Bài viết này thuộc “Series Bóc Trần Lừa Đảo” được nhóm CyProtek – thuộc dự án Chongluadao – biên soạn nhằm nâng cao nhận thức cộng đồng về an toàn thông tin. Chúng tôi nhấn mạnh rằng đây không phải là tài liệu kỹ thuật chuyên sâu. Mục tiêu của chúng tôi là giúp mọi người hiểu rõ hơn về các mối đe dọa an ninh mạng mà không tiết lộ chi tiết cụ thể về các kỹ thuật, thủ thuật hay quy trình mà tin tặc sử dụng. Việc này nhằm tránh vô tình tạo điều kiện cho các đối tượng xấu học hỏi và thực hiện hành vi nguy hiểm.

Chúng tôi hướng tới cung cấp thông tin cảnh báo ngắn gọn và dễ hiểu, đặc biệt dành cho những người không am hiểu sâu về công nghệ. Nội dung bài viết giúp bạn nhận biết các rủi ro, phát hiện điểm yếu trong việc bảo mật thông tin cá nhân và cung cấp những cách phòng tránh cơ bản, hiệu quả.

Toàn bộ dữ liệu, hình ảnh, video và nội dung được dẫn chứng trong bài viết này đã được kiểm duyệt, che đi các chi tiết nhạy cảm nhằm bảo vệ các bên liên quan. Tất cả các trường hợp được nêu đều là thông tin công khai được chia sẻ bởi các nhóm hacker trên các kênh như Telegram hoặc được thu thập thông qua quá trình truy vết trên máy chủ của các đối tượng hacker/lừa đảo này.

Chúng tôi không thực hiện bất kỳ hành vi tấn công nào mà chỉ phân tích, lấy lại và tổng hợp từ các nguồn đã công khai. Đồng thời, chúng tôi miễn trừ trách nhiệm nếu bất kỳ ai lợi dụng tài liệu này với mục đích xấu để gây hại cho người khác.

Với các tài liệu kỹ thuật chi tiết và chuyên sâu về các loại hình tội phạm mạng, nhóm CyProtek chỉ chia sẻ và phối hợp với các cơ quan chức năng có thẩm quyền tại Việt Nam. Điều này nhằm đảm bảo các thông tin nhạy cảm không bị lạm dụng và chỉ được sử dụng phục vụ công tác điều tra chính đáng. Ví dụ một bài báo cáo của Cơ quan phòng chống Ma tuý và Tội phạm của Liên hợp quốc (UNODC) mà nhóm chúng tôi đã đóng góp rất nhiều thông tin quan trọng về tội phạm mạng, bạn có thể tải về xem tại đây.

Trước tiên chúng ta hãy cùng tìm hiểu tổng quan về các phương thức tấn công trên thiết bị điện thoại di động.

Đây là một trong nhiều kịch bản được hacker sử dụng để lừa nạn nhân tải về các ứng dụng giả mạo chứa mã độc. Hoạt động này thuộc chiến dịch tấn công mạng mang tên GoldFactory, diễn ra từ năm 2023 đến nay. Theo cách định danh của CyProtek, chiến dịch này được mã hóa là 23xPH03NIX.

Bước 1: Hacker thường thu thập và mua thông tin trên các chợ đen giao dịch dữ liệu hoặc tìm kiếm dữ liệu công khai bị lộ do chính người dùng đăng tải trên Google, Facebook, Telegram, hoặc các diễn đàn của giới hacker mũ đen.

Một ví dụ điển hình: Hacker truy cập vào các chợ mua bán dữ liệu trái phép để mua thông tin lộ lọt của những nạn nhân bị nhiễm mã độc đánh cắp dữ liệu từ máy tính. Điều này thường xảy ra khi người dùng cài đặt phần mềm crack, phần mềm lậu, hoặc bị lừa tải về các tệp chứa mã độc.

Những thông tin mà hacker thu thập được ở bước này rất đa dạng và quan trọng cho các bước tiếp theo. Chúng bao gồm:

• Số điện thoại

• Địa chỉ email

• Danh sách các website đã truy cập

• Cookies

• Địa chỉ IP

• Tên đăng nhập và mật khẩu vào các website hoặc ứng dụng.

Bước 2: Hacker sử dụng tên đăng nhập và mật khẩu từ tệp dữ liệu lộ lọt để thử đăng nhập vào các tài khoản liên quan. Trong một số trường hợp, chúng có thể truy cập thành công, cho phép xem số dư tài khoản và thu thập thêm thông tin cá nhân của nạn nhân (tức nhiên là không chuyển tiền ra được vì cần mã OTP hoặc sinh trắc học)

Tuy nhiên, thay vì chỉ dừng lại ở việc khai thác thông tin, hacker thường cố tình khiến tài khoản bị vô hiệu hóa. Đây là bước chuẩn bị để thực hiện các hành vi tấn công tiếp theo, thường là những hành động phức tạp hơn nhằm chiếm đoạt tài sản hoặc thực hiện các hành vi lừa đảo như đã được mô tả trong bài viết này.

Bước 3: Hacker sử dụng các tài khoản (thông thường ở Việt Nam tài khoản đăng nhập ngân hàng có thể là số điện thoại, tên đăng nhập, chữ số ngẫu nhiên do ngân hàng cấp, và địa chỉ email) và hacker dùng mật khẩu ngẫu nhiên để cố tình đăng nhập sai nhiều lần, khiến tài khoản của nạn nhân bị khóa. Điều này được thực hiện có chủ đích, vì hacker biết rõ ngân hàng nào sẽ kích hoạt tính năng khóa tài khoản sau một số lần đăng nhập sai (dù đang trên một thiết bị mới hoàn toàn). Một số ngân hàng thì hacker sử dụng website, trong khi số khác có thể xử lý việc đăng nhập sai dẫn đến khoá tài khoản thông qua ứng dụng app.

Khi tài khoản bị khóa, tuỳ từng ngân hàng sẽ khác nhau:

• Một số ngân hàng chỉ tạm thời khóa truy cập trong một khoảng thời gian nhất định.

• Một số khác sẽ khóa hẳn tài khoản, buộc nạn nhân phải đến trực tiếp ngân hàng để khôi phục.

Hacker rất thông thạo cách vận hành của từng ngân hàng và thường sử dụng phương pháp loại trừ để tập trung vào các ngân hàng cho phép thiết lập lại tài khoản thông qua các thao tác online. Trong trường hợp này, nạn nhân có thể nhận mã OTP qua SMS, xác thực sinh trắc học trực tuyến, hoặc thực hiện các bước đơn giản mà không cần đến quầy giao dịch.

Có những ngân hàng thường xuyên bị nhắm đến bởi các đối tượng lừa đảo vì chính sách tạm thời khóa tài khoản, ví dụ: trong 30 phút. Tuy nhiên, để đảm bảo an toàn, chúng tôi không tiết lộ danh sách cụ thể các ngân hàng này.

Dưới đây là một trường hợp điển hình về một ngân hàng tạm khoá tài khoản trong 30 phút do nhập sai mật khẩu 5 lần (dù đang trên một thiết bị mới hoàn toàn)

Bước 4: Hacker giả danh nhân viên ngân hàng và gọi điện trực tiếp để tiếp cận nạn nhân. Việc biết số điện thoại của bạn không phải là trở ngại lớn, bởi thông tin cá nhân, bao gồm số điện thoại, thường được giao dịch tràn lan trên thị trường chợ đen. Chỉ cần bỏ ra vài chục nghìn đồng, hacker đã có thể mua được thông tin của bạn thông qua các bot trên Telegram hoặc các hội nhóm chuyên mua bán dữ liệu cá nhân.

Các thông tin này, khi kết hợp với kịch bản lừa đảo tinh vi của hacker, sẽ được sử dụng để thực hiện các cuộc gọi thuyết phục và lừa đảo nhằm chiếm đoạt tài sản hoặc thông tin quan trọng khác.

Từ bước số 5 trở đi, hầu hết hacker hoặc kẻ lừa đảo đều áp dụng các phương thức tương tự trong những kịch bản tinh vi. Chúng thường giả mạo các cơ quan như Công an (VNEID), Bảo hiểm xã hội (VSSID), Điện lực (EVN), Cục thuế (ETax Mobile) hoặc các dịch vụ công trực tuyến để đánh lừa nạn nhân.

Bước 5: Khi hacker thao túng thành công tâm lý của nạn nhân bằng các kịch bản được chuẩn bị kỹ lưỡng, họ sẽ bắt đầu dẫn dụ nạn nhân tải ứng dụng app độc hại thông qua đường link giả hoặc quét mã QR chứa mã độc. Dưới đây là hai cách phổ biến mà hacker thường sử dụng:

Cách A: Chiếm đoạt số tiền nhỏ và thông tin quan trọng

• Hacker thực hiện các giao dịch nhỏ dưới 10 triệu đồng/lần, đảm bảo tổng số giao dịch trong ngày không vượt quá 20 triệu đồng để tránh các bước xác minh sinh trắc học hoặc bảo mật nâng cao.

  

  Cách thức thực hiện như sau:

  1. Dẫn dụ qua website giả mạo
     Hacker gửi cho nạn nhân một đường link dẫn đến trang web giả mạo, thiết kế giống hệt website chính thức của ngân hàng hoặc tổ chức tài chính.

  2. Chiếm đoạt thông tin đăng nhập trong thời gian thực
     Khi nạn nhân nhập thông tin tài khoản, hacker sử dụng kỹ thuật theo dõi thời gian thực để nắm bắt dữ liệu. Thông tin này bao gồm:

     • Tên đăng nhập và mật khẩu

     • Mã OTP được gửi qua tin nhắn văn bản SMS hoặc email

     • Mã PIN dùng cho SmartOTP

     • Ảnh chụp mặt trước và sau của thẻ tín dụng

     • Hình ảnh CCCD hoặc giấy tờ tùy thân khác.

  3. Tối ưu hóa việc lừa đảo
     Hacker tiếp tục điều hướng các thao tác trên website giả mạo, thực hiện các hành động chuyển khoản hoặc lấy thêm thông tin cần thiết cho các giao dịch tiếp theo.

  Lưu ý quan trọng:
  Hình thức lừa đảo này không mới mà chỉ là biến thể của các chiêu trò đã xuất hiện từ trước. Các cơ quan chức năng và báo chí đã liên tục cảnh báo về thủ đoạn này từ năm 2023 đến nay. Mặc dù thay đổi đôi chút về kịch bản, hình thức này vẫn đặc biệt nguy hiểm với những người dùng thiếu cảnh giác.

Cách B: Chiếm đoạt số tiền lớn qua ứng dụng app giả mạo

• Hacker sử dụng các kịch bản tinh vi để lừa đảo chiếm đoạt số tiền lớn, nhắm vào người dùng Android thông qua việc giả mạo tổ chức uy tín và dẫn dụ nạn nhân tải ứng dụng độc hại. Chi tiết như sau:

  1. Giả danh tổ chức đáng tin cậy
     Hacker đội lốt nhân viên từ:

     • Ngân hàng

     • Công an (VNEID)

     • Bảo hiểm xã hội (VSSID)

     • Điện lực (EVN)

     • Cục thuế (ETax Mobile)

     • Dịch vụ công trực tuyến.

     Họ liên hệ qua điện thoại, Zalo, các app OTT, email, hoặc tin nhắn, tạo cảm giác cấp bách, yêu cầu nạn nhân thực hiện theo chỉ dẫn.

     Con số thú vị: “421” là số trang web giả mạo mà hacker đang dùng để dẫn dụ nạn nhân cài đặt app độc hại.

  2. Dẫn dụ cài ứng dụng app giả mạo
     Hacker yêu cầu tải ứng dụng có đuôi .apk (dành cho Android). Trước đây, có ứng dụng giả mạo nhắm vào iOS, nhưng hiện tại, do hệ điều hành iOS bảo mật cao hơn và khó khai thác, hacker tập trung chủ yếu vào Android.

  3. Chiếm quyền kiểm soát thiết bị
     Sau khi nạn nhân cài đặt ứng dụng, hacker:

     • Theo dõi toàn bộ hoạt động trên thiết bị

     • Thu thập thông tin nhạy cảm, bao gồm mật khẩu, OTP, hoặc mã PIN

     • Thực hiện các giao dịch lớn hoặc chiếm đoạt tài khoản.
       

  Lưu ý:

  Đây không phải hình thức lừa đảo mới mà là biến thể của các chiêu trò đã được cảnh báo nhiều lần từ năm 2023. Người dùng cần thận trọng và chỉ tải ứng dụng từ các nguồn chính thức như Google Play Store (CHPlay) hoặc App Store.

Hacker sử dụng các website giả mạo này (như các hình dưới đây) để dẫn dụ bạn tải app giả mạo có đuôi tệp tin là: .apk, từ đó chiếm quyền kiểm soát thiết bị Android, khi nạn nhân nhấp vào chữ Cài Đặt hay Tải Về thì ngay lập tức trình duyệt web trên điện thoại sẽ tải về tệp tin thường có đuôi là: .apk (đối với điện thoại Android). Điều này giúp hacker thực hiện các hành vi lừa đảo hoặc chiếm đoạt tài sản.

Chi tiết thêm: Đặc điểm nhận biết các trang web giả mạo

• Các trang web dẫn dụ tải ứng dụng thường sao chép logo, hình ảnh, và nội dung từ các app chính thống. Tuy nhiên, nếu quan sát kỹ, bạn có thể phát hiện các dấu hiệu bất thường như:

  • Lỗi chính tả, ngữ pháp
    Nội dung trên trang web thường có lỗi chính tả hoặc cách hành văn không tự nhiên.

  • Tên miền giả mạo

    • Sử dụng tên miền phụ hoặc tên miền chính có từ khóa liên quan đến app chính thống, ví dụ:

      • evnspccskh[.]com: giả mạo EVN (Tập đoàn điện lực Việt Nam), có chữ evn trong tên miền chính.

      • chinhphu[.]kbshkdt[.]org: giả mạo Chính Phủ Việt Nam, có chữ chinhphu trong tên miền phụ.

      • dichvucongvnbca[.]com: giả mạo Dịch vụ công, có chữ dichvucong trong tên miền chính.

  • Logo hoặc giao diện giả mạo Google Play Store (CH Play)
    Trang web thường hiển thị logo Google Play Store nhưng không phải đường dẫn chính thức.

Bước 6: Khi nạn nhân đã bị dẫn dụ cài đặt ứng dụng app giả mạo độc hại trên máy Android, hacker sẽ tiếp tục thực hiện các bước tinh vi hơn để chiếm quyền kiểm soát thiết bị:

1. Hướng dẫn qua video call (Facetime)
   Hacker yêu cầu nạn nhân sử dụng một thiết bị khác (thường là điện thoại hoặc máy tính bảng) để thực hiện video call. Trong cuộc gọi này, chúng đóng vai “nhân viên hỗ trợ” và hướng dẫn “tận tình” nạn nhân thực hiện các thao tác cần thiết trên thiết bị điện thoại Android đã cài ứng dụng giả mạo.

2. Kích hoạt quyền trợ năng (Accessibility)
   Hacker "tận tình" chỉ dẫn nạn nhân cấp quyền truy cập sâu cho ứng dụng giả mạo, bao gồm:

   • Quyền trợ năng (Accessibility): Cho phép ứng dụng:

     • Xem màn hình thiết bị trong thời gian thực.

     • Theo dõi hành động và thao tác của nạn nhân.

     • Nhập và điều khiển dữ liệu từ xa.

   • Quyền truy cập tin nhắn: Lấy mã OTP từ SMS hoặc các ứng dụng bảo mật như Safekey.

   • Quyền truy cập tệp tin và dữ liệu cá nhân: Đọc và sao chép hình ảnh, video, và tài liệu lưu trên thiết bị.

3. Chiếm toàn quyền kiểm soát thiết bị
   Khi quyền truy cập đã được cấp, hacker có thể:

   • Theo dõi toàn bộ thao tác của nạn nhân trên màn hình.

   • Ghi lại tên đăng nhập, mật khẩu, mã OTP từ ngân hàng hoặc các ứng dụng khác.

   • Xem và xóa tin nhắn trên các ứng dụng như Zalo, Facebook Messenger.

   • Điều khiển thiết bị từ xa, bao gồm cả việc gửi tiền, chuyển khoản, hoặc xóa dữ liệu để xóa dấu vết.

4. Hiển thị giao diện giả để đánh lạc hướng nạn nhân
   Khi ứng dụng giả mạo đã được kích hoạt đầy đủ quyền truy cập, hacker thường hiển thị một giao diện giả trên màn hình của nạn nhân với thông báo như:
   “Nhân viên đang xác thực, vui lòng không thao tác trên điện thoại.”
   Giao diện này được thiết kế để nạn nhân tin rằng việc thiết lập đang diễn ra và không nghi ngờ bất kỳ điều gì.

   

   Lúc này, thiết bị điện thoại Android của nạn nhân hoàn toàn nằm trong tay hacker.

   Khi ứng dụng giả mạo đã được cài đặt và kích hoạt toàn quyền trên thiết bị, hacker tiếp tục sử dụng các phương pháp tinh vi để thu thập thông tin nhạy cảm và khai thác thiết bị:

   1. Chèn lớp giao diện (overlay) để đánh lừa nạn nhân
      Ứng dụng giả mạo sử dụng kỹ thuật chèn đè giao diện (overlay), hiển thị một màn hình giả phía trên. Điều này khiến nạn nhân không thể thấy các thao tác thật sự đang diễn ra phía sau, làm họ hoàn toàn mất cảnh giác.

   2. Ghi lại toàn bộ thao tác của nạn nhân (keylogger)
      Hacker kích hoạt tính năng keylogger để ghi lại mọi thao tác bàn phím trên thiết bị. Điều này cho phép chúng:

      • Thu thập mật khẩu tài khoản ngân hàng.

      • Ghi lại mã OTP hoặc các mã bảo mật được nhập.

      • Lưu lại bất kỳ thông tin nhạy cảm nào khác được nhập trên thiết bị.

   3. Truy cập vào thư viện ảnh và ứng dụng ghi chú
      Hacker tận dụng quyền đã được cấp để:

      • Mở thư viện ảnh và tìm kiếm các hình chụp màn hình chứa thông tin nhạy cảm như số tài khoản, mật khẩu, hoặc mã PIN.

      • Truy cập ứng dụng Ghi Chú (Notes), nơi nhiều người có thói quen lưu trữ các thông tin quan trọng như:

        • Mã OTP, mật khẩu.

        • Mã PIN hoặc thông tin tài khoản ngân hàng.

      • Trích xuất và lưu trữ các dữ liệu quan trọng từ đây.

   4. Tấn công vào ứng dụng ngân hàng
      Nếu nạn nhân có các ứng dụng ngân hàng trên thiết bị, hacker sẽ sử dụng thông tin thu thập được để:

      • Mở các ứng dụng ngân hàng.

      • Nhập tên đăng nhập, mật khẩu, và mã OTP đã thu thập để thực hiện giao dịch trái phép.

        

      
      Nếu ngân hàng có bảo mật cao, ứng dụng có thể cảnh báo người dùng về:

      • Sự hiện diện của ứng dụng giả mạo trên thiết bị.

      • Quyền truy cập trợ năng đang được kích hoạt trái phép.

Chi tiết thêm: Hacker không chỉ dừng lại ở việc lợi dụng lỗ hổng bảo mật cơ bản, mà còn tìm cách vượt qua cả những cơ chế bảo mật tiên tiến của các ứng dụng ngân hàng thông qua các biện pháp kỹ thuật cao cấp hơn. Dưới đây là chi tiết về phương thức của chúng:

Phân tích và dịch ngược (reverse engineering) ứng dụng ngân hàng

Hacker sử dụng kỹ thuật dịch ngược để phân tích mã nguồn của các ứng dụng ngân hàng chính thống. Mục tiêu là:

• Hiểu rõ cơ chế bảo mật, như cách hoạt động của xác thực OTP, mã hóa dữ liệu, và các biện pháp phát hiện thiết bị lạ.

• Phát hiện các điểm yếu hoặc lỗ hổng có thể khai thác.

Tạo ra ứng dụng ngân hàng đã bị chỉnh sửa (mod app)

Sau khi dịch ngược thành công, hacker tạo ra các phiên bản ứng dụng ngân hàng bị chỉnh sửa, gọi là app mod. Những ứng dụng này:

• Loại bỏ hoặc làm vô hiệu hóa các cơ chế bảo mật, như cảnh báo thiết bị lạ hoặc phát hiện quyền trợ năng không an toàn.

• Trông giống hệt ứng dụng ngân hàng chính thống, khiến người dùng khó phát hiện.

Kinh doanh giải pháp hack

Những nhóm hacker chuyên nghiệp, như các nhóm từ Trung Quốc hoạt động tại Campuchia, Lào, hoặc Myanmar, thường phát triển các công cụ hoặc giải pháp hack ứng dụng ngân hàng. Sau đó, chúng:

• Bán các giải pháp này cho các nhóm lừa đảo khác, giúp họ dễ dàng vượt qua các hệ thống bảo mật.

• Thậm chí cung cấp dịch vụ hỗ trợ kỹ thuật để khai thác hiệu quả hơn.

Tâm lý và thái độ của hacker

Một minh chứng điển hình là tuyên bố từ một nhóm hacker Trung Quốc vào ngày 27/12/2024, liên quan đến một ngân hàng lớn tại Việt Nam. Chúng viết (dịch từ tiếng Trung):
“Ai nói ngân hàng đã được nâng cấp? Dù có nâng cấp đến mức nào, chúng tôi vẫn phải hạ nó xuống!”
Điều này thể hiện thái độ tự tin và quyết tâm của hacker trong việc phá vỡ mọi biện pháp bảo mật, bất kể mức độ nâng cấp của ngân hàng.

Hacker luôn tìm cách vượt qua các rào cản bảo mật. Do đó, người dùng và ngân hàng cần không ngừng nâng cao ý thức và áp dụng biện pháp phòng ngừa để bảo vệ tài sản số.

e. Triển khai hành vi chiếm đoạt tài sản

Sau khi có được quyền truy cập, hacker sẽ thực hiện giao dịch chuyển khoản lớn, bằng cách chèn lớp giao diện (overlay - như đã nói trên, tại bước a) để đánh lừa nạn nhân thực hiện xác thực sinh trắc học.

Xóa tin nhắn có mã OTP để xóa dấu vết.

Thậm chí, xóa hoặc làm gián đoạn hoạt động của các ứng dụng bảo mật trên thiết bị.

Lưu ý: Các ứng dụng app giả mạo, sau khi chiếm quyền kiểm soát thành công, thường chạy ngầm trong nền (background) của điện thoại xuyên suốt quá trình nạn nhân sử dụng thiết bị. (Xem hình minh họa bên dưới)

Nhìn chung: Hacker có thể vượt qua các cơ chế bảo mật của ứng dụng ngân hàng thông qua 4 phương pháp dưới đây. Lưu ý: Tất cả các tình huống này chỉ xảy ra khi thiết bị của nạn nhân đã bị chiếm quyền kiểm soát bởi ứng dụng giả mạo.

Hacker có thể rút bất kỳ số tiền nào trong tài khoản ngân hàng hoặc ví điện tử của nạn nhân. Đồng thời, chúng có thể dụ nạn nhân thực hiện xác minh sinh trắc học (như quét khuôn mặt) bằng cách yêu cầu họ quay trái, quay phải, lại gần, ra xa, lên, xuống... Thực chất, ứng dụng giả mạo lúc này chèn một lớp phủ (overlay) lên màn hình, làm nạn nhân lầm tưởng đang làm việc với nhân viên ngân hàng, bưu điện, hoặc cơ quan chức năng. Điều này thường xảy ra trong các giao dịch lớn (trên 10 triệu đồng).

Nhóm CyProtek thuộc dự án Chongluadao đã thu thập và quay lại video bằng chứng cho thấy hacker hoặc các nhóm lừa đảo thực hiện các thao tác này. Những clip này được ghi lại từ các máy chủ mà hacker sử dụng để điều khiển thiết bị của nạn nhân theo thời gian thực. Để bảo vệ quyền riêng tư, nhóm đã che đi các thông tin nhạy cảm, tránh ảnh hưởng đến cá nhân và tổ chức ngân hàng.

• Ứng dụng app giả mạo có thể vượt qua cơ chế bảo mật cơ bản của một số ngân hàng, cho phép hacker thực hiện giao dịch mà không bị phát hiện. Xem video bên dưới.

  Bonus video mới nhất ngày 13/01/2025, khi nhóm chúng tôi thu thập được từ một máy chủ điều khiển thiết bị điện thoại nạn nhân của hacker. Xem video bên dưới.

• Hacker có thể liên kết ví điện tử với tài khoản ngân hàng, thực hiện xác minh sinh trắc học và sau đó rút tiền từ ví. Xem video bên dưới.

• Một số hacker có khả năng chỉnh sửa (mod) ứng dụng ngân hàng chính thống, loại bỏ các cơ chế bảo mật. Sau đó, chúng tải ứng dụng app đã chỉnh sửa này lên thiết bị của nạn nhân để thực hiện chuyển tiền và xác minh sinh trắc học. Xem video bên dưới.

• Thay vì truy cập ứng dụng app ngân hàng, hacker có thể thực hiện lệnh rút tiền qua trang web của ngân hàng. Sau đó, chúng dùng ứng dụng app ngân hàng để xác thực giao dịch. Xem video bên dưới.

Bước 7: Sau khi rút hết tiền từ tài khoản ngân hàng và ví điện tử, hacker thường thực hiện các bước sau để xoá dấu vết:

1. Xóa dữ liệu liên quan đến giao dịch:

   • Xóa tất cả tin nhắn SMS và email có liên quan đến giao dịch.

   • Gỡ cài đặt các ứng dụng app ngân hàng, bao gồm cả ứng dụng chính thống và ứng dụng app đã mod chỉnh sửa.

2. Cắt đứt liên lạc với nạn nhân:

   • Hacker sẽ chặn hoặc ngắt liên lạc qua các kênh như Zalo, nhằm tránh bị truy vết hoặc đối phó với nạn nhân.

   Để hoàn tất toàn bộ quá trình tấn công này, hacker thường mất từ 30 đến 60 phút, tùy thuộc vào điều kiện cụ thể và khả năng phản ứng của nạn nhân.

Một đoạn video thực tế ghi lại cho thấy hacker đang cố gắng chiếm đoạt tiền của nạn nhân. Khi thực hiện đến bước xác minh sinh trắc học, nạn nhân đã phát hiện hành vi bất thường. Nhận ra tình huống bị bại lộ qua màn hình điện thoại, hacker ngay lập tức khóa liên lạc với nạn nhân qua Zalo. May mắn thay, nạn nhân nhanh chóng tắt máy và khả năng cao đã gỡ bỏ ứng dụng giả mạo ngay sau đó, ngăn chặn được thiệt hại nghiêm trọng hơn. Xem video bên dưới.

Trong quá trình điều tra và quan sát chúng tôi còn thấy hacker cũng nhiều lần bị nạn nhân phát hiện, dẫn đến bị xoá app, ngắt kết nối Internet và một số nạn nhân đã làm factory reset trên điện thoại.

Một thực tế đáng buồn là có không ít nạn nhân bị hack, bị chiếm quyền kiểm soát điện thoại suốt nhiều ngày mà hoàn toàn không hay biết. Xem hình thực tế bên dưới về một nạn nhân bị hack từ hôm 10/01 đến ngày 12/01 vẫn chưa biết mình bị hack.

Theo điều tra truy vết từ nhóm CyProtek - thuộc dự án Chongluadao, chúng tôi xác định được rất nhiều hội nhóm - trung tâm lừa đảo ở các nước như Campuchia, và một số nước ở vùng Tam Giác Vàng. Họ hoạt động có tổ chức chuyên nghiệp theo quy trình như sau:

Một số bằng chứng tuyển dụng của các trung tâm lừa đảo bên Campuchia

Màn hình đăng nhập vào phần quản trị của trình điều khiển điện thoại của nạn nhân từ xa của các trung tâm lừa đảo chuyên về app “công an”.

Bên trong phần quản trị của trình điều khiển điện thoại do hacker nói tiếng Trung phát triển, sau khi đăng nhập.

Video chia sẻ mới nhất về app mã độc và trình điều khiển của hacker nói tiếng Trung, trình diễn khả năng thao tác điều khiển điện thoại của nạn nhân từ xa một cách chuyên nghiệp và mượt.

Bài đăng quảng cáo của hacker nói tiếng Trung về quá trình vượt mặt bảo mật của một app ngân hàng

Hình ảnh điều khiển điện thoại nạn nhân từ xa, khi kẻ lừa đảo/hacker đang thao tác để chiếm đoạt tài sản.

Bên trong phần mềm mã độc điều khiển điện thoại của nạn nhân - CraxsRAT (đây là loại mã độc malware RAT cũ - lưu ý: tuy vậy vẫn còn một số chiến dịch mà các đối tượng lừa đảo vẫn đang sử dụng loại mã độc này)

Bài quảng cáo về CraxsRAT phiên bản thường

Chi tiết thú vị: các mã độc malware RAT này có rất nhiều dòng khác nhau, do nhiều nhóm hacker phát triển trên toàn thế giới, họ cung cấp rất nhiều dòng mã độc điện thoại khác nhau không chỉ lấy cắp tiền trong tài khoản app ngân hàng, mà còn trong các app khác như ví điện tử, ví tiền ảo (crypto wallet), chứng khoán…Họ còn cung cấp dịch vụ mã hoá và đảm bảo app mã độc có thể vượt mặt các lớp bảo mật của điện thoại Android.

Như hình trên đây cho chúng ta thấy rõ, nhu cầu về mã hoá app giả mạo độc hại luôn rất cao và luôn luôn sẵn có những dịch vụ được cung cấp chuyên nghiệp từ các hacker trên toàn thế giới.

Trong vụ việc, nhóm đối tượng đã hoạt động từ Campuchia, nơi thường được biết đến là điểm nóng của các đường dây tội phạm mạng và lừa đảo xuyên biên giới. Các đối tượng lợi dụng vị trí ngoài lãnh thổ Việt Nam để thực hiện hành vi lừa đảo qua các ứng dụng giả mạo. Việc này không chỉ gây khó khăn trong truy vết mà còn phức tạp hóa quá trình phối hợp giữa các cơ quan chức năng của hai quốc gia.

4 thanh niên đã giả danh công an và lừa đảo hơn 150 tỷ đồng chỉ trong nửa tháng. Nhóm này sử dụng app giả mạo để tiếp cận và lừa nạn nhân chuyển tiền.

Tuy nhiên, nhờ vào việc mở tài khoản ngân hàng bằng thông tin danh tính thật và sử dụng các tài khoản này để nhận tiền từ nạn nhân, cơ quan điều tra tại Việt Nam đã kết hợp với Campuchia để truy vết.

Việc các đối tượng sử dụng thông tin thật để mở tài khoản ngân hàng là một sơ hở lớn, giúp cơ quan điều tra nhanh chóng kết nối các tài khoản với hành vi lừa đảo. Điều này cho thấy, dù chiêu trò tinh vi, các đối tượng vẫn mắc sai lầm cơ bản trong việc che giấu danh tính, làm lộ tuyến đường chuyển tiền và điểm đến cuối cùng.

Đây là bài học cho cơ quan quản lý ngân hàng trong việc thắt chặt quy trình xác minh danh tính để tránh các hành vi tương tự. Cho thấy sự cần thiết phải tăng cường hợp tác quốc tế trong phòng chống tội phạm mạng, đặc biệt với các quốc gia láng giềng như Campuchia, nơi nhiều tổ chức lừa đảo đang hoạt động.

Xem thêm tại đây

1. Điện thoại di động bị cài đặt những ứng dụng giả mạo sẽ xuất hiện nhiều dấu hiệu đáng ngờ, như: máy mau hết pin và chạy chậm, xuất hiện ứng dụng lạ trên điện thoại, ứng dụng tự động bật lên ngay cả khi không sử dụng điện thoại, lưu lượng di động bất ngờ hao hụt nhanh, máy nóng lên bất thường....

2. Đồng thời phần tin nhắn văn bản SMS hoặc email có các thông báo báo số dư tài khoản của ngân hàng, đều bị hacker xoá đi lập tức, kể cả trong thùng rác. Phần album hay thư viên ảnh, có những hình ảnh QR dùng để chuyển khoản đến tài khoản của hacker. (những video đã chia sẻ trên đều có các hành vi này)

3. Hacker có thể sử dụng thiết bị của bạn để truy cập vào các tài khoản ngân hàng, mạng xã hội, hoặc email. Dấu hiệu nhận biết là có thông báo đăng nhập từ vị trí lạ hoặc thời gian bất thường.

4. Nhận được các thông báo từ những ứng dụng hoặc dịch vụ bạn không sử dụng. Đôi khi hacker có thể gửi tin nhắn spam đến danh bạ của bạn.

5. Hacker có thể can thiệp, khiến bạn không nhận được cuộc gọi hoặc tin nhắn quan trọng, đặc biệt là các mã OTP.

6. Một số cài đặt trên điện thoại có thể bị thay đổi mà bạn không thực hiện, ví dụ như bật Bluetooth, Wi-Fi hoặc quyền truy cập cho các ứng dụng không xác định.

7. Nếu trong cuộc gọi nghe thấy tiếng vang, tiếng ồn lạ, hoặc giọng nói bị gián đoạn, đây có thể là dấu hiệu thiết bị bị theo dõi.

8. Bị hack có thể khiến lưu lượng dữ liệu tăng đột biến do phần mềm độc hại gửi hoặc nhận thông tin trong nền.

9. Khi truy cập vào trình duyệt, bạn bị chuyển hướng đến các trang web lạ hoặc thấy các quảng cáo không mong muốn.

10. Một số phần mềm độc hại có thể can thiệp vào quá trình tắt máy hoặc làm treo ứng dụng.

• Không cài phần mềm lạ, crack, lậu, không tải film lậu, game lậu, crack.

• Không lưu mật khẩu trong trình duyệt, sử dụng chường trình quản lý mật khẩu như BitWarden, KeePassX, 1Password. Sử dụng mật khẩu dài, bao gồm chữ thường, chữ hoa, số, và ký tự đặc biệt.

• Không lưu thông tin quan trọng như mật khẩu, mã OTP, mã PIN, thông tin thẻ tín dụng… trong app Notes (app Ghi Chú) - và nếu có lưu thì nên đặt chế độ bảo mật bằng mật khẩu, mã PIN hoặc sinh trắc học.

• Không click vào link lạ. Kiểm tra kỹ địa chỉ email hay tin nhắn, lỗi chính tả trong nội dung, và tránh tải xuống tệp đính kèm không rõ nguồn gốc.

• Không tải về những tập tin không rõ nguồn gốc, đặc biệt là do người lạ gửi cho mình, ví dụ các đuôi tệp tin thường chứa đựng vi-rút mã độc nguy hiểm như .bat, .apk, .rar, .zip, .exe, .docx, .xlsx, .pdf - có thể kiểm tra quét vi-rút tệp tin tại trang VirusTotal.com

• Không tò mò và không bao giờ vội tin bất kỳ một ai trên không gian mạng. Luôn chậm lại và kiểm chứng, xem thêm trang dauhieuluadao.com

• Không bật tính năng quyền trợ năng (Accessibility) trên điện thoại.

• Chỉ tải ứng dụng từ Google Play Store (CHPlay) và Apple App Store.

• Không cấp quyền quản trị thiết bị cho các ứng dụng không rõ nguồn gốc.

• Thường xuyên cập nhật hệ điều hành và các ứng dụng bảo mật.

• Kiểm tra kỹ các yêu cầu cấp quyền từ ứng dụng trước khi chấp nhận.

• Sử dụng ứng dụng xác thực (như Google Authenticator, Authy) thay vì SMS nếu có thể.

• Sử dụng kết nối mạng an toàn:

  • Tránh sử dụng Wi-Fi công cộng mà không qua VPN.

  • Sử dụng VPN đáng tin cậy để mã hóa dữ liệu nếu cần truy cập mạng công cộng.

  • Sử dụng 4G/5G dữ liệu di động để kết nối Internet.

• Kiểm tra thường xuyên lịch sử đăng nhập và các hoạt động đáng ngờ trong các tài khoản email, ngân hàng, và mạng xã hội.

• Cài đặt phần mềm diệt virus uy tín trên cả máy tính và điện thoại. Kích hoạt tường lửa để bảo vệ kết nối mạng.

• Thiết bị USB có thể chứa mã độc, vì vậy chỉ sử dụng thiết bị từ nguồn đáng tin cậy.

• Sao lưu dữ liệu quan trọng trên một thiết bị lưu trữ an toàn hoặc trên dịch vụ đám mây uy tín như iCloud, Google Drive, One Drive…

• Không lưu thông tin đăng nhập trên máy tính công cộng hoặc thiết bị người khác.

• Không công khai quá nhiều thông tin trên mạng xã hội, đặc biệt là thông tin liên quan đến bảo mật như số điện thoại, địa chỉ nhà, địa chỉ email, danh sách bạn bè, các mối quan hệ hay các câu hỏi bảo mật. (Bảo mật Facebook, bảo mật Zalo)

Xem thêm hướng dẫn tại đây

Lời kết

Chúng tôi hy vọng bài viết này sẽ giúp mọi người, kể cả những ai không có kiến thức chuyên sâu về công nghệ, nâng cao nhận thức về an toàn thông tin. Qua đó, bạn sẽ biết cách tự bảo vệ mình trước những thủ đoạn ngày càng tinh vi của các đối tượng xấu. Hãy luôn cảnh giác và chủ động bảo vệ bản thân cũng như những người xung quanh.

Cảm ơn bạn đã dành thời gian đọc bài viết này. Chúng tôi mong rằng những kiến thức này sẽ được bạn chia sẻ rộng rãi để cùng lan tỏa nhận thức về an ninh mạng với khẩu hiệu 2025 dự án Chongluadao là “Toàn Dân Chống Lừa Đảo”

Một lần nữa, chân thành cảm ơn bạn đã đồng hành cùng CyProtek, thành viên của nhóm Chongluadao, trong sứ mệnh bảo vệ cộng đồng trước các nguy cơ trên không gian mạng.

Chúc bạn luôn hạnh phúc, khỏe mạnh và thành công!