Chỉ trong nửa đầu năm 2013, công ty Pindrop Security đã ghi nhận, tỷ lệ gian lận lên tới 1/2500 cuộc gọi đến các tổng đài phục vụ khách hàng của các tổ chức tài chính. Tuy nhiên, không phải tất cả các cuộc gọi lừa đảo đó đều dẫn đến thiệt hại (trực tiếp) về tài chính. Chỉ có 1/5 cuộc gọi lừa đảo yêu cầu chuyển khoản. Với các chuyên gia phòng chống gian lận, tỷ lệ đó khá cao nhưng từ góc độ của các nhân viên tổng đài, tỷ lệ đó lại là nhỏ. Vì có rất ít cơ hội để thực hiện, việc đào tạo, nhận diện giọng nói và các công nghệ khác để trợ giúp nhân viên tổng đài sẽ không đem lại kết quả khả quan. Nhưng với giới tội phạm thì mỗi cuộc gọi đều là hữu ích, nó giúp chúng hoàn thiện khả năng lừa đảo của mình.

Thiệt hại do gian lận qua điện thoại với các ngân hàng không giống nhau (trung bình mỗi cuộc gọi đến trung tâm phục vụ khách hàng tương ứng với khoảng 0,57 USD thất thoát), nếu ngân hàng nhận 50 ngàn cuộc gọi mỗi ngày thì mức thiệt hại mỗi năm sẽ vượt 10 triệu USD. Đó quả thực là một con số đáng kể. Thiệt hại với mỗi chủ tài khoản cũng khác biệt khá nhiều. Trong 6 tháng đầu năm 2013, công ty Pindrop đã ghi nhận các cố gắng gian lận trong khoảng từ vài ngàn cho tới 800 ngàn USD. Mức thiệt hại trung bình trên mỗi tài khoản ngân hàng là hơn 42,546 USD. 

Các hình thức cuộc gọi gian lận 

Một vụ gian lận qua điện thoại điển hình bao gồm khoảng 5 cuộc gọi, nhưng chỉ có một cuộc gọi dẫn đến thiệt hại tài chính, bốn cuộc gọi còn lại là để chuẩn bị cho kết quả cuối cùng. Công ty Pindrop đã phân loại các kiểu cuộc gọi gian lận như sau:

- Thu thập thông tin để đánh lừa nhân viên tổng đài trong các cuộc gọi tiếp theo – Người gọi có thể dùng thông tin thu thập được để trực tiếp gian lận hoặc đem bán lại cho người khác.

- Thay đổi hồ sơ tài khoản, chẳng hạn như địa chỉ nhà riêng, số điện thoại hay địa chỉ hòm thư điện tử. Việc thay đổi địa chỉ nhà riêng thường được thực hiện trước khi yêu cầu phát hành thẻ mới (để có thể nhận thẻ ở địa chỉ mới). Thay đổi số điện thoại và địa chỉ hòm thư điện tử giúp kẻ gian ngăn các cuộc gọi xác thực kênh ngoài hay các cảnh báo của ngân hàng gửi tới chủ tài khoản. 

- Thay đổi thẻ: yêu cầu phát hành lại thẻ ghi nợ hay thẻ tín dụng do mất thẻ hay thất lạc trong quá trình phát hành.

- Thông báo đi du lịch nước ngoài - đây là hành vi tăng quyền cho kẻ gian. Khi khách hàng thông báo sẽ đi du lịch nước ngoài, ngân hàng sẽ giảm số lượng và thay đổi ngưỡng cảnh báo của hệ thống phát hiện gian lận.

- Chuyển tiền - đây là cuộc gọi “chốt”, hiện thực hóa lợi nhuận của kẻ gian, yêu cầu ngân hàng chuyển tiền tới tài khoản của chúng hoặc tài khoản của những người thứ ba. Một cuộc tấn công lớn vào ngân hàng Bank of the West cuối năm 2012 đã dùng tới tài khoản của 62 người trung gian kiểu này (những người thứ ba được kẻ gian móc nối để nhận tiền và sau đó chuyển tiếp số tiền tới tài khoản khác để ăn hoa hồng, phần lớn những người này không nhận thức được hậu quả nghiêm trọng của việc làm đó).

