Tội phạm mạng ngày càng sáng tạo

Thông tin sai lệch thường được đề cập trên các phương tiện truyền thông, thường là trong bối cảnh chính trị và được xem đồng nghĩa với tin tức giả mạo. Mặc dù đây là những vấn đề nghiêm trọng, nhưng một mối nguy hiểm lớn và mang tính cá nhân hơn thường bị bỏ qua: Cách tội phạm mạng sử dụng thông tin sai lệch để đánh cắp từ các công ty và cá nhân.

Định nghĩa về thông tin sai lệch là: “thông tin sai hoặc không chính xác, đặc biệt là thông tin cố ý nhằm đánh lừa”. Nhưng thông tin sai lệch có thể gây hiểu lầm và hiệu quả nhất khi nó được kết hợp với một lượng lớn thông tin đúng và chính xác, đặc biệt là thông tin chỉ có một số ít người biết. Bằng cách khai thác các cuộc tấn công mạng nhằm đánh cắp thông tin thật, tội phạm có thể kết hợp điều đó với một chút thông tin sai lệch để gây ra những tác động tài chính lớn cho công ty và cá nhân.

Dưới đây là một số ví dụ. Bởi vì những tình huống này rất nhạy cảm, tổ chức bị ảnh hưởng chỉ đồng ý giải thích các tình huống với điều kiện giấu tên. Đây là một yêu cầu phổ biến, đó là lý do tại sao người ta tin rằng các cuộc tấn công mạng được báo cáo công khai chỉ đại diện cho một phần nhỏ các cuộc tấn công thực tế.

Khai thác việc chuyển khoản ngân hàng

Hầu hết chúng ta đã nghe nói về những trò gian lận đánh cắp số thẻ tín dụng. Trong hầu hết các trường hợp, bạn có thể không đồng ý hoặc hủy bỏ các khoản phí thẻ tín dụng không phù hợp để cuối cùng bạn không bị mất tiền. Nhưng có một điểm khác biệt lớn với chuyển khoản ngân hàng: chúng thường ngay lập tức và không thể đảo ngược. Đó là, khi sử dụng chuyển khoản ngân hàng, tiền sẽ bị trừ ngay, đặc biệt nếu sự lừa đảo này không được phát hiện ngay lập tức. Tội phạm mạng đã lợi dụng tính năng này theo nhiều cách khác nhau.

Một ví dụ liên quan đến việc tội phạm mạng xâm nhập vào hệ thống máy tính của công ty, sau đó chúng dành thời gian đọc email và tìm hiểu các quy trình nội bộ. Bọn tội phạm tìm hiểu những quan chức nào được ủy quyền đưa ra yêu chuyển khoản ngân hàng đến phòng tài chính và các thủ tục là gì. Sau đó, chúng giả dạng thành những quan chức này, từng lần một trong vài ngày, đưa ra yêu cầu chuyển khoản, một số tiền hơn 500.000 USD, vào tài khoản của bọn tội phạm.

Sau khi vấn đề này được nhận ra, các thủ tục đã được đưa ra để yêu cầu xác minh rằng các chuyển khoản ngân hàng đó thực sự được yêu cầu bởi nhân viên có thẩm quyền. Điều này liên quan đến việc nói chuyện trực tiếp qua điện thoại với người được ủy quyền và xác minh các chi tiết của giao dịch. Tuy nhiên, những thủ tục hợp lý như vậy thường chỉ được thực hiện sau khi công ty đã bị thiệt hại.

Không chỉ các công ty có thể mất tiền do gian lận chuyển khoản. Người mua nhà là mục tiêu phổ biến. Một bước quan trọng trong hầu hết các giao dịch mua nhà liên quan đến việc chuyển một số tiền lớn bằng chuyển khoản cho công ty quyền sở hữu hoặc công ty ký quỹ giữ tiền cho đến khi quyền sở hữu tài sản được chuyển cho chủ sở hữu mới và sau đó — và chỉ khi đó — công ty ký quỹ chuyển khoản tiền đó cho người bán nhà.

Tội phạm sử dụng một quy trình gồm nhiều bước để thực hiện hành vi chiếm đoạt của chúng trong những tình huống này. Đầu tiên, họ đột nhập vào hệ thống máy tính của đại lý bất động sản, luật sư hoặc đại lý quyền sở hữu. Họ có thể dành hàng tuần hoặc thậm chí hàng tháng để tìm hiểu về các lần đóng cửa sắp tới, các thủ tục của công ty và các chi tiết bao gồm mẫu hướng dẫn chuyển khoản ngân hàng. Vì có thể xảy ra rắc rối vào phút cuối, người mua nhà thường được khuyến khích thực hiện chuyển khoản trước một hoặc hai ngày. Công ty niêm yết thường gửi yêu cầu trước một ngày, vì vậy bọn tội phạm mạng sẽ gửi yêu cầu trước hai ngày. Các yêu cầu này dường như là của công ty niêm yết, vì chúng dựa trên các hướng dẫn thực, nhưng thông tin đích đã bị thay đổi. Họ đã chèn vào một chút thông tin sai lệch trong một loạt thông tin thật.

