Qua các bộ dữ liệu bán công khai, kẻ lừa đảo dễ dàng biết mọi thông tin về các nhóm nạn nhân tiềm năng. Ảnh: Xuân Sang. |
Những trò lừa đảo gọi điện tự xưng “Cục Viễn thông”, “công an”, gọi điện báo “con đang cấp cứu” hay video deepfake đều dựa trên việc kẻ lừa đảo nắm rõ thông tin nạn nhân. Nhiều phụ huynh mắc bẫy vì nghĩ rằng chỉ có giáo viên mới biết tường tận thông tin con mình, hoặc chỉ có “công an điều tra” mới biết địa chỉ, số căn cước công dân, số điện thoại và mọi thông tin cá nhân.
Nhưng thực tế, những thông tin riêng tư này được rao bán công khai trên mạng. “Ảnh căn cước công dân 2 mặt, số điện thoại, video, hình ảnh, cần loại nào cũng có số lượng lớn”, một người bán tên D.Đ. nói với Zing khi được hỏi mua dữ liệu.
“Các bộ dữ liệu mua bán trên thị trường ‘chợ đen’ có thể lên tới hàng trăm nghìn hoặc hàng triệu mục thông tin cá nhân, có được qua quá trình thu thập dữ liệu người dùng của nhiều ngành nghề khác nhau, có thể liên quan đến bán hàng, tiếp thị hoặc nhân lực”, ông Lê Công Thành, CEO InfoRe - công ty hoạt động trong lĩnh vực xử lý dữ liệu, nói với Zing.
Dễ mua dữ liệu riêng tư giá rẻ
Giới thiệu sản phẩm, người bán dữ liệu tên D.Đ. đưa ra một vài ảnh chụp 2 mặt căn cước công dân, kèm ảnh chân dung. “Nếu mua số lượng nhỏ, yêu cầu hình ảnh rõ nét thì giá của mỗi đầu mục này là 5.000 đồng”, người bán cho biết. “Đảm bảo người thật 100%” và “giấy tờ sạch, lấy từ công nhân trong khu công nghiệp” là các thông tin mà D.Đ. tiết lộ thêm. Nếu muốn lấy căn cước công dân kèm số điện thoại thì sẽ phải trả 10.000 đồng cho một đầu mục.
Các bộ dữ liệu "chợ đen" có thể lên đến hàng triệu mục, bao gồm hình ảnh, video, căn cước công dân hay số điện thoại tùy theo yêu cầu người mua. Ảnh: Hoàng Nam. |
Việc xuất hiện các bộ dữ liệu như vậy không khó hiểu. Các thông tin cá nhân của người dân thường xuyên được ghi lại trong quá trình sử dụng các dịch vụ, sản phẩm, thậm chí nhiều người sẵn sàng bình luận công khai số điện thoại trên Facebook để mua hàng, ông Công Thành giải thích.
“Có thể dữ liệu lọt lộ ra ngoài do các phần mềm, hệ thống lưu trữ không được bảo mật, hoặc do nhân sự của các doanh nghiệp trực tiếp bán dữ liệu khách hàng ra ngoài”, chuyên gia cho biết thêm.
“Không thể loại trừ khả năng dữ liệu khách hàng bị nguồn bên trong công ty, trường học rò rỉ trực tiếp ra ngoài, vì nhiều hệ thống dữ liệu tại Việt Nam không có quy trình giám sát chặt chẽ, chủ yếu phụ thuộc vào ý thức của nhân sự”, ông Tô Mạnh Hoàng, CEO Datapot Analytics - công ty cung cấp giải pháp dữ liệu, nói với Zing.
Trong vụ việc dữ liệu học sinh bị dùng để gọi điện lừa đảo, ngoài khả năng hệ thống bị tấn công, có thể có điểm rò rỉ thông tin ở trong trường hoặc ở các bên cung cấp Hệ thống thông tin học sinh (SIS).
Giải thích về các bộ dữ liệu “chợ đen” từ người bán D.Đ. mà phóng viên tiếp cận được, ông Mạnh Hoàng cho biết những bộ dữ liệu nhỏ lẻ, trong khoảng vài trăm đầu mục này có thể đã được rò rỉ ra ngoài từ các công ty, nhà máy và sau đó được các nhóm buôn dữ liệu thu mua và bán lại.
“Cần gì cũng có, kể cả giọng nói hay video cầm ảnh giấy viết chữ theo yêu cầu”, D.Đ. khẳng định khi được hỏi thêm về các dạng dữ liệu mà “cửa hàng” cung cấp.
Nguyên liệu cho những kẻ lừa đảo
“Có những quy định về bảo vệ dữ liệu cá nhân, và việc mua bán dữ liệu như vậy là vi phạm, tuy nhiên những biện pháp kiểm soát hiện nay không quá chặt”, ông Mạnh Hoàng giải thích về tình trạng các bộ dữ liệu nhạy cảm được rao bán công khai. Từ các dữ liệu số điện thoại, hình ảnh, căn cước công dân, các nhóm lừa đảo dễ tìm ra các kênh mạng xã hội, kết nối nhân thân để lên kế hoạch tấn công.
Có thông tin nạn nhân, kẻ lừa đảo có thể giả mạo cơ quan chức năng hoặc người thân, chiếm đoạt tài sản qua các yêu cầu nộp phạt, vay tiền. Ảnh: Xuân Mai. |
“Từ các hình ảnh, video có thể giả lập để ghép vào đối tượng có chuyển động và giọng nói, làm video lừa đảo gửi cho bạn bè, người thân. Các dạng tấn công giả mạo cũng có khả năng thành công cao hơn nhiều khi được ‘cá nhân hóa’ theo thông tin nạn nhân như sở thích, ngày sinh, nhân thân”, chuyên gia cho biết.
Đây là tình huống mới đây đã được Công an tỉnh Tuyên Quang ghi nhận, khi kẻ lừa đảo thu thập thông tin cá nhân, hình ảnh, video có giọng nói để dựng video giả mạo vay tiền, giả làm con cái đang du học nước ngoài gọi điện cho bố mẹ nhờ chuyển tiền đóng học phí hay gấp để cấp cứu.
“Một số dữ liệu có thể dùng cho mục đích quảng cáo rác. Tuy nhiên vân tay, khuôn mặt, giọng nói là dữ liệu nhân dạng nhạy cảm, có thể dùng để tổng hợp ra hình ảnh, giọng nói, video của một người để lừa đảo”, ông Công Thành cho biết.
Người bán tên D.Đ. cho biết nếu mua với số lượng 1.000 bộ dữ liệu, mỗi bộ gồm video có giọng nói, ảnh và căn cước công dân, thì giá sẽ vào khoảng 10 triệu đồng. Giá cao so với mục đích quảng cáo, tuy nhiên với những kẻ lừa đảo thu được từ 30 triệu đến một tỷ đồng mỗi khi đưa nạn nhân vào bẫy, theo ước tính của dự án Chống Lừa Đảo, thì đây vẫn là nguyên liệu giá rẻ.
“Khi cung cấp thông tin hoặc sử dụng mạng xã hội, mọi người cần lưu ý rằng thông tin cá nhân là một loại tài sản, và khi lộ ra ngoài có thể mang lại nhiều rủi ro”, ông Mạnh Hoàng lưu ý.
Nhóm người săn lùng loại mã độc nguy hiểm nhất thế giới công nghệ
Trong quyển sách mới, Renee Dudley và Daniel Golden đưa độc giả đến gần hơn với cuộc chiến thầm lặng của những chuyên gia công nghệ toàn cầu, chống lại kẻ đứng sau ransomware.