tài khoản và mật khẩu của bạn.
Quy tắc 3 NÊN (Chủ động bảo vệ tài khoản):
- NÊN xử lý ngay khi SIM bị mất sóng đột ngột: Nếu điện thoại của bạn bất ngờ bị mất tín hiệu (báo “Không có dịch vụ” - No Service) ngay tại khu vực thông thoáng, hãy lập tức dùng wifi hoặc mượn điện thoại khác gọi lên tổng đài nhà mạng để khóa SIM và kiểm tra xem có ai đang yêu cầu cấp lại SIM của bạn hay không.
- NÊN cài đặt mã PIN cho SIM: Đây là tính năng có sẵn trên cả iPhone và Android. Khi cài mã PIN cho SIM, nếu đối tượng có trộm được SIM vật lý của bạn cắm sang máy khác, chúng cũng không thể kích hoạt SIM nếu không nhập đúng mã PIN này.
- NÊN sử dụng các phương thức xác thực thay thế (nếu có): Đối với các ứng dụng cho phép, hãy ưu tiên chọn xác thực hai lớp (2FA) qua ứng dụng tạo mã (như Google Authenticator) thay vì chỉ phụ thuộc hoàn toàn vào OTP gửi qua SMS.
Theo Cổng thông tin điện tử Công an tỉnh Phú Thọ





Hoặc