Những chiêu lừa tiền trên mạng thời Covid
Vài tuần qua, tôi nhận được một số tin nhắn bất ngờ qua điện thoại.
Trong đó, có một tin nhắn trông như thể từ ngân hàng gửi đến, cảnh báo tôi về trò lừa đảo sắp xảy ra.
Tin nhắn có nội dung như sau: Trong tài khoản của bạn, thông tin về một người nhận chi trả MỚI, có tên là MR A HANKIN, vừa được cài đặt. Nếu bạn KHÔNG thực hiện việc này, hãy mở website…
Sau đó là một website trông có vẻ như ngân hàng thương mại lớn.
Tiếp đến là tôi nhận được tin nhắn trong hộp thư thoại, nói rằng tôi có dính líu đến tội phạm: Cuộc gọi này là về hoạt động phi pháp xảy ra với mã số Bảo hiểm Xã hội của bạn. Việc phớt lờ cuộc gọi có thể khiến bạn gặp rắc rối về mặt pháp lý.
Cuối cùng, tôi nhận được tin nhắn qua điện thoại từ một bác sĩ phẫu thuật trong khu vực tôi sống:
Gửi ông ROBSON,
Ông được mời đăng ký lịch chích ngừa vaccine Covid-19. Nhấn vào đường link sau để đặt hẹn cho mũi tiêm đầu tiên, hoặc thông tin cho chúng tôi biết ông đã có lịch chích ngừa ở nơi khác: accurx.thirdparty.nhs.uk/r/
Nội dung của mỗi tin nhắn có vẻ như hữu ích, và đường link đến website trông hơi lạ, nhưng đủ hợp lý khiến người ta không nghi ngờ gì mà truy cập thử.
Nhưng chỉ có mỗi cuộc hẹn tiêm ngừa là có vẻ là thật. Hai tin nhắn bên trên là lừa đảo, tìm cách dụ tôi cung cấp thông tin cá nhân cho website lừa đảo.
Nội dung của các tin nhắn thật và tin nhắn lừa đảo cực kỳ giống nhau, khiến ta không có cách nào biết nên tin ai.
Cũng như tôi, chắc bạn cũng để ý số lượng tin nhắn có vẻ lừa đảo gần đây tăng lên – và có một số dữ liệu cho thấy điều này thực sự đang xảy ra.
Trung tâm An ninh Mạng Quốc gia Anh Quốc ghi nhận đã gỡ bỏ số lượng các website và ứng dụng trên mạng lừa đảo trong năm 2020 nhiều gấp 15 lần so với năm 2019, trong khi FBI cũng cho biết số lượng khiếu nại về tội phạm trên internet ở Hoa Kỳ tăng gần 70%. Mỗi ngày, giới truyền thông lại có thêm bài mới về đủ trò lừa đảo.
Có vẻ như đại dịch đã tạo ra hoàn cảnh đặc khiến lừa đảo trên mạng nở rộ, cũng như các loại lừa đảo kiếm tiền từ nỗi sợ và sự lo âu của mọi người trong giai đoạn cách ly và đầy bất an. Để tránh bị lừa, ta cần cảnh giác cao hơn với một số thủ thuật mà bọn lừa đảo dùng để qua mặt ta.
Quy luật lừa đảo
Tất nhiên lừa đảo trên mạng đã luôn là vấn nạn từ thuở ban đầu có internet. Cụm từ “phishing” (lừa đảo chiếm đoạt thông tin) được phát minh sau những vụ gài bẫy nhằm chiếm đoạt thông tin các tài khoản AOL giữa thập niên 1990. Nhưng chiến thuật của bọn lừa đảo lấy thông tin dần tinh vi hơn qua thời gian.
Dùng những thông tin lấy từ mạng xã hội, giờ đây chuyện vẽ vời ra những tin nhắn thích hợp với hoàn cảnh từng cá nhân để nội dung nhắn có vẻ thuyết phục hơn khá là dễ dàng – quá trình này gọi là “lừa đảo đúng người” (spear phishing ).
