Hacker tấn công các hệ thống để chiếm dữ liệu
Vừa qua, Trung tâm Ứng cứu khẩn cấp không gian mạng Việt Nam (VNCERT) đã phát đi cảnh báo về một sự cố an ninh mạng. Báo cáo cho thấy có dấu hiệu vi phạm dữ liệu cá nhân liên quan đến Trung tâm Thông tin tín dụng Việt Nam (CIC). Liên quan vụ việc này, theo chuyên gia an ninh mạng Ngô Minh Hiếu (tức Hiếu PC - Giám Đốc Chongluadao.vn), xác minh ban đầu cho thấy nhóm hacker tấn công hệ thống CIC là ShinyHunters.
Theo đó, nhóm ShinyHunters là một nhóm “hacker mũ đen” (hack với ý đồ xấu), được xác định là thành lập vào năm 2020 và nổi danh vì hàng loạt vụ xâm nhập dữ liệu quy mô lớn. Nhóm này hoạt động theo cách: Sau khi đánh cắp dữ liệu, chúng yêu cầu tiền chuộc, nếu nạn nhân không trả tiền thì dữ liệu sẽ bị bán hoặc tung lên web đen để công khai.
Chuyên gia Ngô Minh Hiếu nhấn mạnh những thông tin quan trọng như: Mật khẩu, số thẻ tín dụng, CVV/CVC, lịch sử giao dịch ngân hàng không nằm trong dữ liệu mà CIC thu thập hoặc bị lộ theo xác nhận hiện nay. Do vậy, giao dịch và thông tin thẻ tín dụng của người dân sẽ không bị ảnh hưởng từ sự cố này. Người dân cũng không cần phải lo lắng đến việc phải đổi mật khẩu ngân hàng, hoặc thay đổi các thông tin thẻ tín dụng.
Ông Ngô Minh Hiếu dự báo các đối tượng xấu có thể sử dụng dữ liệu để thực hiện thủ đoạn lừa đảo như sau:
Giả mạo ngân hàng, CIC, cơ quan nhà nước
Các đối tượng gọi điện, nhắn tin hoặc gửi email sử dụng thông tin cá nhân thật của nạn nhân (họ tên, số CMND/CCCD, số tài khoản ngân hàng) để thông báo “nợ xấu”, “tài khoản bị rủi ro tín dụng”, “cần xác minh thông tin để tránh khóa tài khoản”, rồi dụ người dùng cung cấp mật khẩu, OTP hoặc bấm vào link giả mạo.
Dịch vụ “xóa nợ CIC” giả/nâng hạn mức thẻ
Các đối tượng quảng cáo hấp dẫn “vay nhanh”, “xóa nợ tín dụng”, “giảm nợ xấu CIC”, “nâng hạn mức thẻ”, thường nhắm vào sinh viên hoặc công nhân có nhu cầu tài chính gấp. Sau đó lấy trước phí hoặc thu thêm thông tin nhạy cảm.
Giả danh người thân, lãnh đạo, đồng nghiệp
Vì tội phạm đã có dữ liệu cá nhân chính xác, chúng dễ dàng giả mạo người quen, lãnh đạo hoặc đồng nghiệp để tạo lòng tin, rồi yêu cầu chuyển tiền khẩn cấp.
Gọi điện đe dọa pháp lý
Tự xưng là công an, viện kiểm sát, tòa án, cáo buộc nạn nhân “liên quan vụ án rửa tiền” hay “phong tỏa tài khoản”, yêu cầu chuyển tiền vào “tài khoản an toàn” để xác minh thực chất là chiếm đoạt tài sản.
Tin nhắn/email/SMS/Zalo chứa link độc hại
Gửi link giả mạo ngân hàng, CIC hoặc cơ quan nhà nước bảo “CIC yêu cầu xác thực lại thông tin”, “ngăn chặn nợ xấu”… Nếu người dùng click sẽ bị đánh cắp thêm dữ liệu đăng nhập, mật khẩu, biến thiết bị thành vector tấn công.
Người dân cần làm gì để tự bảo vệ tài sản của mình?
Đồng quan điểm với chuyên gia Hiếu PC, luật sư Hoàng Hà (Đoàn luật sư TP.HCM) nhận định, hệ thống CIC chỉ lưu trữ dữ liệu lịch sử tín dụng như hồ sơ vay, tình trạng trả nợ, nợ xấu…. chứ không trực tiếp nắm giữ số thẻ ngân hàng hay mật khẩu giao dịch của người dân.
Tuy nhiên, theo Luật sư Hoàng Hà, những dữ liệu này nếu bị khai thác trái phép sẽ tạo điều kiện cho hành vi lừa đảo tài chính, giả mạo hồ sơ vay... Đây là lý do mà cả Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân và sắp tới là Luật Bảo vệ dữ liệu cá nhân 2025 đều xếp dữ liệu tài chính, tín dụng vào nhóm dữ liệu nhạy cảm, yêu cầu lưu giữ an toàn, không được chia sẻ ra ngoài khi chưa có sự đồng ý của chủ thể dữ liệu.
Bảo vệ dữ liệu cá nhân không chỉ là trách nhiệm của tổ chức mà còn là thói quen cần thiết của mỗi công dân trong thời đại số. Từ góc độ thực tiễn, luật sư Hoàng Hà khuyến nghị người dân nên chủ động thực hiện những biện pháp như sau để bảo vệ tài sản:
Kích hoạt xác thực hai lớp (2FA) cho mọi dịch vụ ngân hàng điện tử.
Theo dõi sao kê định kỳ, nếu phát hiện giao dịch bất thường phải lập tức báo ngân hàng để phong tỏa.
Hạn chế chia sẻ thêm thông tin cá nhân trên mạng xã hội bởi khi dữ liệu rò rỉ kết hợp với dữ liệu từ mạng xã hội thì nguy cơ bị lừa đảo sẽ cao hơn.
Lưu giữ chứng từ giao dịch, vì theo quy định tại Bộ luật Dân sự 2015, nếu cá nhân chứng minh được thiệt hại do lỗi bảo mật của tổ chức tín dụng hoặc bên quản lý dữ liệu, người dân có quyền yêu cầu bồi thường.
“Cuối cùng, điều quan trọng nhất là người dân cần giữ bình tĩnh, tăng cường tự bảo vệ mình, sẵn sàng sử dụng các quyền pháp lý khi cần thiết.” – Luật sư Hoàng Hà nhấn mạnh.
