Người dùng Android và iPhone được FBI cảnh báo về rủi ro bảo mật từ một số ứng dụng

Cơ quan điều tra Liên bang Mỹ (FBI) vừa phát đi cảnh báo quan trọng đến người dùng điện thoại thông minh, bao gồm cả các thiết bị chạy hệ điều hành Android và iOS (iPhone). Cảnh báo này tập trung vào một hình thức lừa đảo tinh vi và ngày càng phổ biến, nhắm vào các mã xác thực một lần (OTP) – lớp bảo mật phổ biến dùng để xác thực danh tính người dùng.

Mức độ nghiêm trọng của mối đe dọa

FBI chỉ ra rằng các tội phạm mạng đã phát triển các kỹ thuật tinh vi để đánh lừa người dùng tiết lộ các mã OTP quan trọng. Các mã này thường được gửi qua tin nhắn SMS, email hoặc ứng dụng xác thực để xác nhận các giao dịch nhạy cảm như chuyển tiền, đăng nhập tài khoản ngân hàng, hoặc truy cập vào tài khoản mạng xã hội. Việc chiếm đoạt được mã OTP đồng nghĩa với việc kẻ xấu có thể vượt qua lớp bảo vệ hai yếu tố (2FA) và chiếm quyền kiểm soát tài khoản của nạn nhân.

Phương thức tấn công phổ biến nhất

Hình thức lừa đảo chính được FBI cảnh báo thường liên quan đến kỹ thuật “giả mạo danh tính” hoặc “lừa đảo OTP” (OTP fraud). Quy trình có thể diễn ra như sau:

1. Thu thập thông tin: Kẻ gian có thể đã có được một số thông tin cá nhân của nạn nhân từ các nguồn khác (ví dụ: rò rỉ dữ liệu, lừa đảo trước đó).
2. Tiếp cận số điện thoại: Chúng có thể thực hiện cuộc gọi lừa đảo, giả vờ là đại diện ngân hàng, nhà cung cấp dịch vụ, hoặc thậm chí là cơ quan chính phủ. Lý do được đưa ra thường là “bảo mật tài khoản”, “xác minh giao dịch đáng ngờ”, hoặc “khắc phục sự cố kỹ thuật”.
3. Yêu cầu cung cấp mã OTP: Kẻ lừa đảo sẽ yêu cầu nạn nhân cung cấp mã OTP vừa nhận được từ tin nhắn hoặc ứng dụng, thường với lý do “để xác nhận” hoặc “tạm thời sử dụng”. Họ có thể dụ dỗ nạn nhân rằng đây là thủ tục bình thường và cần phải thực hiện ngay lập tức.

Khuyến nghị bảo vệ từ FBI và chuyên gia an ninh mạng

Để phòng tránh nguy hiểm này, FBI và các chuyên gia khuyến nghị người dùng thực hiện các biện pháp sau:

• Luôn giữ bí mật mã OTP: Không bao giờ chia sẻ mã OTP với bất kỳ ai qua điện thoại, tin nhắn hay email, kể cả khi người đó tự xưng là từ ngân hàng hay công ty dịch vụ của bạn. Các tổ chức uy tín không bao giờ yêu cầu bạn cung cấp mã này.
• Cảnh giác với các yêu cầu bất thường: Dừng lại và suy nghĩ nếu bạn nhận được yêu cầu cung cấp mã OTP từ một cuộc gọi hoặc tin nhắn không mong muốn. Hãy độc lập xác minh bằng cách gọi số chính thức của tổ chức đó (lấy từ trang web chính thức, không phải số người gọi đến cung cấp).
• Ưu tiên sử dụng xác thực dựa trên ứng dụng: Thay vì chỉ dựa vào OTP qua SMS, hãy sử dụng các ứng dụng xác thực (như Google Authenticator, Microsoft Authenticator) hoặc khóa bảo mật vật lý (security key). Các phương pháp này ít bị tấn công lừa đảo qua mạng xã hội hoặc điện thoại hơn.
• Kích hoạt các cảnh báo bảo mật: Bật các thông báo đăng nhập, giao dịch đáng ngờ trên tài khoản của mình.
• Báo cáo kịp thời: Nếu bạn nghi ngờ mình là nạn nhân của cuộc tấn công này, hãy ngay lập tức báo cáo cho cơ quan có thẩm quyền (tại Mỹ có thể báo cáo qua trang web IC3 của FBI – Internet Crime Complaint Center) và thông báo cho tổ chức tài chính liên quan để khóa tài khoản.

Lời kết

Cảnh báo của FBI nhấn mạnh rằng trong kỷ nguyên số, các lớp bảo vệ như OTP, dù phổ biến, vẫn có thể bị vô hiệu hóa bởi các chiêu trò lừa đảo xã hội. Sự tỉnh táo, kiên nhẫn và không bao giờ tiết lộ thông tin xác thực nhạy cảm là chìa khóa quan trọng nhất để bảo vệ tài chính và dữ liệu cá nhân trên điện thoại.