Kẻ lừa đảo cũng tận dụng việc người dùng sử dụng điện thoại nhiều hơn, số lượng tin nhắn SMS lừa đảo (còn gọi là “smishing”) cũng tăng lên.
Lĩnh vực nghiên cứu tâm lý đang bắt kịp với thực trạng vấn đề, với nhiều nghiên cứu phân tích nội dung của các vụ tấn công để vạch ra một số thủ thuật lừa đảo đơn giản.
Thủ thuật thứ nhất là sự hời hợt: chúng sẽ cố sử dụng một số thông tin nhìn có vẻ quen mắt – ví dụ như tên hoặc logo của ngân hàng lớn – để khiến bạn tin tưởng nhanh chóng.
Hầu hết các trò lừa sau đó sẽ cố kích thích cảm xúc rất mạnh, khiến ta lập tức không thể suy nghĩ thấu đáo nữa.
Chiêu này có thể hứa hẹn phần quà ngay lập tức, hoặc đe dọa. (Tôi tìm hiểu thì thấy kẻ lừa đảo có thể sử dụng chiêu rất hiệu quả – là cảnh báo bạn về một vụ lừa đảo sắp xảy ra, bạn phải hành động ngay, và để hành động thì phải cung cấp thông tin tài khoản).
Một trong số những chiêu hèn hạ nhất, là kẻ lừa đảo giả làm luật sư hay bác sĩ, giả làm người thân trong gia đình hay đồng nghiệp cần giúp đỡ tiền khẩn cấp. “Thường thì cảm xúc tiêu cực là hiệu quả nhất,” Cleotilde Gonzalez, giáo sư về khoa học trong sự ra quyết định tại Đại học Carnegie Mellon ở Pittsburgh, Pennsylvania cho biết.
Thứ ba là, hầu hết các vụ lừa đều đưa ra tình huống “không còn thời gian” buộc ta phải hành động ngay lập tức. Điều này là cần thiết, vì có khả năng là bạn sẽ hành động trước khi kịp có suy nghĩ phê phán gì. Bạn quá vội vì sợ lỡ cơ hội, bạn quên mất mình có khả năng bị lừa.
Nhiều vụ lừa đảo phối hợp cả ba yếu tố trên để tạo ra chiêu lừa cực mạnh. Xem xét các cuộc gọi vờ như từ cơ quan thuế sở tại, hay cơ quan phòng chống tội phạm quốc gia, cảnh báo bạn có thể bị án phạt hay phải ra tòa nếu không hành động ngay (và hành động thường là đọc thông tin tài khoản ngân hàng).
Trước tình huống bị đe dọa khẩn cấp, ít ai có thể suy nghĩ thấu đáo.
“Sự cảnh giác của bạn lập tức bị giảm sút trong những tình huống như vậy, và cảm xúc sẽ lấn qua khả năng suy nghĩ thấu đáo khi ra quyết định,” Gareth Norris, nhà tâm lý từ Đại học Aberystwyth ở Anh Quốc cho hay, gần đây ông có tổng hợp nghiên cứu về lừa đảo trên Tạp chí Tâm lý Cảnh sát và Tội phạm.
Đáng lo ngại ở chỗ, điện thoại thông minh khiến ta càng dễ bị sa vào tình huống bị tấn công hơn.
Chẳng hạn, màn hình nhỏ hơn khiến ta khó mà quan sát kỹ chi tiết. Thứ hai, ta dành quá nhiều thời gian trao đổi qua điện thoại đến mức ta có xu hướng đọc và phản hồi tin nhắn qua điện thoại hơn so với việc xem email từ màn hình máy tính để bàn. Những thông tin này có thể bị bỏ qua, ít nhất là vào lúc ban đầu.
Một nhà nghiên cứu thậm chí đã tìm hiểu sâu đến mức mô tả “vòng lặp hành vi Pavlov”, nghĩa là âm thanh tin nhắn mới kích thích chút hưng phấn nhỏ về cảm xúc, tiếp theo là cảm giác câu thúc phải trả lời tin nhắn. Và ta khó có khả năng suy nghĩ sâu sắc gì nếu nó kích thích hành vi theo thói quen.
