Tin tặc dùng thông tin cá nhân bị lộ để lừa đảo như thế nào?

>> Vì sao Mỹ là điểm đến của tấn công mạng?

Tại Việt Nam, ứng dụng ONUS (trước đây là VNDC) sở hữu đồng tiền số ổn định (stablecoin). Họ thu hút người dùng với các cam kết về bảo mật.

Tuy nhiên mới đây, trên một diễn đàn tin tặc chuyên dùng để bán dữ liệu xuất hiện một thông tin cho biết có hacker đã xâm nhập máy chủ ONUS và lấy đi toàn bộ dữ liệu.

Đây là dữ liệu của gần 2 triệu người dùng. Đặc biệt, để đăng ký mở tài khoản trên ONUS người dùng phải cung cấp đầy đủ các thông tin định danh như giấy tờ cá nhân, số điện thoại, video ghi lại khuôn mặt,... Tức là hacker cũng đã nắm giữ được những thông tin cực kỳ nhạy cảm và riêng tư này.

Để chứng minh điều này, hacker còn tung ra một số hình ảnh cho thấy số điện thoại và chứng minh nhân dân/căn cước công dân, cũng như các đoạn video xác thực khuôn mặt người dùng.

Không những thế, hacker còn cho biết mình đã xóa toàn bộ dữ liệu trên máy chủ của ONUS. Tức là nếu ONUS không sao lưu cơ sở dữ liệu ở nơi khác, thì khối dữ liệu trong tay hacker là duy nhất.

Tính chi tiết và riêng tư về khối dữ liệu bị hack này khiến nhiều người lo lắng, bởi vì kẻ xấu có nhiều cách khác nhau để dùng thông tin kiểu vậy đi lừa đảo. Hiếu PC, một nhân vật khá có tiếng trong giới công nghệ, cho biết kẻ xấu có thể mạo danh danh tính, sử dụng thông tin để lừa đảo, thực hiện các chiến dịch spam, quảng cáo làm phiền người dùng.

Những kiểu lừa đảo như vậy gọi là social engineering. Nói nôm na đây là một kiểu kỹ thuật tác động đến tâm lý con người, xây dựng các mối quan hệ có chủ đích để khai thác thông tin sâu hơn cho mục đích riêng như tống tiền, trộm cắp tài sản, phá hủy tổ chức,.. Hay có thể hiểu việc hacker xâm nhập máy tính và đánh cắp dữ liệu chỉ là bước đầu. Tiếp theo đó kẻ xấu sẽ lợi dụng các dữ liệu để thực hiện social engineering.

>> Toàn cảnh tấn công mạng tại Việt Nam nửa đầu năm 2021

Trên thế giới các vụ social engineering cực kỳ phổ biến. Chẳng hạn Barbara Corcoran, một shark trong chương trình Shark Tank, cũng từng xém mất 400.000 USD vì social engineering năm 2020. Một tội phạm mạng đã mạo danh trợ lý của bà và gửi email đến kế toán yêu cầu thanh toán gia hạn các khoản đầu tư bất động sản. Tên này sử dụng một địa chỉ email gần giống với email của người trợ lý. Mánh khóe được lật tẩy khi kế toán gửi thư đến địa chỉ email chính xác của người trợ lý để xác nhận giao dịch.

Hoặc chẳng hạn năm 2019, Toyota Boshoku Corporation, đơn vị phụ trách mảng cung cấp phụ tùng ô tô của Toyota, đã bị mất đến 37 triệu USD vì social engineering. Một kẻ xấu đã dựa vào các dữ liệu và thuyết phục một nhân viên tài chính thay đổi tài khoản ngân hàng người nhận trong một giao dịch chuyển khoản.

Hoặc năm 2014, các nhân viên của Sony Pictures đã bị một số kẻ dùng email giả mạo Apple để lừa đảo. Sau đó kẻ xấu đã lấy cắp hàng nghìn tệp, bao gồm các thỏa thuận kinh doanh, tài liệu tài chính và thông tin nhân viên.

Những ví dụ này cho thấy social engineering là mánh khóe rất lợi hại để thực hiện các vụ lừa đảo. Và tiền đề thành công chính là sở hữu dữ liệu cá nhân của người khác. Như vậy có thể trường hợp của ONUS thực sự khá nghiêm trọng.

Mặc dù ONUS khẳng định tài sản người dùng không bị ảnh hưởng và đề nghị họ đổi mật khẩu. Thế nhưng các dữ liệu đã bị lộ rất dễ trở thành vũ khí để kẻ xấu thực hiện social engineering. Do đó ONUS nên có những hành động cụ thể hơn để bảo vệ người dùng.