Linh Pham
Intern Writer
Người gọi không nhất thiết phải sử dụng đúng số điện thoại thật của mình khi thực hiện cuộc gọi, nhưng thiết bị của người nhận vẫn có thể hiển thị một số khác trên màn hình. Điều này đồng nghĩa với việc số điện thoại hiển thị chưa chắc phản ánh đúng nguồn gọi thực sự. Nhiều cơ quan quản lý viễn thông trên thế giới cũng đã cảnh báo rằng kẻ gian có thể khiến màn hình hiển thị bất kỳ số hoặc tên nào nhằm tạo cảm giác đáng tin cậy.
Về mặt kỹ thuật, một cuộc gọi thường bao gồm hai phần: đường đi thực tế trong mạng viễn thông và thông tin hiển thị tới người nhận. Hai phần này có thể trùng khớp nhưng cũng có thể bị tách rời. Một số cơ quan quản lý gọi đây là sự khác biệt giữa số trong hệ thống và số hiển thị. Vì vậy, việc điện thoại hiện đúng số ngân hàng, đúng tên nhân viên hoặc đúng số quen thuộc không đủ để khẳng định người gọi là thật.
Hình thức lừa đảo này thường lợi dụng các nền tảng gọi điện qua VoIP, tức công nghệ truyền giọng nói qua Internet thay vì mạng truyền thống. Khi đó, cuộc gọi được tạo ra từ các hệ thống trung gian, nơi thông tin hiển thị có thể bị can thiệp. Nếu quy trình xác minh quyền sử dụng số không chặt chẽ hoặc bị khai thác, hiện tượng giả mạo Caller ID hoàn toàn có thể xảy ra.
Theo một số nghiên cứu trước đây trong lĩnh vực bảo mật, việc chỉ định số hiển thị và thực hiện cuộc gọi đến người nhận đã cho thấy mức độ nguy hiểm rõ rệt. Khi thử nghiệm với người thân, bạn bè hoặc đồng nghiệp, phần lớn đều bất ngờ và tin tưởng vì thấy số quen thuộc. Đáng chú ý là kẻ thực hiện vẫn có thể trò chuyện trực tiếp với người nhận thông qua cuộc gọi đã bị giả mạo thông tin hiển thị.
Xét về cơ chế kỹ thuật, các dịch vụ VoIP thường sử dụng các trường như “source” (số hiển thị), “destination” (số nhận) và “callFlow” (luồng cuộc gọi). Trong một số trường hợp, số hiển thị có thể được gán tùy ý, trong khi cuộc gọi thực tế lại được chuyển tiếp đến một số khác. Điều này lý giải vì sao có những cuộc gọi trông như đến từ số quen thuộc nhưng nguồn gốc thực sự lại hoàn toàn khác.
Hình thức này đặc biệt nguy hiểm vì người dùng có xu hướng tin vào số hiển thị. Kẻ gian có thể giả danh ngân hàng, cơ quan công an, nhân viên chăm sóc khách hàng hoặc khách hàng khác để tạo lòng tin. Sau đó, chúng đưa ra các kịch bản như tài khoản gặp sự cố, có giao dịch bất thường, cần xử lý khẩn cấp hoặc thẻ bị khóa nhằm gây áp lực tâm lý cho nạn nhân.
Trong nhiều trường hợp, kẻ gian yêu cầu nạn nhân giữ máy, không được ngắt cuộc gọi và thực hiện các thao tác ngay lập tức. Chúng có thể yêu cầu chuyển tiền để “bảo vệ tài sản” hoặc cung cấp thông tin nhạy cảm như mã OTP, mật khẩu, thông tin thẻ. Theo khuyến cáo, bất kỳ cuộc gọi nào yêu cầu cung cấp mã xác minh đều có dấu hiệu lừa đảo.
Đối với người dân, cần tránh trả lời những câu hỏi có thể vô tình xác nhận thông tin, đặc biệt là các câu hỏi chỉ cần trả lời “có” hoặc “không”. Tuyệt đối không cung cấp dữ liệu cá nhân như số tài khoản, căn cước công dân, mật khẩu hay mã OTP khi nhận cuộc gọi bất ngờ hoặc có dấu hiệu nghi ngờ. Khi có người tự xưng là đại diện tổ chức hoặc cơ quan nhà nước, cách an toàn nhất là ngắt cuộc gọi và chủ động liên hệ lại qua các kênh chính thức.
Điều quan trọng là không nên phân biệt thật – giả chỉ dựa vào số điện thoại hiển thị, bởi số này có thể bị giả mạo hoàn toàn. Thay vào đó, cần đánh giá nội dung cuộc gọi, đặc biệt là các dấu hiệu như thúc ép, yêu cầu cung cấp thông tin hoặc chuyển tiền.
Đối với các ngân hàng và tổ chức tài chính, việc tin vào số hiển thị như một phương thức xác minh là tiềm ẩn rủi ro lớn. Nếu tổng đài cho rằng cuộc gọi từ đúng số đăng ký đồng nghĩa với đúng khách hàng, kẻ gian có thể lợi dụng để yêu cầu thay đổi thông tin, đặt lại mật khẩu hoặc khai thác dữ liệu. Vì vậy, các tổ chức không nên dựa vào những phương thức xác minh yếu cho các yêu cầu nhạy cảm.