Mạng xã hội như Facebook có vẻ khiến nguy cơ đặc biệt tăng cao, khi kẻ lừa đảo có thể lừa trúng nhiều người hơn – có lẽ vì chúng có thể thu thập được nhiều thông tin và cá nhân hóa tin nhắn gửi đi, và vì ta quá hào hứng tạo các nhóm bạn bè trên mạng.
Đơn giản là bạn càng sử dụng một mạng xã hội nhiều thì nhiều khả năng là bạn sẽ càng dễ bị lừa trên chính ứng dụng đó.
Tệ hơn nữa là, ta thường sử dụng điện thoại thông minh trong tình huống xao nhãng, ví dụ như khi ta đang đi đâu đó, hoặc phải trả lời tin nhắn với ai, hoặc đang xem video.
Mọi người cũng thường ngồi quẹt điện thoại khi đi xe bus, xem phim hoặc thậm chí khi đang chuyện trò với bạn bè, rồi ta còn liên tục chuyển qua xem từ ứng dụng này tới việc này việc khác, ta không thực sự tập trung vào việc đang làm.
Một nghiên cứu theo dõi 50 người dùng điện thoại thông minh suốt một tuần cho thấy người dùng chuyển từ ứng dụng này sang ứng dụng khác khoảng 101 lần/ngày, trong khi đó họ chỉ dành 2 giờ 30 phút nhìn vào màn hình. Kết quả của việc thao tác đa nhiệm là ta ít chú ý đến chi tiết hơn – điều này, một lần nữa, khiến kẻ lừa đảo dễ dàng che mắt ta hơn.
“Nếu bạn đang xài iPhone, xem tin nhắn Facebook hoặc nhanh chóng cố gắng đọc xem tin nhắn SMS vừa tới có nội dung gì, thì khả năng cao là bạn sẽ lọt bẫy lừa đảo lấy thông tin,” Gonzalez cho biết.
Vì nhiều người giành thời gian sử dụng điện thoại hoặc máy tính bảng hơn là sử dụng máy tính để bàn, cũng không có gì ngạc nhiên khi các hacker và kẻ lừa đảo tập trung tấn công vào thiết bị di động nhiều hơn.
Bạn có thể nghĩ là bạn quá thông minh, sao mà lọt bẫy được – nhưng ta cũng nên cẩn trọng với sự tự tin quá mức này, Norris cho biết: Nhiều người rất thông minh và có học thức vẫn bị lừa. Ông cũng khá ngờ vực với ý kiến cho rằng người cao tuổi đương nhiên dễ bị lừa hơn thế hệ thiên niên kỷ hay thế hệ Z.
“Ta thường có hình ảnh định kiến về những người già cả tin, nhưng người già sử dụng công nghệ ít hơn và hay nghi ngờ hơn, [trong khi đó] người trẻ sử dụng công nghệ suốt ngày, họ dùng điện thoại suốt,” Norris chia sẻ. “Và thực sự là, họ cung cấp thông tin khá thoải mái, và họ không quá lo lắng về điều đó.”
Đại dịch lừa đảo
Vì những điều này, mối đe dọa lừa đảo trong dịch bệnh đã tăng rất nhanh trong dịch Covid-19 – kẻ lừa đảo nhanh chóng tìm thấy nhiều cách mới để tận dụng tình thế.
Vì tình trạng cách ly và thiếu liên hệ với bạn bè, người thân, nhiều người rơi vào cảm xúc khổ sở và điều đó khiến họ càng khó suy nghĩ lý trí hơn. Chẳng hạn như nỗi sợ, người ta đã chứng minh nỗi sợ làm nhiễu khả năng ra quyết định của mọi người.
Những trò lừa như hứa hẹn tiêm vaccine sớm, hay hi vọng hỗ trợ tài chính, là những minh họa điển hình về việc tận dụng sự khó khăn của ta trong dịch bệnh.
Một nghiên cứu tìm hiểu trên Instagram và Twitter trong những tháng đầu dịch bệnh năm 2020 đã ghi nhận hàng ngàn nội dung có dính tới lừa đảo thương mại hoặc chữa bệnh lừa đảo, cũng như các sản phẩm có liên quan đến Covid-19.
