Tin tặc Trung Quốc đánh cắp 115 triệu thẻ
Một chiến dịch lừa đảo qua tin nhắn (smishing) quy mô lớn đã làm chấn động hệ thống thanh toán điện tử tại Mỹ: theo báo cáo từ nhiều tổ chức an ninh mạng quốc tế, trong 15 tháng (từ 7/2023 đến 10/2024), các nhóm tội phạm đã đánh cắp thông tin của khoảng 115 triệu thẻ thanh toán. Sự kiện này không chỉ là con số lớn mà còn phản ánh mức độ tinh vi của phương thức lừa đảo hiện đại — tinh vi đến mức nhiều biện pháp bảo mật truyền thống như OTP hay xác thực hai yếu tố không còn đủ hiệu quả.
Phishing-as-a-Service
Tổ chức thực hiện chiến dịch hoạt động theo mô hình phishing-as-a-service: thay vì chỉ là các cá nhân tự phát, đây là một hệ sinh thái tội phạm có cấu trúc — cung cấp phần mềm, kênh phân phối, dịch vụ hỗ trợ và cơ chế thanh toán cho “đại lý” lừa đảo. Trên nền tảng Telegram xuất hiện một nhóm được biết đến với bí danh dy-tongbu, do đối tượng mang biệt danh “Lão Vương” điều hành. Nhóm này cung cấp công cụ trọn gói: phát triển phần mềm smishing, phân phối nội dung lừa đảo, hỗ trợ kỹ thuật 24/7, và cả báo cáo hiệu suất chiến dịch.
Theo mô tả, nền tảng của chúng có đầy đủ tính năng tương tự một công ty công nghệ: quản lý dự án, bộ phận phát triển liên tục cập nhật tính năng, hệ thống lọc nạn nhân theo vị trí địa lý, và khả năng tự động hóa. Điều đó khiến cuộc điều tra trở nên phức tạp: tin tặc hoạt động chuyên nghiệp, có mô hình kinh doanh và mạng lưới phân phối rộng.
Chiến thuật smishing
Chiến dịch tấn công bắt đầu bằng các tin nhắn SMS hoặc RCS giả mạo thông báo từ ngân hàng, hãng vận chuyển hoặc cổng thanh toán. Nội dung được soạn đặc biệt nhằm kích thích người nhận bấm vào link — ví dụ: cảnh báo giao dịch bất thường, yêu cầu xác nhận thanh toán, hoặc thông báo bưu kiện.
Khi nạn nhân nhấp vào liên kết, họ được dẫn tới một trang web giả mạo có giao diện y hệt ngân hàng hoặc cổng thanh toán thật. Tại đây, nạn nhân được yêu cầu nhập số thẻ, mã OTP, thậm chí mã PIN. Thông tin vừa nhập không chỉ bị ghi nhận mà còn được xử lý để tạo token (mã đại diện cho thẻ) và thêm thẻ vào ví điện tử như Apple Pay hoặc Google Wallet. Đây là điểm mấu chốt: sau khi token được tạo, kẻ gian có thể thực hiện các giao dịch không tiếp xúc hoặc mua sắm trực tuyến mà không cần thẻ vật lý.
Một chi tiết chiến thuật rất tinh vi: để tránh các hệ thống phát hiện gian lận, nhóm tội phạm chỉ thêm 4–7 thẻ cho mỗi thiết bị nạn nhân tại Mỹ và 7–10 thẻ cho nạn nhân tại Vương quốc Anh. Chiến lược này nhằm phân tán rủi ro, hạn chế hoạt động bất thường trên một thẻ và kéo dài thời gian khai thác trước khi bị phát hiện.
Kỹ thuật và công nghệ dùng trong tấn công
Nhóm lừa đảo đầu tư nhiều vào kỹ thuật:
Chặn IP của chuyên gia phân tích: phần mềm lọc các địa chỉ IP thuộc các tổ chức an ninh để tránh hiện tượng bị phân tích.
Bypass MFA (xác thực đa yếu tố): các công cụ giả mạo giao diện và trung gian có khả năng chặn hoặc chuyển tiếp mã OTP/trình xác thực để kẻ tấn công lấy được mã theo thời gian thực.
Tập trung vào thiết bị di động: ưu tiên khai thác người dùng di động, vì nhiều ví điện tử gắn chặt với smartphone.
Lọc nạn nhân theo vị trí: sử dụng danh sách mục tiêu theo đất nước, qua đó tối ưu hóa số lượng thẻ thêm vào ví và giảm rủi ro kích hoạt cảnh báo gian lận.
Báo cáo và phân tích hiệu suất: hệ thống trả về dashboard cho “đại lý”, theo dõi tỉ lệ chuyển đổi (từ tin nhắn đến thông tin thẻ hợp lệ) — điều này giúp tối ưu hóa chiến dịch theo thời gian.
Hệ quả với hệ thống thanh toán
Khi kẻ gian thêm thẻ vào ví điện tử và sử dụng phương thức thanh toán không tiếp xúc, rủi ro đối với các hệ thống giám sát tăng lên vì nhiều giao dịch trông hợp lệ: giao dịch token, thiết bị đã đăng ký, không có thao tác nhập PIN hay chạm thẻ vật lý. Các ngân hàng và tổ chức thanh toán gặp khó trong việc phân biệt giao dịch thật và gian lận, đặc biệt khi kẻ gian cân bằng khối lượng giao dịch để tránh ngưỡng cảnh báo.
