Gần đây đang nổi lên chiến dịch tấn công nhắm vào người dùng ngân hàng tại Việt Nam. Kẻ gian lợi dụng quá trình thay đổi SIM (SIM swap) lỏng lẻo tại các đại lý viễn thông ủy quyền để thực hiện hành vi tráo đổi SIM nhằm chiếm đoạt tài khoản ngân hàng liên kết với số điện thoại và thực hiện các hành vi gian lận tài chinh.
Kịch bản xác định mục tiêu và tấn công của Sim swap
Bước 1: Thu thập thông tin và xác định mục tiêu
Kẻ tấn công tiến hành thu thập các dữ liệu cá nhân quan trọng của nạn nhân, bao gồm: họ và tên, số điện thoại, số Căn cước công dân (CCCD) và thông tin về tổ chức tín dụng/ngân hàng mà nạn nhân đang sử dụng từ đó xác định mục tiêu để tấn công.
Bước 2: Thực hiện đổi SIM với vai trò là khổ chủ
Lợi dụng kẽ hở trong quy trình định danh khách hàng (KYC) tại các đại lý viễn thông ủy quyền. Đóng vai trò là khổ chủ, kẻ tấn công tiến hành yêu cầu nhà mạng cung cấp lại SIM để đảm bảo SIM không bị gián đoạn dịch vụ. Kẻ tấn công thường né tránh việc đến trực tiếp các điểm giao dịch chính thức của nhà mạng do các rào cản kiểm tra CCCD và xác minh chính chủ khắt khe.
Bước 3: Chiếm quyền điều khiển số điện thoại
Sim gốc bị vô hiệu hóa (mất sóng), toàn bộ liên lạc (SMS OTP) đều chuyển đến thiết bị của kẻ tấn công. Ngay khi SIM mới được kẻ tấn công kích hoạt thành công, thẻ SIM gốc trên thiết bị của nạn nhân sẽ lập tức bị vô hiệu hóa (mất tín hiệu viễn thông). Kể từ thời điểm này, toàn bộ lưu lượng liên lạc bao gồm cuộc gọi và tin nhắn SMS (đặc biệt là tin nhắn chứa mã xác thực OTP) đều được chuyển hướng đến thiết bị của đối tượng. Từ đó, kẻ tấn công có thể thực hiện hành vi chiếm đạt tài sản ngân hàng một cách dễ dàng.
Bước 4: Thực hiện chiếm đoạt tài khoản ngân hàng
Từ việc kiểm soát được số điện thoại của nạn nhân, kẻ tấn công sử dụng tính năng “Quên mật khẩu” hoặc các Phương thức xác thực bằng SMS OTP để vượt rào bảo mật, truy cập trái phép và thao tác trên ứng dụng ngân hàng số (Mobile Banking) của nạn nhân một cách thuận lợi và tiến hành thực hiện giao dịch chuyển tiền.
Bước 5: Thực hiện giao dịch chuyển tiền
Ngay sau khi đăng nhập thành công, kẻ tấn công nhanh chóng khởi tạo và phê duyệt các lệnh chuyển tiền. Dòng tiền sẽ được chuyển từ tài khoản của nạn nhân sang các tài khoản ngân hàng trung gian (thường là tài khoản rác, tài khoản không chính chủ) nhằm mục đích tẩu tán tài sản và gây khó khăn cho quá trình điều tra khi nạn nhân khai báo với cơ quan chức năng.
Các dấu hiệu nhận biết tài khoản đang bị tấn công
- Nhận thấy thiết bị di động mất sóng bất thường
- Phát hiện các biến động số dư, giao dịch không hợp lệ
Hành động khẩn cấp khi nhận thấy có dấu hiệu bất thường
- Liên hệ ngân hàng phong tỏa tài khoản
- Báo nhà mạng viễn thông kiểm tra thuê bao
Chủ động bảo vệ thông tin cá nhân ngay hôm nay chính là cách tốt nhất để bảo vệ tài sản của bạn trước các hình thức tấn công ngày càng tinh vi hiện nay.