Bạn có bao giờ nghi ngờ rằng việc tích vào ô "Tôi không phải robot" có thể khiến tài khoản điện thoại của bạn bị trừ tiền? Các chuyên gia an ninh mạng vừa phát hiện một chiến dịch lừa đảo viễn thông tinh vi, sử dụng CAPTCHA giả mạo để lừa người dùng gửi tin nhắn quốc tế với cước phí đắt đỏ. Theo báo cáo từ Infoblox, chiến dịch này đã triển khai hơn 120 kênh tấn công song song, tạo ra nguồn thu bất chính khổng lồ cho các tổ chức tội phạm mạng.

Bẫy CAPTCHA: Khi xác thực trở thành công cụ lừa đảo

CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart) vốn được thiết kế để bảo vệ website khỏi bot và spam. Thế nhưng, tin tặc đã biến công nghệ này thành vũ khí tấn công. Thay vì hiển thị những hình ảnh hay chữ cái để nhận diện, CAPTCHA giả mạo yêu cầu người dùng gửi tin nhắn đến một số điện thoại quốc tế để "xác minh danh tính".

Chiêu trò này khai thác tâm lý quen thuộc của người dùng với CAPTCHA. Khi gặp yêu cầu xác thực, hầu hết mọi người đều làm theo một cách máy móc mà không nghi ngờ. Chúng tôi cho rằng đây chính là điểm tinh vi nhất của chiến dịch lừa đảo này - nó không cần phần mềm độc hại phức tạp, chỉ cần khai thác thói quen hàng ngày của người dùng.

Công nghệ Keitaro: Xương sống của chiến dịch lừa đảo

Điều đáng lo ngại là các tin tặc đã sử dụng nền tảng Keitaro - một công cụ theo dõi traffic hợp pháp - để vận hành 120 chiến dịch lừa đảo đồng thời. Keitaro TDS (Traffic Distribution System) cho phép điều hướng người dùng đến các trang web khác nhau dựa trên vị trí địa lý, thiết bị và nhiều yếu tố khác. Trong trường hợp này, hệ thống được cấu hình để nhắm mục tiêu cụ thể vào từng quốc gia với các số điện thoại premium khác nhau.

Quy mô hoạt động này cho thấy mức độ chuyên nghiệp đáng báo động. Thay vì tấn công ngẫu nhiên, các tổ chức tội phạm đã xây dựng hạ tầng có hệ thống để tối ưu hóa lợi nhuận từ từng thị trường. Chúng tôi đánh giá đây không phải là hành vi lẻ tẻ mà là hoạt động có tổ chức, quy mô công nghiệp.

IRSF: Mô hình kinh doanh bất chính tỷ đô

Chiến dịch này sử dụng phương thức IRSF (International Revenue Share Fraud) - một dạng lừa đảo chia sẻ doanh thu quốc tế. Cơ chế hoạt động khá đơn giản: tin tặc thuê các số điện thoại premium tại nhiều quốc gia, sau đó lừa nạn nhân gửi tin nhắn đến những số này. Mỗi tin nhắn gửi đi sẽ tạo ra cước phí cao, một phần thuộc về nhà mạng, một phần về chủ sở hữu số điện thoại - chính là các tổ chức tội phạm.

Theo thống kê của CFCA (Communications Fraud Control Association), IRSF gây thiệt hại hàng tỷ USD mỗi năm cho ngành viễn thông toàn cầu. Tại Việt Nam, mặc dù chưa có con số chính thức, nhưng chúng tôi ghi nhận nhiều trường hợp người dùng phàn nàn về cước phí bất thường trên hóa đơn điện thoại mà không rõ nguyên nhân.

Cách nhận biết và phòng chống lừa đảo CAPTCHA giả

Để bảo vệ bản thân, người dùng Việt Nam cần chú ý những dấu hiệu bất thường. CAPTCHA thật không bao giờ yêu cầu gửi tin nhắn hay gọi điện thoại. Nếu gặp yêu cầu như vậy, hãy đóng trang web ngay lập tức. Đặc biệt cảnh giác với các trang web có tên miền lạ, không rõ nguồn gốc hoặc được chia sẻ qua tin nhắn, email spam.

Chúng tôi khuyến nghị các biện pháp cụ thể sau: Đầu tiên, bật cảnh báo cước phí quốc tế trên điện thoại thông qua nhà mạng. Thứ hai, kiểm tra hóa đơn điện thoại hàng tháng để phát hiện sớm các khoản phí bất thường. Thứ ba, chỉ truy cập website từ nguồn tin cậy và luôn kiểm tra URL trước khi thực hiện bất kỳ hành động nào. Cuối cùng, cài đặt phần mềm bảo mật có khả năng chặn website độc hại để tạo thêm lớp bảo vệ.