Mất điện thoại, mất sạch tiền và gánh nợ: Lỗ hổng chết người trong thanh toán điện tử và cách phòng

Chuyện một chuyên gia bảo mật thông tin mất điện thoại

Gần đây, điện thoại của một chuyên gia bảo mật thông tin Trung Quốc nổi tiếng có biệt danh “Lão Lạc Đà” bị móc trộm, từ đó phơi bày lỗ hổng khổng lồ của thanh toán di động.

Chỉ trong một ngày, toàn bộ thẻ ngân hàng, thẻ tín dụng, Alipay, WeChat Pay, Meituan Pay, Suning Finance… đều bị bọn tội phạm phá khóa, khiến anh ta thiệt hại nặng nề.

Hẳn mọi người không thể tưởng tượng nổi: Tốc độ và mức độ chuyên nghiệp của nhóm trộm cắp cao đến mức chuyên gia an ninh có tiếng còn bị “đè cổ lột sạch”, người bình thường thì chỉ còn biết trở thành “miếng thịt trên thớt”.

Hãy xem chúng đã thực hiện vụ tấn công hoàn hảo như thế nào. Về lý, điện thoại đều có khóa vân tay, còn thanh toán di động thì lớp lớp mật khẩu. Vậy chúng mở từng “cánh cửa an toàn” này ra sao?

Bước 1: Chiếm đoạt số điện thoại

Khi kẻ trộm lấy được điện thoại, chúng lập tức chuyển cho “chuyên gia công nghệ” trong đường dây. Vì nạn nhân thường không lập tức khóa SIM, mà sẽ gọi vào máy với hy vọng tìm lại, nhóm trộm lợi dụng đúng khoảnh khắc ngắn ngủi này để: Rút SIM ra, gắn vào máy khác, gọi hoặc nhắn tin bất kỳ. Thế là chúng đã chiếm dụng được số điện thoại của nạn nhân, bước khởi đầu quan trọng.

Bước 2: Thu toàn bộ thông tin định danh

Chỉ có SIM thì chưa đủ để mở ví điện tử. Mấu chốt tiếp theo là Thẻ căn cước công dân (CCCD).

Cách làm: Chúng mở app của cơ quan bảo hiểm xã hội, bấm “Quên mật khẩu”, đăng nhập bằng mã xác thực SMS — vậy là vào được tài khoản thẻ BHXH điện tử.

Trong đó có đầy đủ: Số CCCD, số thẻ ngân hàng liên kết với thẻ BHXH.

Khi đã có số điện thoại + số CCCD, mọi cánh cửa tiếp theo đều mở toang với chúng.

Bước 3: Gỡ các khóa mà chủ máy đã thiết lập

Khi “Lão Lạc Đà” phát hiện bị mất máy, anh ta lập tức khóa SIM, rút hết tiền khỏi tài khoản, gọi ngân hàng đóng băng thẻ, gỡ liên kết Alipay/WeChat…

Nhưng ngay tối hôm đó, nhóm tội phạm âm thầm gỡ khóa SIM. Trong suy nghĩ của nhiều người, muốn gỡ khóa SIM phải đem CCCD ra cửa hàng nhà mạng. Nhưng thực tế, chỉ cần một cuộc điện thoại là xong.

Có số điện thoại + số CCCD, chúng bịa một lý do kiểu: “Vợ chồng cãi nhau, cô ấy lén khóa SIM, giờ tôi muốn mở lại”, và được nhà mạng chấp nhận ngay. Điều này cho thấy chúng đã nắm rất rõ quy trình nghiệp vụ của nhà mạng.

Bước 4: Bẻ khóa điện thoại, đăng nhập WeChat/Alipay

Khi đã có SIM và CCCD, bước tiếp theo là chúng mở khóa máy.

Chúng gọi tổng đài nhà mạng để đổi mật khẩu dịch vụ, kết hợp mã OTP để đặt lại mật khẩu tài khoản của hãng điện thoại → mở được màn hình.

Nhiều người tưởng lớp bảo vệ chắc chắn nhất là khóa màn hình, nhưng đã bị phá dễ dàng như vậy.

Bước 5: Qua mặt hệ thống, rút sạch – và tạo nợ cho nạn nhân

Sau khi vào được máy, chúng đăng nhập WeChat, Alipay và đẩy chủ máy ra khỏi tài khoản. “Lão Lạc Đà” đã rất nhanh trí: chuyển hết tiền khỏi tài khoản và gỡ liên kết thẻ.

Nhưng “đạo cao một thước, ma cao một trượng”. Nhóm tội phạm tạo một tài khoản Alipay mới bằng chính số điện thoại và CCCD của nạn nhân.

Để ràng buộc thẻ, có những thẻ ngân hàng cũ bị nạn nhân quên từ lâu; có thẻ tín dụng mà anh không dám khóa vì còn dùng cho ETC. Bọn tội phạm chỉ cần dùng phần mềm tra cứu thẻ (dựa trên CCCD) là thấy được toàn bộ tài khoản.

Chúng dùng thẻ chưa bị khóa để liên kết vào Alipay mới, đặt mật khẩu người dùng không biết, và quẹt đến khi thẻ “nổ”.