Số điện thoại hiển thị chỉ nên được xem là thông tin tham khảo, không phải bằng chứng xác thực danh tính. Với các thao tác quan trọng như đổi mật khẩu, thay đổi số điện thoại hoặc cập nhật thông tin tài khoản, cần áp dụng thêm các lớp bảo mật như xác nhận qua ứng dụng, gọi lại theo số đã lưu hoặc sử dụng xác minh đa yếu tố (MFA) để đảm bảo an toàn.
Chuyên gia cảnh báo chiêu lừa đảo: Số điện thoại hiển thị trên màn hình chưa chắc là số thật đang gọi
Về mặt kỹ thuật, một cuộc gọi thường bao gồm hai phần: đường đi thực tế trong mạng viễn thông và thông tin hiển thị tới người nhận. Hai phần này có thể trùng khớp nhưng cũng có thể bị tách rời. Một số cơ quan quản lý gọi đây là sự khác biệt giữa số trong hệ thống và số hiển thị. Vì vậy, việc điện thoại hiện đúng số ngân hàng, đúng tên nhân viên hoặc đúng số quen thuộc không đủ để khẳng định người gọi là thật.
Hình thức lừa đảo này thường lợi dụng các nền tảng gọi điện qua VoIP, tức công nghệ truyền giọng nói qua Internet thay vì mạng truyền thống. Khi đó, cuộc gọi được tạo ra từ các hệ thống trung gian, nơi thông tin hiển thị có thể bị can thiệp. Nếu quy trình xác minh quyền sử dụng số không chặt chẽ hoặc bị khai thác, hiện tượng giả mạo Caller ID hoàn toàn có thể xảy ra.
Theo một số nghiên cứu trước đây trong lĩnh vực bảo mật, việc chỉ định số hiển thị và thực hiện cuộc gọi đến người nhận đã cho thấy mức độ nguy hiểm rõ rệt. Khi thử nghiệm với người thân, bạn bè hoặc đồng nghiệp, phần lớn đều bất ngờ và tin tưởng vì thấy số quen thuộc. Đáng chú ý là kẻ thực hiện vẫn có thể trò chuyện trực tiếp với người nhận thông qua cuộc gọi đã bị giả mạo thông tin hiển thị.
Xét về cơ chế kỹ thuật, các dịch vụ VoIP thường sử dụng các trường như “source” (số hiển thị), “destination” (số nhận) và “callFlow” (luồng cuộc gọi). Trong một số trường hợp, số hiển thị có thể được gán tùy ý, trong khi cuộc gọi thực tế lại được chuyển tiếp đến một số khác. Điều này lý giải vì sao có những cuộc gọi trông như đến từ số quen thuộc nhưng nguồn gốc thực sự lại hoàn toàn khác.
Hình thức này đặc biệt nguy hiểm vì người dùng có xu hướng tin vào số hiển thị. Kẻ gian có thể giả danh ngân hàng, cơ quan công an, nhân viên chăm sóc khách hàng hoặc khách hàng khác để tạo lòng tin. Sau đó, chúng đưa ra các kịch bản như tài khoản gặp sự cố, có giao dịch bất thường, cần xử lý khẩn cấp hoặc thẻ bị khóa nhằm gây áp lực tâm lý cho nạn nhân.
Trong nhiều trường hợp, kẻ gian yêu cầu nạn nhân giữ máy, không được ngắt cuộc gọi và thực hiện các thao tác ngay lập tức. Chúng có thể yêu cầu chuyển tiền để “bảo vệ tài sản” hoặc cung cấp thông tin nhạy cảm như mã OTP, mật khẩu, thông tin thẻ. Theo khuyến cáo, bất kỳ cuộc gọi nào yêu cầu cung cấp mã xác minh đều có dấu hiệu lừa đảo.
Đối với người dân, cần tránh trả lời những câu hỏi có thể vô tình xác nhận thông tin, đặc biệt là các câu hỏi chỉ cần trả lời “có” hoặc “không”. Tuyệt đối không cung cấp dữ liệu cá nhân như số tài khoản, căn cước công dân, mật khẩu hay mã OTP khi nhận cuộc gọi bất ngờ hoặc có dấu hiệu nghi ngờ. Khi có người tự xưng là đại diện tổ chức hoặc cơ quan nhà nước, cách an toàn nhất là ngắt cuộc gọi và chủ động liên hệ lại qua các kênh chính thức.
Điều quan trọng là không nên phân biệt thật – giả chỉ dựa vào số điện thoại hiển thị, bởi số này có thể bị giả mạo hoàn toàn. Thay vào đó, cần đánh giá nội dung cuộc gọi, đặc biệt là các dấu hiệu như thúc ép, yêu cầu cung cấp thông tin hoặc chuyển tiền.
Đối với các ngân hàng và tổ chức tài chính, việc tin vào số hiển thị như một phương thức xác minh là tiềm ẩn rủi ro lớn. Nếu tổng đài cho rằng cuộc gọi từ đúng số đăng ký đồng nghĩa với đúng khách hàng, kẻ gian có thể lợi dụng để yêu cầu thay đổi thông tin, đặt lại mật khẩu hoặc khai thác dữ liệu. Vì vậy, các tổ chức không nên dựa vào những phương thức xác minh yếu cho các yêu cầu nhạy cảm.
Số điện thoại hiển thị chỉ nên được xem là thông tin tham khảo, không phải bằng chứng xác thực danh tính. Với các thao tác quan trọng như đổi mật khẩu, thay đổi số điện thoại hoặc cập nhật thông tin tài khoản, cần áp dụng thêm các lớp bảo mật như xác nhận qua ứng dụng, gọi lại theo số đã lưu hoặc sử dụng xác minh đa yếu tố (MFA) để đảm bảo an toàn.
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
