“Người gọi không nhất thiết phải dùng đúng số thật của họ khi thực hiện cuộc gọi, nhưng điện thoại người nhận vẫn có thể hiển thị một số khác trên màn hình. Nói cách khác, số mình nhìn thấy chưa chắc là số thật đang gọi”, chuyên gia an ninh mạng HIếu PC đưa ra cảnh báo.
Giải mã công nghệ giả mạo số điện thoại
Theo chuyên gia Hiếu PC, kỹ thuật này có tên gọi quốc tế là Caller ID Spoofing, đã có lịch sử tồn tại hơn 20 năm, ban đầu chỉ dành cho những người có kết nối chuyên dụng đến tổng đài viễn thông. Tuy nhiên, sự phát triển của công nghệ VoIP (truyền giọng nói qua Internet) đã biến nó thành một công cụ rẻ tiền và dễ tiếp cận cho bất kỳ kẻ gian nào.
Chuyên gia Hiếu PC giải thích, một cuộc gọi trong mạng viễn thông thực chất được chia làm hai phần tách biệt: Đường đi thực của cuộc gọi và Thông tin hiển thị cho người nhận. Các hệ thống trung gian như VoIP hay dịch vụ Cloud Call cho phép kẻ xấu can thiệp vào trường dữ liệu hiển thị một cách dễ dàng.
Một số cơ quan quản lý viễn thông mô tả đây là sự khác nhau giữa số dùng trong mạng và số dùng để hiển thị ra màn hình. Vì vậy, việc điện thoại hiện đúng số ngân hàng, đúng tên nhân viên, hoặc đúng số khách hàng không đủ để khẳng định người gọi là thật.
Kiểu lừa đảo này thường lợi dụng các nền tảng gọi điện qua VoIP, tức công nghệ truyền giọng nói qua Internet thay vì mạng điện thoại truyền thống. Khi đó, cuộc gọi được tạo ra từ một hệ thống trung gian.
Trước đây, ông Hiếu cũng từng thử và vượt qua được cơ chế siết chặt bảo mật của Twilio hay MessageBird về xác thực số điện thoại người gọi. Nói đơn giản, nếu khâu xác minh quyền sử dụng số không chặt hoặc bị lạm dụng, nó có thể dẫn tới hiện tượng giả mạo Caller ID.
Ví dụ, vào năm 2021, ông đã từng nghiên cứu vấn đề này trên một số dịch vụ gọi điện qua Internet (VoIP), tổng đài số và dịch vụ thoại đám mây (cloud call). “Tôi đã thử gọi với người thân, bạn bè và đồng nghiệp. Điều đáng lo hơn là tôi vẫn có thể nói chuyện trực tiếp với người nhận bằng chính cuộc gọi đã được chỉ định số hiển thị như vậy”, ông Hiếu cho hay.
Các tài liệu kỹ thuật của nhiều nhà cung cấp dịch vụ thoại VoIP cũng cho thấy, mỗi cuộc gọi đều có thông tin “nguồn gọi” và “đích gọi”, trong đó phần nguồn có thể được khai báo theo ý muốn trong một số điều kiện nhất định.
“Đây là lý do vì sao trên thực tế có thể xuất hiện những cuộc gọi “trông như đến từ số quen thuộc”, dù nguồn gốc thật lại hoàn toàn khác”, chuyên gia Hiếu cho hay.
Người dân cần làm gì để tránh lừa đảo?
Chuyên gia an ninh mạng Ngô Minh Hiếu cho hay, người dùng hiện nay thường có xu hướng tin vào số hiển thị, từ đó rất dễ trở thành mục tiêu của các cuộc gọi lừa đảo.
Kẻ gian có thể giả danh nhiều đối tượng như ngân hàng, công an, nhân viên chăm sóc khách hàng hoặc thậm chí là khách hàng của ngân hàng. Từ đó, chúng dựng lên các kịch bản quen thuộc như “tài khoản có vấn đề”, “có giao dịch gian lận”, “cần xử lý gấp”, “thẻ tín dụng bị khóa” nhằm tạo sự hoang mang.
Điểm chung của các cuộc gọi này là liên tục gây áp lực, yêu cầu nạn nhân phải xử lý ngay, không được chậm, không được cúp máy. Đối tượng thường hướng dẫn chuyển tiền để “bảo vệ tài sản” hoặc yêu cầu cung cấp mã xác minh, OTP, thông tin thẻ, mật khẩu.
Đối với người dân, ông Hiếu khuyến cáo không nên trả lời các câu hỏi mang tính xác nhận, đặc biệt là những câu chỉ cần trả lời “có” hoặc “không”, bởi có thể bị lợi dụng. Đồng thời, tuyệt đối không cung cấp thông tin cá nhân như số tài khoản, căn cước công dân, mật khẩu, thông tin thẻ hay mã OTP khi nhận cuộc gọi bất ngờ hoặc có dấu hiệu nghi vấn.
“Bất kỳ ai gọi đến mà xin mã xác minh đều là lừa đảo. Các cuộc gọi mạo danh ngân hàng hoặc bộ phận chống gian lận thường dựng lên câu chuyện “tài khoản có vấn đề” để dụ nạn nhân làm theo”, ông Hiếu khẳng định.
Trong trường hợp có người tự xưng là đại diện công ty hoặc cơ quan nhà nước, người dân cần chủ động cúp máy và gọi lại qua số chính thức trên website, sao kê hoặc kênh liên hệ chính thống để kiểm tra. Theo ông, với các yêu cầu quan trọng, đơn vị hợp pháp thường có thông báo chính thức qua nhiều kênh, không chỉ gọi điện và thúc ép xử lý ngay.
Chuyên gia cũng lưu ý, không nên cố phân biệt thật – giả chỉ dựa vào số hiển thị. Có trường hợp số hiển thị đúng hoàn toàn, có khi kèm mã quốc gia như +1, hoặc là số lạ. Điều cần quan tâm là nội dung cuộc gọi: có tạo áp lực hay không, có yêu cầu cung cấp mã xác minh hay không, có yêu cầu chuyển tiền hay không.
Đối với các tổ chức tài chính, chuyên gia Ngô Minh Hiếu cho rằng, rủi ro lớn nhất là việc tin vào số điện thoại hiển thị như một yếu tố xác minh danh tính. Nếu tổng đài hoặc bộ phận chăm sóc khách hàng cho rằng cuộc gọi từ đúng số đăng ký là khách hàng thật, kẻ gian có thể lợi dụng để yêu cầu đổi mật khẩu, thay đổi thông tin, mở khóa tài khoản hoặc khai thác thêm dữ liệu.
Vì vậy, số điện thoại hiển thị chỉ nên được xem là thông tin tham khảo, không phải bằng chứng xác thực. Với các yêu cầu nhạy cảm như thay đổi mật khẩu, số điện thoại hoặc thông tin tài khoản, các ngân hàng cần áp dụng thêm các lớp bảo vệ như xác nhận qua ứng dụng, gọi lại theo số đã lưu và xác minh đa lớp.
>>> Mời độc giả xem thêm video Đừng để số điện thoại đánh lừa bạn:
