Thủ đoạn giả tin nhắn thương hiệu và những vấn đề cần xem xét
Các ngân hàng đã nhanh chóng phát đi thông điệp cảnh báo khách hàng nhưng có lẽ điều đó là chưa đủ. Trước hết, tuy thông điệp cảnh báo của các ngân hàng cũng như của công an đã nói đến khả năng lợi dụng tin nhắn giả danh thương hiệu dễ thấy và dễ xuất hiện nhất là lừa khách hàng truy cập trang web giả để đánh cắp thông tin nhưng chưa có tổ chức nào lưu ý đến khả năng tội phạm dùng tin nhắn giả để thông báo tin sai lệch một chiều. Chẳng hạn như giả tin nhắn biến động số dư của tài khoản ngân hàng. Tin nhắn giả báo tài khoản đã nhận được tiền có thể khiến người bán hàng tin tưởng chuyển hàng cho khách. Tất nhiên khách hàng có thể truy cập ngân hàng trực tuyến để kiểm tra lại nhưng khi khách hàng buộc phải làm điều đó thì cũng có nghĩa là dịch vụ tin nhắn biến động số dư của ngân hàng đã gặp hồi chuông báo tử.
Trước khi điều đó xảy ra, các doanh nghiệp cung cấp dịch vụ SMS Brandname sẽ mất doanh thu nếu các ngân hàng (và nhiều doanh nghiệp khác) từ bỏ loại tin nhắn đắt tiền nhưng lại không đảm bảo này. Hơn nữa, điều gì sẽ xảy ra nếu hàng chục ngàn hay thậm chí hàng trăm ngàn khách hàng của một ngân hàng đồng loạt nhận được tin nhắn báo tài khoản của họ bị trừ tiền không rõ lý do, bị khóa tài khoản hay kinh khủng hơn là ngân hàng mất khả năng thanh toán. Nếu những tin nhắn này lại xuất hiện đúng lúc hệ thống giao dịch trực tuyến của ngân hàng có lỗi (chẳng hạn như trường hợp VPBank và TPBank bị sự cố mất điện trung tâm dữ liệu ngày 17/1/2021) thì mức độ nghiêm trọng sẽ tăng thêm rất nhiều. Tất nhiên, điều này có lẽ chỉ có thể do tin tặc được các chính phủ tài trợ thực hiện (thay vì tội phạm lừa đảo kiếm lợi thông thường) nhưng chúng ta không thể không tìm cách xử lý.
Thủ đoạn giả tin nhắn thương hiệu không chỉ xuất hiện ở Việt Nam. Đầu năm 2021 ngân hàng National Australia Bank cũng bị tin tặc giả tin nhắn thương hiệu để lừa đảo khách hàng. Điều này có lẽ cũng đã xảy ra từ cách đây vài năm tại Việt Nam nhưng chúng ta chưa để ý tới. Chỉ đến nay, khi tin nhắn thương hiệu bị giả mạo hàng loạt thì nhiều người mới thừa nhận rằng tin nhắn thương hiệu không phải là một kênh an toàn. Vậy tin nhắn thương hiệu có thể bị làm giả bằng cách nào? Dù Việt Nam quản lý rất chặt với quy định các doanh nghiệp phải đăng ký trước cả tên thương hiệu dùng cho tin nhắn và các mẫu tin nhắn (template) thì thực tế cũng cho thấy những quy định đó chưa đủ giúp ngăn chặn tội phạm làm giả tin nhắn thương hiệu.
Theo báo Tuổi trẻ, đại diện Sacombank cho biết sau khi rà soát hệ thống Sacombank và hệ thống đối tác cung cấp dịch vụ viễn thông cho Sacombank, có thể khẳng định những tin nhắn giả mạo này không xuất phát từ Sacombank. "Chúng tôi đã nhanh chóng yêu cầu các ngân hàng khóa tài khoản thụ hưởng từ các giao dịch gian lận, đồng thời đang phối hợp với các cơ quan chức năng và các đơn vị cung cấp dịch vụ viễn thông tìm ra nguyên nhân sự cố cũng như giải pháp khắc phục". Hơn 2 tuần sau khi sự việc xảy ra (ngày 19/01/2021), ngày 5/02/2021 Cục An toàn thông tin mới đưa ra cảnh báo về việc tội phạm sử dụng thiết bị phát sóng giả để lừa đảo. Trong khoảng thời gian giữa hai mốc đó, khách hàng rất lo lắng vì không hiểu tin nhắn giả xuất hiện là do vi phạm của nhân viên ngân hàng, nhân viên các đơn vị cung cấp dịch vụ viễn thông hay lỗ hổng chưa thể khắc phục trong hệ thống dịch vụ nhắn tin.
Tin nhắn mạo danh ngân hàng VietinBank
Chưa rõ kết luận tin nhắn giả danh ngân hàng là do tội phạm sử dụng trạm phát sóng giả xuất phát từ việc phân tích các khả năng hay các cơ quan chức năng đã bắt được tội phạm. Nhưng kiểu tấn công này đã xuất hiện ở Trung Quốc nhiều năm trước đây. Theo một bài viết của The Verge từ năm 2014, Qihoo 360, một công ty an ninh di động lớn của Trung Quốc đã phát hiện hơn 1,2 tỷ tin nhắn giả từ các trạm phát sóng giả trong khoảng thời gian từ tháng 4 đến tháng 6/2014, tức là hơn 13 triệu tin nhắn giả mỗi ngày. Thiết bị phát sóng giả chỉ có giá khoảng 700 USD, nên tội phạm rất dễ thực hiện.
Cảnh sát Trung Quốc đã bắt giữ rất nhiều điểm sản xuất trạm phát sóng giả nhưng theo Qihoo thì con số đó chỉ ảnh hưởng rất nhỏ đến các cuộc tấn công gửi tin nhắn giả của tội phạm. Trang tin Sohu của Trung Quốc cho biết tội phạm giả danh tin nhắn đã hình thành chuỗi phân công lao động cụ thể và những kẻ này kiếm được 9000 nhân dân tệ mỗi ngày. Cũng theo Sohu, dù bị cấm nhưng các trạm phát sóng giả có thể mua một cách dễ dàng ở chợ điện tử Huaqiangbei (Thâm Quyến), toàn bộ thiết bị được lắp ráp trong chưa đầy 5 phút và nếu giao dịch thành công, người bán còn có thể cấp hóa đơn mua bán chính thức. Để đối phó, một số nhà khoa học Trung Quốc đã phát triển hệ thống phát hiện trạm phát sóng giả FBS-Radar và tích hợp phần client của nó với phần mềm an ninh Baidu PhoneGuard.
Phần mềm Baidu PhoneGuard có trên cả Android và iOS, vừa giúp người dùng phát hiện tin nhắn giả vừa hỗ trợ cảnh sát bắt giữ những kẻ nhắn tin giả. Tới tháng 3/2017 đã có tới 100 triệu người dùng cài đặt phần mềm này. Với việc chính quyền Trung Quốc xử lý mạnh tội phạm mạng trong nước, tội phạm Trung Quốc rất có thể “xuất khẩu” công nghệ phát tin nhắn giả của chúng sang Việt Nam. Hy vọng là trong thời gian tới các công ty bảo mật trong nước sẽ nhanh chóng “nhập khẩu” các công nghệ phát hiện tin nhắn giả để hỗ trợ người dùng.
Các trạm phát sóng giả có thể gửi tin nhắn giả tới bất kỳ đầu số nào cho người dùng là do tính năng không xác thực trạm phát sóng của công nghệ GSM (2G). Khi ở gần trạm phát sóng giả của tội phạm, điện thoại của người dùng sẽ nhận nhầm đó là trạm phát sóng của nhà mạng. Ngay cả với điện thoại thông minh đời mới nhất, hỗ trợ đến công nghệ 5G, cũng được thiết kế theo hướng tự động “downgrade” xuống 2G nếu không có sóng mạng thế hệ mới hơn. Vì thế, không chỉ các loại điện thoại 2G mà cả các dòng điện thoại cao cấp khi đi vào vùng sóng mạng yếu (hoặc bị tội phạm dùng thiết bị phá sóng) cũng có thể bị lừa nhận tin nhắn giả.
Một số người cho rằng có thể dùng phần mềm để phát hiện các trạm phát sóng giả. Tuy nhiên, sau khi thử nghiệm 5 phần mềm phổ biến nhất trên Google Play, các nhà nghiên cứu ở Đại học Kỹ thuật Berlin và Đại học Oxford đã kết luận rằng các phần mềm đó chỉ mang lại cảm giác an toàn giả tạo. Chỉ cần thay đổi chế độ tấn công là những phần mềm đó không phát hiện được gì. Như vậy, với những thiết bị phát sóng giả tương đối tinh vi, người dùng chỉ có cách tắt chế độ 2G của điện thoại.
Điều không may là dù công nghệ 2G đã bị khai tử ở nhiều nước trên thế giới (Việt Nam dự kiến thực hiện điều này vào năm 2022) nhưng hầu hết các nhà sản xuất điện thoại di động vẫn không cung cấp cho người dùng lựa chọn ngưng sử dụng sóng 2G một cách đơn giản. Với một số dòng điện thoại Android, người dùng có thể lựa chọn chế độ mạng 3G only (chứ không có 4G only hay 3G and 4G only) nếu muốn phòng ngừa các trạm phát sóng giả. Tuy nhiên với iPhone thì dường như không có cách nào tắt 2G nếu không jailbreak.
Trong khi các cơ quan chức năng điều tra xác định nguyên nhân, các ngân hàng (và cả các doanh nghiệp khác đang giao tiếp với khách hàng qua tin nhắn) có thể làm gì? Tất nhiên là ngoài việc phát đi thông điệp cảnh báo khách hàng một cách toàn diện hơn, các ngân hàng có thể lựa chọn triển khai biện pháp kỹ thuật để ngăn ngừa tin nhắn giả. Cách đơn giản nhất để tránh bị làm giả tin nhắn là chủ động kiểm soát kênh truyền tin. Các ngân hàng có thể khuyến cáo khách hàng chuyển sang sử dụng thông báo của ứng dụng di động thay cho SMS. Điều này không chỉ nâng cao độ đảm bảo mà còn giúp tiết kiệm chi phí.
Tuy nhiên, không phải khách hàng nào cũng có điện thoại thông minh và kết nối mạng. Giải pháp Verified SMS của Google thì chưa áp dụng được ở Việt Nam và thậm chí phạm vi áp dụng còn hẹp hơn (chỉ dùng được với khách hàng sử dụng điện thoại chạy hệ điều hành Android). Vậy nếu vẫn dùng tin nhắn SMS, các ngân hàng nên giúp khách hàng xác thực tin nhắn của mình bằng cách nào? Cách đơn giản nhất là gửi kèm với mỗi tin nhắn một chuỗi định danh thứ tự tin nhắn gửi cho mỗi khách hàng (phương pháp kiểm tra cơ bản trong truyền thông). Nếu số định danh trong tin nhắn không khớp (liền sau) số định danh của tin nhắn trước đó, khách hàng sẽ phát hiện ngay đó là tin nhắn giả. Cách này có vẻ đơn giản nhưng lại khó thực hiện vì khách hàng ít khi lưu tin nhắn cũ và điều quan trong hơn là kênh SMS không đảm bảo 100%.
Những dịp lễ tết hay khi nhà mạng gặp sự cố, một vài tin nhắn không đến được máy khách hàng là điều bình thường. Một cách khác không phụ thuộc vào chất lượng hệ thống nhắn tin SMS là cho phép khách hàng tự chọn một mã nhận diện riêng tại ngân hàng (qua hệ thống ngân hàng trực tuyến). Chẳng hạn như một khách hàng đăng ký mã nhận diện “Icemanbuthot” sẽ chỉ tin tưởng tin nhắn nào có chứa chuỗi này đúng là do ngân hàng gửi tới. Mã nhận diện do khách hàng lựa chọn được mã hóa và quản lý chặt chẽ, do hệ thống tự xử lý và không có lý do gì để nhân viên ngân hàng truy cập (vì thế ngân hàng có thể dễ dàng phát hiện khi có nhân viên cố tình tìm cách giải mã thông tin này). Tất nhiên còn có nhiều cách làm phức tạp và đảm bảo hơn nhưng sẽ không nói thêm ở bài viết này. Những đề xuất trên chỉ là một vài gợi ý cơ bản về cách hỗ trợ khách hàng nhận diện tin nhắn “chuẩn” khi chúng ta chưa khắc phục được lỗi hệ thống.
Tóm lại, sự xuất hiện của các tin nhắn giả danh ngân hàng cần được xem xét một cách toàn diện hơn để tìm cách khắc phục. Dù chỉ là một mắt xích nhỏ nhưng tin nhắn SMS Brandname đang là thứ giúp đem lại niềm tin cho khách hàng. Nếu niềm tin đó bị mất đi, ngân hàng và cả các doanh nghiệp cung cấp dịch vụ viễn thông đều thiệt hại và cả xã hội sẽ bị ảnh hưởng. Vì thế, ngân hàng, các doanh nghiệp cung cấp dịch vụ viễn thông và các cơ quan chức năng cần nhanh chóng vào cuộc chứ không nên dừng lại ở việc cảnh báo khách hàng.
Nguyễn Anh Tuấn