Cảnh báo chỉ được đưa ra sau hàng nghìn nỗ lực được thực hiện từ tháng 3 đến tháng 5 năm nay. Các quan chức cho biết bọn tội phạm đã sử dụng các trang web và chương trình giọng nói giả mạo, nhưng chúng đã bị “phát hiện và ngăn chặn”.

Mã OTP là một biện pháp bảo mật được sử dụng trong xác thực hai yếu tố để ngăn người dùng bị đánh cắp tài khoản và mật khẩu.

Tuy nhiên, các cuộc tấn công mới lừa người dùng tiết lộ mã OTP của họ thông qua các cuộc gọi điện thoại giả mạo, tự động. Khi những cuộc gọi tự động này nhận được OTP thành công, ngân hàng của nạn nhân và các tài khoản khác sẽ bị hack.

Các nhà nghiên cứu cho biết tin tặc sử dụng cuộc gọi thay vì tin nhắn văn bản vì nhãn hiệu của chúng phản hồi nhanh, khiến dễ bị lừa đảo hơn. Robot thoại giả dạng nhân viên của các công ty có uy tín và thực hiện cuộc gọi. Sau đó, chúng sử dụng các đoạn hội thoại được ghi sẵn theo kịch bản để thuyết phục người dùng từ bỏ mã OTP của họ.

Một kịch bản phổ biến liên quan đến việc các bot giả dạng các tổ chức tài chính kêu gọi mọi người báo cáo một người lạ đang cố truy cập vào tài khoản ngân hàng của họ để đánh cắp tiền. Sau đó, các bot sẽ thuyết phục mọi người từ bỏ mã OTP để các công ty có thể can thiệp và ngăn chặn hành vi trộm cắp.

Theo ít nhất một báo cáo nghiên cứu, “bot bắt chước kiểu nói và sự cấp bách của giọng nói con người để tạo dựng lòng tin và sức thuyết phục”.

Sự gia tăng của các cuộc gọi tự động có thể là do các thành phần của chúng có sẵn trên thị trường chợ đen. Một báo cáo của Kaspersky về một loại dịch vụ bot được cung cấp trên Telegram cho biết các bot có khả năng mạo danh giọng nói nam hoặc nữ bằng nhiều ngôn ngữ, ngụy trang thành các công ty khác nhau. Chúng cũng có thể tạo số điện thoại giả để lừa mọi người nghĩ rằng họ đang nói chuyện với ai đó của một công ty uy tín.

Khi tin tặc nắm giữ mã OTP của một người, chúng có thể sử dụng chúng để truy cập vào tài khoản của nạn nhân. Tuy nhiên, trước khi tin tặc có thể cố gắng đánh cắp mã OTP, chúng cần bảo mật tuyến phòng thủ đầu tiên: tên tài khoản và mật khẩu của một người. Các ngân hàng hợp pháp, dịch vụ email và các dịch vụ trực tuyến khác tạo ra các trang web giả mạo để lừa mọi người để lại thông tin đăng nhập của họ. Những dữ liệu này có thể được mua trên chợ đen hoặc bị tin tặc máy tính đánh cắp thông qua các lỗ hổng của hệ thống máy tính.

Trung tâm An ninh mạng Quốc gia Việt Nam đã đăng ký 124.775 trang web giả mạo đã biến thành nhiều tổ chức khác nhau. Theo thống kê của Kaspersky từ ngày 1 tháng 3 đến ngày 31 tháng 5, công ty đã có thể ngăn chặn 653.088 nỗ lực lừa đảo trên trang web, cũng như chặn hoàn toàn tổng cộng 4.721 trang web lừa đảo.

Các chuyên gia cho rằng không nên cấp mã OTP cho mọi người qua điện thoại dù họ có khăng khăng đến thế nào đi chăng nữa. Các ngân hàng và các công ty uy tín khác không bao giờ yêu cầu người dùng xác định danh tính bằng cách cung cấp mã OTP qua điện thoại.