Làm thế nào chỉ một tin nhắn SMS cũng khiến bạn mất tiền thật?

[Nguyễn Tiến Đạt]

Các chuyên gia an ninh mạng từ Infoblox vừa cảnh báo về một chiến dịch lừa đảo toàn cầu cực kỳ tinh vi, kết hợp giữa CAPTCHA giả mạo, gian lận viễn thông quốc tế (IRSF) và các nền tảng phân phối lưu lượng độc hại như Keitaro để chiếm đoạt tiền từ người dùng.

Điều đáng sợ nhất là nạn nhân không cần tải phần mềm độc hại, không cần nhập mật khẩu hay thông tin ngân hàng — chỉ cần bấm gửi một tin nhắn SMS là đã có thể mất tiền.

Chiêu trò hoạt động như thế nào?​

Người dùng bị chuyển hướng đến một website giả mạo hiển thị CAPTCHA với nội dung như:

"Xác minh bạn là người thật bằng cách gửi SMS"

Trang web này sẽ tự động mở ứng dụng nhắn tin trên điện thoại Android hoặc iPhone, điền sẵn số điện thoại quốc tế và nội dung tin nhắn. Người dùng chỉ cần nhấn gửi.

Tuy nhiên, đây không phải là xác minh thật mà là một cái bẫy.

Những tin nhắn này được gửi đến các đầu số quốc tế tính phí cao (premium numbers), khiến người dùng bị tính phí SMS quốc tế đắt đỏ trên hóa đơn điện thoại.

Một lần bấm có thể mất tới 30 USD​

Theo báo cáo, chỉ sau 4 bước “xác minh CAPTCHA”, nạn nhân có thể vô tình gửi tới 60 tin nhắn SMS đến 15 số điện thoại khác nhau tại nhiều quốc gia.

Tổng chi phí có thể lên tới 30 USD hoặc hơn, và nguy hiểm ở chỗ khoản phí này thường chỉ xuất hiện sau nhiều tuần trên hóa đơn, khi người dùng đã quên hoàn toàn trải nghiệm CAPTCHA trước đó.

Vì sao kẻ gian kiếm được tiền?​

Đây là hình thức gian lận gọi là IRSF (International Revenue Share Fraud).

Kẻ lừa đảo đăng ký hoặc kiểm soát các đầu số quốc tế có phí kết nối cao, sau đó lừa người dùng gửi SMS tới các số này. Nhà mạng phải thanh toán phí kết nối quốc tế và một phần doanh thu đó sẽ được chia lại cho chính kẻ lừa đảo.

Các quốc gia thường bị lợi dụng gồm Azerbaijan, Kazakhstan, Ba Lan, Tây Ban Nha, Thổ Nhĩ Kỳ, Hà Lan và Bỉ — nơi có mức phí kết nối cao hoặc quy định lỏng lẻo hơn.

Không chỉ CAPTCHA giả, còn có cả bẫy “nút quay lại”​

Chiến dịch này còn dùng JavaScript để chiếm quyền nút Back trên trình duyệt.

Khi người dùng cố gắng quay lại để thoát khỏi trang CAPTCHA giả, trình duyệt sẽ lập tức chuyển họ trở lại trang lừa đảo, khiến họ bị mắc kẹt trong một vòng lặp khó thoát ra.

Ngoài ra, hệ thống còn dùng cookie để theo dõi quá trình “xác minh”, xác định nạn nhân nào phù hợp để tiếp tục khai thác.

Keitaro – công cụ hợp pháp bị biến thành vũ khí lừa đảo​

Infoblox cùng Confiant cũng phát hiện hơn 120 chiến dịch độc hại lợi dụng Keitaro TDS chỉ trong 4 tháng.

Ban đầu, Keitaro là một công cụ theo dõi quảng cáo hợp pháp, nhưng tin tặc đã biến nó thành:

• hệ thống chuyển hướng độc hại
• công cụ phát tán malware
• nền tảng lừa đảo đầu tư crypto
• công cụ đánh cắp ví tiền điện tử
• hệ thống che giấu các chiến dịch spam quy mô lớn

Khoảng 96% lưu lượng spam liên quan Keitaro tập trung vào các trò lừa đảo crypto như:

• airdrop giả
• giveaway giả
• lừa kết nối ví Phantom
• giả mạo token SOL, AURA
• giả mạo nền tảng Jupiter DEX

Các chiến dịch này thường được quảng bá bằng quảng cáo Facebook, bài báo giả và cả video deepfake AI cực kỳ thuyết phục.

 

Được phối hợp thực hiện bởi các chuyên gia của Bkav, cộng đồng An ninh mạng Việt Nam WhiteHat và cộng đồng Khoa học công nghệ VnReview