Phân biệt giữa các cuộc gọi thực của khách hàng và các cuộc gọi gian lận không hề đơn giản. Một số thủ thuật gian lận có thể được phát hiện tương đối dễ, nhưng các chiến thuật khác nhau của kẻ gian có thể làm cho các cuộc gọi gian lận khó bị phát hiện hơn. Dưới đây là những chiến thuật phổ biến nhất trong nửa đầu năm 2013:

- Giả số điện thoại (ANI Spoofing) – Thay đổi số điện thoại gọi tới bằng cách giả Số định danh tự động (Automation Number Identification - ANI) để mạo danh khách hàng hay che giấu số điện thoại đã bị đưa vào danh sách khả nghi. Giả số ANI có hai dạng: dạng thứ nhất, đơn giản là sử dụng một số ngẫu nhiên, dạng này chỉ có tác dụng che giấu số điện thoại thực và có thể phát hiện bằng cách sử dụng danh bạ các số điện thoại đã có. Tuy nhiên, phương pháp ngăn chặn dựa trên danh bạ có thể khiến cho khách hàng sử dụng các số điện thoại mới được cấp bị phiền hà; Dạng thứ hai cao cấp hơn, đó là giả số điện thoại thực của khách, dạng này khó phát hiện hơn nhiều, buộc các ngân hàng phải nhờ đến công nghệ “Phoneprinting” để xác định nguồn gốc và thiết bị thực dùng để thực hiện cuộc gọi (công nghệ này sẽ được giới thiệu ở phần sau của bài).

- Biến đổi giọng nói – Thay đổi ngữ điệu, âm sắc, dùng ngôn ngữ khác hay dùng công nghệ để biến đổi giọng nói nhằm bị phát hiện hay mạo danh khách hàng thực.

- Đánh cắp Mã số An sinh xã hội (SSN) – Kẻ gian dùng mã số SSN để truy cập tổng đài chăm sóc khách hàng. Nếu thành công, chúng có thể chắc chắn là chủ của mã số SSN đó có mở tài khoản tại ngân hàng được thăm dò. Khi cùng một người gọi nhiều cuộc điện thoại khác nhau để thử nhiều mã số SSN khác nhau thì có thể đoán chắc đó chính là kẻ gian.

- Lợi dụng PBX và Gateway – thông qua các cuộc tấn công kỹ thuật hay sử dụng thủ đoạn lừa đảo, kẻ gian chiếm quyền kiểm soát một gateway và dùng nó để gọi tới ngân hàng. Điều đó vừa giúp che giấu số điện thoại vừa tiết kiệm chi phí của các cuộc gọi đường dài.

- Phỏng đoán thông tin khách hàng – Thủ đoạn này khá cổ điển nhưng lại gây hại đáng kể. Kẻ gian sử dụng các thủ đoạn để đánh lừa nhân viên tổng đài, đưa ra các thông tin mang tính “may rủi” để vượt qua các câu hỏi kiểm tra xác thực khách hàng.

Ngoài các dấu hiệu trên đây, một số đặc điểm khác cũng có thể cho thấy người gọi điện có khả năng không phải là khách hàng thông thường:

- Tần suất các cuộc gọi: Những kẻ tấn công thường tập trung vào một tổ chức tài chính và sau đó chuyển sang tổ chức khác. Bởi vậy, sẽ có hiện tượng một “khách hàng” trong nhiều tháng liền không gọi điện tới một tổ chức tài chính nhưng sau đó lại gọi điện liên tục. Tuy nhiên, cũng có những khách hàng thực sự cư xử kiểu đó, chẳng hạn như khi đang tìm cách vay tiền mua nhà.

- Các cuộc gọi nhắm tới nhiều tài khoản khác nhau thường là dấu hiệu của rủi ro cao. Trong nửa đầu năm 2013, những “phôn tặc” độc lập thường nhắm tới 5-10 tài khoản (đôi khi, một số kẻ gian còn tấn công 200 - 300 tài khoản).

- Sự phối hợp của nhiều đối tượng: Hơn một nửa các vụ gian lận qua điện thoại được thực hiện bởi các băng nhóm, chúng thường gồm từ 2 đến 12 thành viên, cùng phối hợp để tấn công một số tài khoản của khách hàng.

- Kiểu cuộc gọi: Phần lớn các cuộc gọi gian lận xuất phát từ điện thoại di động và qua kênh VoIP, trong khi cuộc gọi của khách hàng thường thực hiện từ điện thoại cố định và di động. VoIP rất hấp dẫn với “phôn tặc” vì rẻ tiền và dễ sử dụng ở mọi nơi, mọi lúc. Bên cạnh đó, các phần mềm của các dòng điện thoại thông minh sẽ hỗ trợ đắc lực cho kẻ gian.

Không chỉ bị thiệt hại về tiền, các tổ chức tài chính còn đối mặt với rủi ro về danh tiếng khi bị gian lận qua điện thoại, đặc biệt là trong trường hợp khách hàng phát hiện các vụ việc đó. Ngoài việc tấn công các tổng đài chăm sóc khách hàng, kẻ gian còn đóng giả ngân hàng để trực tiếp tấn công khách hàng của họ. Thủ đoạn này rất khó phát hiện và gần như không thể ngăn chặn (trừ việc nâng cao nhận thức về bảo mật cho khách hàng). Các cuộc gọi kiểu này ngày càng tăng, nếu trong năm 2012, Pindrop Security ghi nhận trên 2,4 triệu ý kiến phàn nàn của khách về các cuộc gọi lừa đảo, thì chỉ nửa đầu năm 2013, con số này đã là trên 2,3 triệu. Trong đó, hơn 73 ngàn lượt người dùng cho biết kẻ gian tự nhận là đại diện của một tổ chức tài chính nào đó. 

Những “phôn tặc” điển hình

Một kẻ gian có biệt danh là “Fritz” đã chuyên giả mạo số điện thoại, có thể là người châu Âu, hành động độc lập và thường chuẩn bị rất kỹ trước mỗi cuộc gọi. Trong vòng 4 tháng, Fritz đã tấn công 15 tài khoản, giả số điện thoại của chủ tài khoản và biết mọi thông tin về họ thậm chí còn biết rõ hơn chính bản thân chủ tài khoản nên có thể vượt qua mọi câu hỏi kiểm tra của ngân hàng. Sau khi yêu cầu ngân hàng chuyển tiền thành công, Fritz dừng hoạt động khoảng một tuần (có lẽ để tìm hiểu về nạn nhân tiếp theo). “Fritz” có thể đã kiếm được gần 1 triệu USD trong năm 2013.

Một “phôn tặc” khác được biết đến với tên gọi “Harvey” thường gọi tới trung tâm hỗ trợ khách hàng của các tổ chức tài chính lớn nhất và sử dụng nhiều thủ thuật công nghệ và phi công nghệ để biến đổi giọng nói. Một cái tên khác là “Susan” đã sử dụng thời gian cả một ngày để gọi điện thoại kiểm tra mối liên kết giữa số SSN (mã số an sinh xã hội của Mỹ) và các tổ chức tài chính. Susan sử dụng thủ đoạn sau: gọi tới tổng đài chăm sóc khách hàng tự động và khi được yêu cầu cung cấp mã SSN thì nhập vào một mã số từ danh sách đã chuẩn bị từ trước. Nếu mã SSN đó bị từ chối, chứng tỏ rằng chủ nhân của mã SSN đó không có tài khoản tại ngân hàng này. Nếu mã SSN được chấp nhận, nhân viên trực tổng đài nghe máy thì Susan liền trả lời là gọi nhầm số và ngắt máy. Không bao giờ tiến tới công đoạn chuyển tiền, Susan chỉ bán thông tin cho những “phôn tặc” khác hoặc chuyển cho cộng sự của mình.

Một trong những nhóm “phôn tặc” thành công nhất từng được biết đến có tên là “West Africa One”, gồm 12 tên làm việc cùng nhau tại cùng một địa điểm (hay một thiết bị), với chiến thuật và kịch bản giống nhau. Nhóm này giả mạo các số điện thoại ở Mỹ bằng các cuộc gọi qua một cổng truyền thông giá rẻ ở Anh. Cuộc gọi thực ra xuất phát từ một vùng của châu Phi (có thể là Nigeria). Chúng thường gọi rất nhiều cuộc điện thoại và đã đánh cắp được hơn một triệu USD từ một tổ chức tài chính duy nhất.

Phương pháp phòng chống của các ngân hàng

Khi số lượng các vụ gian lận qua điện thoại ngày càng tăng lên, với thủ đoạn ngày càng tinh vi, thì các ngân hàng và các công ty tài chính đã bắt đầu nhận diện chúng và tìm ra các biện pháp phòng chống. Một số ngân hàng đã bắt đầu sử dụng các công nghệ cao cấp như nhận dạng cuộc gọi, nhận diện giọng nói để ngăn ngừa các vụ gian lận. Theo báo cáo “Sử dụng sinh trắc học giọng nói và phân tích âm thanh cuộc gọi để bảo mật điện thoại và xác thực cuộc gọi” (Using Voice Biometrics and Phone Printing to Secure Telephony and Authenticate Callers - tháng 7/2013) của Gartner, để có thể ngăn chặn hiệu quả các hoạt động gian lận qua điện thoại, điều quan trọng là liên kết mục tiêu và phối hợp hành động giữa các đơn vị kinh doanh khác nhau trong tổ chức, bao gồm trung tâm chăm sóc khách hàng, nhóm quản lý rủi ro và nhóm phụ trách an toàn thông tin. Tuy nhiên, trong bài viết này, chúng ta chỉ xem xét đến khía cạnh kỹ thuật/công nghệ của giải pháp.

Pindrop Security là một trong số các công ty cung cấp công nghệ Phoneprinting, cho phép phân tích tính chất của âm thanh các cuộc gọi. Giải pháp Phoneprinting của Pindrop xác định 147 đặc tính của tín hiệu âm thanh (và còn tiếp tục bổ sung thêm), tạo nên đặc trưng duy nhất của cuộc gọi. Ngoài ra, công nghệ của Pindrop còn giúp xác định nơi xuất phát cuộc gọi và cuộc gọi được thực hiện qua điện thoại cố định, di động hay một nhà cung cấp dịch vụ VoIP nhất định. Những tính năng mà giải pháp Phoneprinting của Pindrop bao gồm:

- Xác định cuộc gọi giả mạo số điện thoại ngay từ lần đầu tiên: giải pháp có thể xác định vị trí và thiết bị của cuộc gọi ngay trong 15-20 giây đầu tiên, giúp nhân viên tổng đài phát hiện tính gian lận của cuộc gọi ngay lập tức.

- Khả năng phân tích mọi cuộc gọi: công nghệ của Pindrop dựa trên đặc tính âm thanh của cuộc gọi nên có thể dùng được cho mọi cuộc gọi, dù chất lượng của cuộc gọi đó ở mức nào. Các giải pháp sinh trắc học thường đòi hỏi chất lượng cuộc gọi cao nên khó áp dụng cho các cuộc gọi VoIP. Chất lượng truyền tải của một số nhà cung cấp dịch vụ viễn thông không tốt cũng có thể khiến cho các giải pháp nhận diện giọng nói khó phát huy khả năng.

- Khả năng áp dụng trong mọi trường hợp: giải pháp của Pindrop có thể dùng được trong mọi cấu phần của hạ tầng truyền thông (các cuộc gọi đi, đến, trực tiếp hay đã được ghi âm,…) – đảm bảo khả năng phân tích mọi cuộc gọi.

Mặc dù tại các ngân hàng Việt Nam, dịch vụ chuyển tiền chưa được cung cấp qua kênh giao dịch bằng điện thoại nhưng nguy cơ từ các hoạt động gian lận qua điện thoại vẫn hiện hữu đối với khách hàng. Kẻ xấu vẫn có thể tận dụng các thủ đoạn đã nêu ra trên đây để lấy thông tin về số dư tài khoản, lịch sử giao dịch và các thông tin cá nhân khác của khách hàng. Và những thông tin đó có thể là cơ sở để chúng thực hiện các kiểu tấn công thông qua các kênh giao dịch khác của ngân hàng như Internet banking, Mobile banking hay thậm chí là giao dịch tại quầy. Vì thế, việc rà soát các lỗ hổng trong hệ thống giao dịch, kiểm soát rủi ro để ngăn ngừa các loại gian lận đa kênh là cần thiết và nên áp dụng ngay từ bây giờ.