Một nghiên cứu khác xem xét các cuộc tấn công trên mạng trong vài tuần dịch bệnh. Các nhà nghiên cứu thấy có 3-4 chiến dịch lừa đảo quy mô lớn – đa số là dạng lừa đảo chiếm đoạt thông tin – cũng như hacker tìm cách lợi dụng chính sách thay đổi liên tục của chính phủ khi phản ứng với dịch Covid-19.
Cảm xúc bị tuột dốc, cảm giác cô đơn có thể sẽ đẩy ta tới tình trạng dễ bị tác động bởi các chiêu lừa chỉ liên quan rất ít đến đại dịch.
Tin nhắn giả từ cửa hàng bán lẻ hoặc dịch vụ chuyển phát chẳng hạn, cũng đem lại chút cảm xúc phấn khích khi nhận được hàng hay quà tặng bất ngờ – điều này càng có ý nghĩa khi ta bị mắc kẹt trong nhà.
“Những trò lừa dính tới Covid-19 là chỉ dấu thực sự cho thấy kẻ lừa đảo thích ứng với thay đổi trong thế giới quanh chúng nhanh chóng và hiệu quả đến mức nào,” Trưởng Thanh tra Gary Robinson, lãnh đạo đội phòng chống tội phạm qua thẻ và các hình thức chi trả thuộc Sở Cảnh sát quận City of London, cho biết.
Do tình trạng phong toả, ta phải dựa nhiều hơn vào giao tiếp qua mạng – dù là để giữ liên lạc với bạn bè, người thân, để làm việc từ nhà, hay để đặt hàng mua sắm từ xa. Điều này giúp kẻ lừa đảo có cơ hội dụ ta sa bẫy nhiều hơn, Gonzalez cho biết.
“Có nhiều người sử dụng phương tiện điện tử để liên lạc với nhau hơn,” bà cho biết. Quan trọng là, tỷ lệ tin nhắn thật so với tin nhắn lừa đảo vẫn còn cao nên ta quên mất mình phải cảnh giác, bà giải thích.
Bà Gonzalez lo lắng rủi ro tăng cao nhưng vẫn ít người biết. “Người sử dụng giờ đây đã trở nên cảnh giác hơn một chút với bọn lừa đảo và có thể nhận biết nhiều kiểu tấn công hơn, nhưng việc tìm hiểu của họ vẫn rất chậm so với những gì bọn tấn công đang làm,” bà nói.
Dù không có cách nào hoàn hảo để bảo vệ bản thân, Norris và Gonzalez đồng tình cho rằng ta nên bắt đầu bằng cách cai, không cho bản thân phải phản hồi tức thì với bất cứ tin nhắn nào mới nhận.
“Hãy cho bạn thêm thời gian để nghĩ, tin này có phải là thật không?” Norris giải thích. Và nếu có đường link trong tin nhắn, ta nên tự gõ lại nó, hơn là nhấn vào. Điều này sẽ giúp ta phát hiện thứ bất thường trong đường dẫn URL.
Rốt cuộc là ta cần phải luôn luôn cảnh giác – và nhớ rằng kẻ lừa đảo sẽ luôn đi trước ta một bước với chiêu lừa khéo léo mới mẻ nào đó.
“Khi đại dịch Covid-19 đến khoảng nào đó gần như kết thúc, bạn sẽ thấy bọn lừa đảo sẽ lập tức lượm ngay chiêu mới để lừa mọi người dính bẫy,” Robinson kết luận.
David Robson
David Robson là tác giả quyển sách “Bẫy Trí Tuệ: Tại sao Người Thông Minh vẫn Mắc lỗi Ngớ ngẩn”, tác phẩm khám phá cách cải tiến sự suy nghĩ, khả năng ra quyết định và học tập. Tài khoản Twitter của ông là @d_a_robson.
Bài tiếng Anh đã đăng trên BBC Future.
Tin, bài liên quan:
– Một số thủ đoạn lừa đảo mới trên mạng trục lợi từ covid
– Mẹo tránh lừa đảo trực tuyến liên quan covid