Hậu quả trực tiếp là thiệt hại tài chính cho chủ thẻ và ngân hàng, cùng với tổn thất niềm tin khách hàng. Về mặt lâu dài, sự kiện này buộc ngành thanh toán phải tái cấu trúc cách đánh giá rủi ro cho các giao dịch ví điện tử.
Vùng xám pháp lý và điều tra xuyên biên giới
Chiến dịch do các nhóm tội phạm có tổ chức thực hiện tạo ra thách thức lớn cho quan hệ quốc tế: tội phạm hoạt động qua nền tảng mã hóa và dịch vụ ẩn danh, được phân phối qua Telegram và các kênh nền tảng khác. Việc truy vết đòi hỏi phối hợp cao giữa các cơ quan thực thi pháp luật, ngân hàng, tổ chức thẻ quốc tế và nền tảng truyền thông.
Việc triệt phá các mạng lưới này không chỉ là vấn đề kỹ thuật mà còn phụ thuộc vào chính trị và pháp luật xuyên biên giới — trao đổi thông tin, dẫn độ, và xử lý tài sản ảo. Do đó, hợp tác quốc tế là yếu tố quyết định để ngăn chặn các mô hình tội phạm tinh vi này.
Bảo mật người dùng: tại sao OTP không đủ?
Sự kiện đã chỉ rõ: OTP và xác thực hai yếu tố truyền thống không còn là tấm khiên tuyệt đối. Khi kẻ gian có thể chặn hoặc chuyển tiếp mã OTP thông qua kỹ thuật trung gian (man-in-the-middle trên trang giả mạo), lớp bảo vệ này trở nên mỏng manh.
Thay vào đó, các biện pháp cần cân nhắc:
Xác thực thiết bị (device fingerprinting): liên kết token/thiết bị với hành vi và cấu hình cụ thể.
Giám sát hành vi giao dịch theo thời gian thực: dùng AI để phát hiện mô hình bất thường (ví dụ: nhiều thẻ mới xuất hiện trên cùng một thiết bị, các giao dịch bất hợp lý so với lịch sử).
Đánh giá rủi ro động: khi giao dịch vượt ngưỡng rủi ro, yêu cầu xác thực thêm bằng phương pháp không dễ bị chuyển tiếp (ví dụ: xác thực sinh trắc học gốc trên thiết bị).
Tokenization & hạn mức thông minh: giới hạn số tiền/loại giao dịch có thể thực hiện bằng token mới trong khoảng thời gian ngắn sau khi thêm thẻ.
Khuyến nghị cho tổ chức và người dùng
Đối với ngân hàng, cổng thanh toán và nền tảng ví điện tử:
Áp dụng xác thực thiết bị và điểm rủi ro thời gian thực cho mọi yêu cầu thêm thẻ.
Triển khai mức xác minh bổ sung khi phát hiện mẫu thêm thẻ bất thường (ví dụ: nhiều thẻ trên một thiết bị mới).
Tăng cường giám sát fraud cho giao dịch không tiếp xúc và giao dịch ví.
Hợp tác chặt chẽ với nhà phát hành thẻ và các tổ chức thẻ quốc tế để chia sẻ chỉ số gian lận.
Đối với người dùng cá nhân:
Tuyệt đối không bấm link từ SMS lạ; gọi trực tiếp hotline ngân hàng để kiểm tra.
Không cài ứng dụng từ nguồn không rõ ràng; kiểm tra kỹ đánh giá và quyền truy cập yêu cầu.
Kích hoạt cảnh báo giao dịch và kiểm tra lịch sử thẻ thường xuyên.
Nếu nghi ngờ bị lừa, liên hệ ngân hàng, khóa thẻ và báo cáo cho cơ quan chức năng.
Kết luận
Với 115 triệu thẻ bị ảnh hưởng, chiến dịch smishing này là lời cảnh tỉnh nặng nề cho toàn bộ hệ sinh thái thanh toán: từ người dùng đến tổ chức tài chính. Mô hình hoạt động chuyên nghiệp, công cụ tự động hóa và chiến lược tránh phát hiện đã biến hành vi lừa đảo truyền thống thành một “nghiệp doanh” tinh vi, có cấu trúc. Để đối phó, cần kết hợp công nghệ (xác thực thiết bị, giám sát hành vi), chính sách (hợp tác quốc tế) và giáo dục người dùng.
Cuối cùng, cuộc chiến chống lừa đảo SMS không thể chỉ do một bên đảm trách — cần hành động đồng bộ, liên tục và chủ động từ cả ngành công nghiệp thanh toán, các nhà cung cấp dịch vụ kỹ thuật và người dùng để ngăn chặn các mạng lưới tội phạm xuyên biên giới tinh vi này. Và hãy nhớ: thông tin ban đầu cho thấy chiến dịch này liên quan đến Tin tặc Trung Quốc, do đó việc phối hợp quốc tế càng trở nên cấp thiết.
Để bảo vệ hệ thống và dữ liệu trước những mối đe dọa mạng ngày càng tinh vi như mã độc DCHSpy, doanh nghiệp và người dùng cá nhân cần chủ động trang bị các giải pháp bảo mật tiên tiến. Bạn có thể truy cập WAF.vn để tìm hiểu chuyên sâu về tường lửa ứng dụng web (Web Application Firewall), giúp ngăn chặn các cuộc tấn công khai thác lỗ hổng trên website. Ngoài ra, CSPTech.vn – website chính thức của CSP Technology – cung cấp trọn gói dịch vụ bảo mật, từ đánh giá an ninh, giám sát, đến giải pháp phòng chống tấn công mạng toàn diện, đảm bảo an toàn thông tin cho cá nhân và doanh nghiệp trong mọi môi trường số.