Lật tẩy chiêu lừa doanh nghiệp qua email

00:00 12/10/2020

Các hình thức lừa đảo doanh nghiệp qua email lại nở rộ trong thời gian gần đây. Phương thức không mới, nhưng nhiều doanh nghiệp vẫn sập bẫy.

Thời gian gần đây lại nở rộ lừa đảo qua email. Ảnh minh họa

1001 chiêu lừa đảo qua email

Cách đây không lâu, Tòa án Nhân dân TP.HCM mở phiên tòa xét xử Chime Obiora Walter (quốc tịch Nigeria) xâm nhập email, giả mạo lừa doanh nghiệp. Đối tượng này theo dõi và tìm hiểu doanh nghiệp tại Việt Nam, sau đó thâm nhập email lấy cắp các thông tin làm ăn, giao dịch với đối tác của doanh nghiệp đó, rồi viết email yêu cầu chuyển tiền thanh toán vào tài khoản có tên khác hoặc gần với tên của doanh nghiệp tại Việt Nam. Một doanh nghiệp tại Bình Dương đã sập bẫy với số tiền bị lừa là 4 triệu USD.

Hãng kiểm toán KPMG cũng vừa phát đi cảnh báo về lừa đảo liên quan đến Covid-19. Theo đó, hình thức lừa đảo email doanh nghiệp được thực hiện như sau: Tội phạm lừa đảo sử dụng thư điện tử ngụy trang dưới dạng thư cập nhật tình hình Covid-19 gửi từ một công ty để lừa nhân viên, khiến họ để lộ thông tin đăng nhập khi truy cập vào cổng thông tin “Covid-19” giả mạo trong thư. Khi nhân viên để lộ thông tin đăng nhập, tội phạm sẽ chiếm quyền truy cập không giới hạn vào tài khoản công ty của nạn nhân và mạng thông tin dữ liệu của công ty.

Một hình thức khác lừa đảo qua email mà KPMG mô tả là tội phạm mạo danh các tổ chức y tế của Việt Nam và quốc tế, gửi mail cho nạn nhân với tập tin đính kèm, hoặc các liên kết dẫn đến nội dung về “cập nhật” tình hình lây nhiễm của Covid-19, biện pháp ngăn chặn, bản đồ dịch bệnh, hay cách bảo vệ bản thân để không bị phơi nhiễm. Khi mở các tập tin đính kèm hay nhấp vào các liên kết, máy tính của nạn nhân sẽ bị tấn công bởi các mã độc, các thông tin cá nhân, thông tin thẻ tín dụng được lưu trữ trực tuyến sẽ bị tiết lộ cho tin tặc.

Bộ Công thương cũng đã phát đi cảnh báo việc mạo danh bộ này để lừa đảo doanh nghiệp sở hữu website thương mại điện tử. Theo đó, thời gian gần đây xuất hiện một số đối tượng gửi email, gọi điện tới các doanh nghiệp, chủ cơ sở kinh doanh, bán hàng trực tuyến… mạo danh là công ty được ủy quyền và là cán bộ, công chức hoạt động trong đơn vị thuộc ngành công thương để yêu cầu doanh nghiệp nộp 700.000 đồng để duy trì hoạt động của website thương mại điện tử.

Thậm chí, chúng còn dọa nếu không nộp tiền và chuyển tiền, khai báo thông tin cá nhân theo hướng dẫn thì sẽ bị phạt số tiền lên đến vài chục triệu đồng.

Bộ Công thương khẳng định, Bộ không có chủ trương, cũng không ủy quyền cho bất cứ doanh nghiệp nào, không cử bất cứ cán bộ nào điện thoại, email, fax hay đến làm việc trực tiếp tại doanh nghiệp liên quan đến nội dung trên. Bộ cũng không có bất cứ quy định nào liên quan đến việc thu phí bảo trì các website của công ty cũng như các website thương mại điện tử.

Trước đó, Bộ Công thương cũng nhiều lần cảnh báo các doanh nghiệp xuất nhập khẩu bị lừa đảo qua email. Theo đó, đối tượng lừa đảo lập các web giả mạo giống tên một số doanh nghiệp nổi tiếng, gửi email chào hàng giá rẻ hoặc mời thầu ưu đãi. Sau đó, chúng gửi email yêu cầu nộp tiền đặt cọc, gửi số tài khoản chiếm đoạt tiền.

Phòng chống bằng cách nào?

Google mới đây phát hiện hơn 18 triệu email lừa đảo liên quan đến Covid-19 mỗi ngày. Chỉ tính riêng trong năm 2019, đã có 1,9 tỷ USD đã bị mất do lừa đảo. Phổ biến nhất lừa đảo liên quan đến thuế, lừa đảo trong các cuộc thi hoặc trúng xổ số và một loại lừa đặc biệt phổ biến hiện nay là liên quan đến Covid-19.

“Doanh nghiệp và nhân viên cần cảnh giác với các email lừa đảo, mạo nhận là được gửi từ chuyên gia để chia sẻ thông tin quan trọng về Covid-19. Không nhấp vào các liên kết hoặc tập tin đính kèm khi không rõ nguồn gốc hoặc không xác minh được người gửi. Khi nhận thư điện tử có nội dung liên quan đến Covid-19, kiểm tra những dấu hiệu đáng ngờ của địa chỉ hộp thư, ví dụ như lỗi chính tả hoặc ký hiệu bất thường. Tội phạm lừa đảo thường dùng địa chỉ hộp thư gần giống với địa chỉ của các tổ chức mà chúng mạo danh”, bà Trương Quỳnh Hoa, Giám đốc Dịch vụ tư vấn và phòng chống gian lận tại KPMG Việt Nam cảnh báo.

Các hình thức lừa đảo qua email ngày càng tinh vi và có nhiều biến thể. Nhưng một số vụ việc thì chiêu thức lừa đảo như đột nhập email lại khá cũ, chỉ có nạn nhân là mới.

Theo ông Võ Đỗ Thắng, Giám đốc Trung tâm an ninh mạng Athena, các chiêu thức đột nhập giả mạo email lừa đối tác doanh nghiệp không mới, nhưng vẫn bị sập bẫy là do nhiều mail-server của doanh nghiệp không được kích hoạt chức năng chống giả mạo email, nên kẻ xấu sau khi thâm nhập có thể lập email giả, gửi cho các khách hàng, đối tác của doanh nghiệp để lừa đảo. Hoặc tin tặc cài phần mềm gián điệp vào hệ thống máy tính doanh nghiệp. Sau đó, chúng hoàn toàn có thể theo dõi từ xa và có thể nắm được các thông tin giao dịch, dữ liệu của doanh nghiệp qua email, rồi giả mạo các kịch bản để viết email lừa tiền.

Hay như hình thức lừa đảo gửi email hàng loạt giả mạo ngân hàng, các đơn vị sổ số, trúng thưởng… cũng khá cũ. Theo ông Nguyễn Minh Đức, Giám đốc điều hành CyRadar, đây là hình thức tấn công đại trà. Kẻ tấn công gửi email hàng loạt và ai sập bẫy thì tranh thủ trục lợi. Mỗi nạn nhân tuy chỉ mất vài triệu đồng, nhưng hàng ngàn nạn nhân thì con số lên đến tiền tỷ là bình thường.

Theo ông Nguyễn Hữu Trung, CEO Cystack, để tránh sập bẫy lừa qua email, tốt nhất là phòng tránh bằng cách kiểm tra địa chỉ người gửi, nếu không phải người quen biết thì nên xác nhận lại hoặc bỏ qua email. Tuyệt đối không nhập dữ liệu cá nhân vào website lạ hoặc mở tập tin đính kèm nếu chưa xác nhận đó là tập tin an toàn. Việc truy cập vào đường dẫn qua email hay tải tập tin đính kèm không quá nguy hiểm, nó chỉ nguy hiểm khi mình nhập dữ liệu hay chạy tập tin đã tải về.

Hữu Tuấn