Hàng trăm triệu USD đã bị đánh cắp theo cách này chỉ trong một năm. Trên thực tế, hơn 13.000 người là nạn nhân của lừa đảo chuyển khoản trong lĩnh vực bất động sản và cho thuê vào năm 2020, với thiệt hại hơn 213 triệu USD — tăng 380% kể từ năm 2017, theo dữ liệu của FBI (Mỹ). Bạn có thể rơi vào tình huống phải bán ngôi nhà trước đây của mình và sử dụng số tiền nhận được cộng với tiền tiết kiệm để mua một ngôi nhà mới hơn, tốt hơn ở một thành phố khác. Bạn có thể đang ngồi trên ô tô đến thành phố mới để chuyển đến ngôi nhà mới vào ngày hôm sau thì bạn nhận được cuộc gọi từ đại lý bất động sản hỏi khoản thanh toán của bạn ở đâu. Sau nhiều cuộc gọi điên cuồng, bạn nhận ra rằng tiền của mình đã bị đánh cắp và giờ đây bạn trở thành người vô gia cư và khánh kiệt.

Có nhiều điều mà cả cá nhân và công ty có thể làm để giảm nguy cơ tội phạm mạng thông qua chuyển khoản ngân hàng. Đầu tiên, luôn xác nhận các yêu cầu chuyển khoản ngân hàng trên điện thoại với người sẽ nhận tiền trước khi chuyển tiền. Tuy nhiên, hãy chắc chắn rằng bạn có thể xác nhận rằng bạn thực sự đang nói chuyện với đúng người - bọn tội phạm có thể đã đưa số điện thoại giả vào hướng dẫn mà bạn nhận được, vì vậy hãy luôn xác minh trước số chính xác bằng cách sử dụng trang web chính thức hoặc bằng cách nói chuyện trực tiếp đến một nguồn đã biết, người có thể xác minh thông tin chính xác.

Ăn cắp tiền lương

Nhiều công ty cung cấp các hệ thống cho phép nhân viên duy trì và cập nhật thông tin cá nhân của họ, chẳng hạn như địa chỉ nhà, điện thoại và chi tiết ngân hàng để gửi trực tiếp tiền lương hàng tháng của họ. Tội phạm đã đột nhập vào tài khoản của một số nhân viên được trả lương cao và, một ngày trước khi khoản thanh toán được gửi, thay đổi chi tiết ngân hàng. Sau đó, ngày hôm sau, chúng thay đổi chi tiết ngân hàng trở lại bình thường, vì vậy sẽ không có gì bị phát hiện. Họ tiếp tục kế hoạch này trong vài tháng cho đến khi một giám đốc điều hành nhận được thông báo không đủ tiền và chỉ sau đó mới nhận ra rằng ngân hàng của anh ta đã không nhận được các khoản thanh toán hàng tháng dự kiến. Điều này cho thấy tầm quan trọng của việc kiểm tra tài khoản ngân hàng của bạn đủ thường xuyên để phát hiện hoạt động bất thường hoặc sai sót, đặc biệt là để xác nhận rằng các khoản tiền gửi dự kiến đang được thực hiện.

Lừa người giúp “Sếp”

Chúng ta đã biết ở trên về cách lừa đảo kinh điển khi giám đốc điều hành của một công ty yêu cầu giám đốc tài chính gửi tiền đi đâu đó. Nếu không phải là giám đốc điều hành, bạn có thể cho rằng những trò gian lận như vậy không liên quan đến mình, nhưng thực tế không phải vậy.

Một hình thức lừa đảo, là để một nhân viên nhận được email từ cấp trên, thường là trưởng bộ phận, nhờ làm một việc gì đó. Một câu chuyện chẳng hạn như: “Tối nay tôi sẽ dự tiệc sinh nhật của con tôi và tôi bận họp cả ngày, vì vậy tôi sẽ không có thời gian để mua một món quà. Bạn có thể giúp tôi một việc nhỏ là mua một thẻ quà tặng trị giá 100 USD và gửi email cho tôi những con số ở mặt sau”. Và kết quả như thế nào chúng ta đều hiểu, như một nạn nhân đã nói: “Email này không chỉ đến từ một trong những đồng nghiệp của tôi; nó đứng tên chủ tịch bộ phận của tôi”. Một lần nữa, điều quan trọng là phải xác minh rằng tin nhắn thực sự đến từ sếp của bạn.

Tại sao điều quan trọng là phải thận trọng

Điểm mấu chốt của tất cả những điều trên là mặc dù thông tin sai, dưới dạng tin tức giả mạo, là một vấn đề, nhưng việc kết hợp nhiều thông tin thực với chỉ một chút thông tin sai lệch nhỏ có thể gây ra hậu quả nghiêm trọng. Các ví dụ trên chỉ là một số ví dụ gần đây. Như đã lưu ý, có những điều có thể được thực hiện để loại bỏ hoặc ít nhất là giảm đáng kể những tội phạm như vậy, nhưng những thủ tục và biện pháp phòng ngừa đó cần được thực hiện ngay bây giờ, không phải sau khi tội phạm xảy ra.

Nhưng hãy lưu ý, tội phạm mạng rất sáng tạo và thường được trang bị rất nhiều thông tin về bạn. Nhiều âm mưu xảo quyệt hơn có thể đang hướng tới chúng ta, vì vậy, điều quan trọng là phải liên tục tìm hiểu về những âm mưu mới, thận trọng và chuẩn bị phòng thủ.