Những vụ gửi tin nhắn lừa đảo dưới đầu số nhà mạng bùng phát trong tuần qua. Từ sự việc của khách hàng Sacombank, nhiều người dùng cho biết nhận được tin nhắn với thương hiệu các ngân hàng khác như ACB, TPBank hay Eximbank. Có người dùng đã mất số tiền hàng chục triệu đồng.
Sau khi sự việc lan rộng, các ngân hàng đã đồng loạt lên tiếng cảnh báo người dùng về các tin nhắn lừa đảo này. Tuy nhiên, theo ông Vũ Hoàng Tâm, cựu giám đốc điều hành công ty tư vấn tin nhắn thương hiệu (SMS Brandname) VHT, lỗ hổng để kẻ xấu khai thác tồn tại từ lâu và các nhà mạng cung cấp dịch vụ cần chịu trách nhiệm.
Từng có thời thích gửi tin nhắn với thương hiệu nào cũng được
Công ty VHT của ông Tâm đã cung cấp dịch vụ tin nhắn thương hiệu từ năm 2007. Theo chia sẻ của ông Tâm, khi mới kinh doanh thì công ty phải mua dịch vụ từ một đối tác ở Singapore, do lúc ấy các nhà mạng tại Việt Nam chưa cung cấp.
Một tin nhắn lừa đảo "chen" vào giữa luồng tin nhắn xác thực, được gửi từ đầu số của ngân hàng. Ảnh: MT. |
Ông Tâm cho biết khi đó ông có thể chọn bất kỳ tên thương hiệu nào để hiển thị trên tin nhắn, từ ngân hàng như ACB đến các hãng thời trang như Nike, Adidas. Giới hạn duy nhất với tên thương hiệu là phải viết liền và từ 11 ký tự trở xuống.
"Khi đó, chúng tôi toàn quyền khởi tạo tên thương hiệu và thoải mái gửi đến thuê bao trong nước mà không qua bất cứ kiểm duyệt nào", ông Tâm chia sẻ với Zing.
Vị chuyên gia này cho biết các nhà mạng trong nước bắt đầu cung cấp SMS Brandname từ khoảng 9 năm trước và ngay lập tức siết chặt việc đăng ký dịch vụ này. Theo đó, các công ty kinh doanh trong nước phải làm việc với các nhà mạng, không được sử dụng luồng tin nhắn nước ngoài.
Ông Tâm cho rằng nhà mạng đưa ra lý do siết chặt dịch vụ là để giảm thiểu tin nhắn rác. Tuy nhiên, lý do này không hợp lý, vì chi phí cho mỗi tin nhắn thương hiệu cao gấp 10 lần tin SMS thông thường gửi từ SIM rác.
"Mỗi tin nhắn thương hiệu hiện nay mất khoảng 500-700 đồng, trong khi spam bằng SIM rác chỉ mất vài chục đồng. Không ai dùng tin nhắn thương hiệu để spam cả", ông Tâm giải thích.
Khó quản lý vì quy định đi sau công nghệ
Để đăng ký gửi SMS Brandname doanh nghiệp cần nộp các giấy tờ nhằm chứng minh mình sở hữu thương hiệu đó. Tuy nhiên, ông Tâm cho rằng ngay ở khâu này cũng đã có lỗ hổng.
Doanh nghiệp Việt Nam có thể đặt tên khác với thương hiệu đang sở hữu. Do vậy, để chứng minh thì họ có thể đưa ra tên miền có chứa thương hiệu. Tuy nhiên việc sở hữu tên miền nhái thương hiệu lại rất rẻ, dẫn tới kẻ xấu có thể lập trang web giả mạo rồi đăng ký thương hiệu với nhà mạng.
Hình thức thông tin qua SMS tiềm ẩn nhiều lỗ hổng để kẻ xấu khai thác. Ảnh: Shutterstock. |
Ông Tâm chia sẻ nhiều đơn vị cung cấp dịch vụ SMS trên thế giới đã thành lập công ty hoặc tìm đối tác ở Việt Nam để kinh doanh. Chuyên gia này cho rằng đây là những công ty làm ăn đàng hoàng, nhưng vẫn có nhiều đơn vị nước ngoài làm bừa, gửi tin nhắn thương hiệu cho thuê bao tại Việt Nam.
Do vậy, việc nhà mạng kiểm soát chặt đối với bên cung cấp tại Việt Nam là đúng nhưng chưa đủ, theo đánh giá của ông Tâm.
"Luật có thể đi sau công nghệ. Do vậy, quy định chính sách của nhà mạng thì chỉ chặn được người ngay thôi, còn kẻ gian thì rất khó chặn", ông Tâm chia sẻ.
Bài viết của Zing từng nêu ra 3 kịch bản tấn công trong vụ giả mạo tin nhắn thương hiệu. Trong đó, kịch bản thứ 3 là kẻ xấu mua dịch vụ từ nước ngoài để gửi tin nhắn cho người dùng trong nước. Ông Tâm cho rằng khả năng này hoàn toàn có thể xảy ra.
Để có thể gửi tin nhắn thương hiệu, các công ty tại Việt Nam thường làm việc với một đối tác trung gian để được hỗ trợ tốt hơn. Tuy nhiên, trách nhiệm quản lý và cung cấp dịch vụ cuối cùng vẫn thuộc về nhà mạng. Do vậy, ông Tâm cho rằng nhà mạng vẫn phải chịu trách nhiệm với các vụ lừa đảo qua tin nhắn thương hiệu.
"Nếu công ty mua dịch vụ qua các đại lý trong nước, có lai lịch rõ ràng thì nhà mạng phải chịu trách nhiệm khi có lừa đảo", vị chuyên gia này chia sẻ.
Ông Tâm cũng khuyến cáo người dùng khi nhận tin nhắn từ thương hiệu cũng cần cẩn thận, không bấm vào các đường dẫn nếu không chắc chắn. Nếu cần, hãy gọi cho tổng đài ngân hàng hoặc đơn vị trong tin nhắn để kiểm tra.
Vị chuyên gia này cũng khuyên người dùng cài đặt xác thực 2 yếu tố cho tất cả các dịch vụ liên quan đến tài chính.
Sau khi truy cập đường dẫn và nhập thông tin, OTP, chị Q nhận được thông báo tài khoản ngân hàng bị trừ 38,3 triệu đồng và số dư còn lại vỏn vẹn 100.000 đồng.
Đến ngày 31/1, nhiều người dùng cho biết họ nhận được tin nhắn với nội dung tương tự từ đầu số ACB.
Không chỉ khách hàng của Sacombank, hàng loạt người dùng từ các ngân hàng khác như ACB, Eximbank, TPBank cũng nhận tin nhắn lạ từ các đầu số ngân hàng.`