Trong vụ “Lão Lạc Đà”, Alipay đã kịp thời chặn lại nhờ hệ thống chống gian lận. Nhưng còn vô số nền tảng khác: JD Baitiao, Meituan Pay, Baidu Wallet, Suning Finance, 360 JieDiao…

Để thu hút người dùng, các nền tảng này cho phép ràng buộc thẻ siêu nhanh, chỉ cần CCCD + mã OTP. Tiền trong thẻ không còn? Không sao! Vay online thì sẽ có nhiều vô kể.

Thực tế, nhóm tội phạm đã dùng chính danh nghĩa nạn nhân để vay tiền, sau đó mua thẻ ảo hoặc nạp tiền online để rút sạch số tiền đã vay.

Điều này có nghĩa là: Dù bạn đã chuyển hết tiền khỏi tài khoản, vẫn không thoát khỏi khoản nợ trên trời rơi xuống.

Cách phòng ngừa khi bị mất điện thoại

Một số biện pháp phòng tránh bị vét sạch tiền trong tài khoản và gánh thêm nợ nần do không may mất điện thoại:

1. Tắt chức năng mở khóa khuôn mặt 2D

Tức là các loại nhận diện gương mặt dùng camera trước nhưng không có cảm biến 3D (không có mô-đun 3D Depth/TrueDepth). Loại nhận diện này rất dễ bị đánh lừa, nên không an toàn.

2. Tăng độ phức tạp của mật khẩu khóa màn hình

Trong sự cố của “Lão Lạc Đà”, mật khẩu khóa màn hình của điện thoại Huawei bị phá quá dễ, có thể do dùng mật khẩu yếu — chẳng hạn kiểu hình vẽ chữ L, hoặc pattern quá đơn giản, hoặc mật khẩu chữ - số dễ đoán kiểu ngày sinh.

3. Bảo mật danh tính – không để lộ CCCD, ảnh chụp giấy tờ

Chủ máy cần: Không lưu CCCD trong album ảnh; không lưu ảnh chụp mặt trước, sau CCCD trong Zalo, Messenger, Drive nếu không mã hóa; không gửi ảnh CCCD qua chat cho người lạ; Xóa các ảnh scan cũ không còn dùng.

4. Nếu có “khóa ứng dụng”, hãy bật ngay

Một số hệ điều hành cho phép đặt mật khẩu riêng cho từng ứng dụng nhạy cảm — như Alipay, hoặc album ảnh chứa nhiều thông tin cá nhân. Hãy thiết lập mật khẩu hoặc xác thực sinh trắc riêng cho các ứng dụng liên quan đến tài chính và quyền riêng tư.

5. Khi làm mất máy, phải lập tức khóa SIM — tốt nhất là tách riêng SIM dùng cho thanh toán

Số điện thoại gắn với WeChat, Alipay, Zalopay… và hàng loạt tài khoản tài chính khác. Một khi mất cả máy lẫn SIM, bạn sẽ đứng trước nguy cơ thiệt hại lớn, kẻ trộm có thể lợi dụng các nền tảng vay online để rút tiền ngay lập tức.

Tốt nhất là: SIM dùng cho banking liên kết các ngân hàng với các ví, tài khoản Alipay, Zalopay…nên để trên một máy phụ an toàn. Như vậy, mất một điện thoại sẽ không kéo theo mất SIM tài chính. Tuy cách này gây bất tiện vì phải mang hai máy, nhưng đó là sự đánh đổi giữa an toàn và tiện dụng.

6. Sau khi mất máy, khóa SIM, khóa thẻ và làm lại SIM mới

Việc này phải nhấn mạnh lại: trong 10 phút đầu, nhất định phải hoàn tất việc khóa SIM bằng cách gọi tổng đài nhà mạng từ số khác yêu cầu khóa khẩn cấp chứ không hủy số. Trong vụ việc lần này, nạn nhân do hy vọng “biết đâu có người tốt trả lại” nên chậm trễ khóa SIM — vô tình cho kẻ trộm thêm thời gian gỡ liên kết tài khoản và chiếm quyền điều khiển.

Hiện nay, hầu hết tài khoản tài chính đều gắn chặt với số điện thoại, và việc đổi mật khẩu hay xác thực danh tính đều phụ thuộc vào số đó. Đây là vấn đề mang tính hệ thống và khó thay đổi trong ngắn hạn.

Thậm chí trong vụ việc của “Lão Lạc Đà” này còn xuất hiện trường hợp bị gỡ khóa SIM trái phép, vì vậy sau khi khóa SIM, cần: Lập tức đi làm SIM mới, gọi vào số cũ để kiểm tra xem thật sự đã bị khóa chưa.

7. Bật chức năng “Tìm thiết bị” để có thể khóa từ xa hoặc xóa dữ liệu

Các hệ điều hành như EMUI, MIUI, iOS đều hỗ trợ: Tắt máy từ xa, khóa thiết bị, xóa sạch dữ liệu.

Hãy luôn ghi nhớ: Mất máy điện thoại thì có thể chấp nhận được, nhưng lộ dữ liệu riêng tư — như ảnh chụp giấy tờ, số tài khoản, cách truy cập email, Facebook… mới là nguy cơ gây tổn hại lớn hơn nhiều.

Theo Ceaders, Zhihu