Số ngân hàng hiện trên màn hình không có nghĩa là ngân hàng đang gọi cho bạn. Gần đây, Chống Lừa Đảo ghi nhận hàng loạt báo cáo về các ứng dụng có khả năng mạo danh số điện thoại. Thực tế, đây không phải là một chiêu trò mới mà là kỹ thuật giả mạo số điện thoại hiển thị, hay còn gọi là Caller ID Spoofing, đã xuất hiện từ nhiều năm trước
Hãy cùng Chống Lừa Đảo tìm hiểu về kỹ thuật này cũng như cách bảo vệ bản thân trước những chiêu trò lừa đảo liên quan.
1. Tổng quan về Caller ID Spoofing
1.1. Kỹ thuật này không mới và đã có lịch sử hơn 20 năm
Caller ID Spoofing không phải phát minh của thời đại smartphone hay của các nhóm lừa đảo hiện nay. Kỹ thuật này đã tồn tại từ lâu, ban đầu trong tay những người có kết nối chuyên dụng đến tổng đài viễn thông. Dịch vụ giả mạo Caller ID công khai đầu tiên ra mắt tại Mỹ vào ngày 1 tháng 9 năm 2004, cho phép thực hiện cuộc gọi giả số ngay từ giao diện web, không cần thiết bị chuyên dụng.
Rào cản kỹ thuật từ đó chỉ ngày càng thấp hơn. Điểm mấu chốt khiến kỹ thuật này trở nên nguy hiểm và phổ biến theo thời gian chính là sự lên ngôi của VoIP (Voice over Internet Protocol), công nghệ truyền giọng nói qua Internet. Trước đây, giả mạo số đòi hỏi kiến thức chuyên sâu về thiết bị viễn thông và chi phí đắt đỏ. Nhưng với sự phổ biến của VoIP và các phần mềm mã nguồn mở, ngày nay bất kỳ ai cũng có thể thực hiện với chi phí và nỗ lực tối thiểu.
Hai thập kỷ qua, kỹ thuật này đã được ghi nhận trong vô số vụ lừa đảo toàn cầu, từ giả danh cảnh sát, công ty điện nước, cán bộ di trú, cho đến mạo danh người thân để yêu cầu chuyển tiền khẩn cấp. Đến mức năm 2019, tổ chức AARP của Mỹ phải cảnh báo: “Bạn không thể tin vào số hiển thị trên màn hình nữa.“
1.2. Bản chất kỹ thuật của Caller ID Spoofing
Từ năm 2021, các chuyên gia của Chống Lừa Đảo đã tiến hành nghiên cứu chuyên sâu về kỹ thuật này trên một số dịch vụ gọi điện qua Internet (VoIP), tổng đài số và dịch vụ thoại đám mây (cloud call). Tại thời điểm đó, vì tính chất nguy hiểm, các chi tiết kỹ thuật đã được giữ kín để tránh bị kẻ xấu lợi dụng.
Về việc giả mạo Caller ID, hiểu ngắn gọn chính là người gọi không nhất thiết phải dùng đúng số thật của họ khi thực hiện cuộc gọi, nhưng điện thoại người nhận vẫn có thể hiển thị một số khác trên màn hình. Nói cách khác, số mình nhìn thấy chưa chắc là số thật đang gọi.
Về mặt kỹ thuật, một cuộc gọi không đơn giản như chúng ta nghĩ. Nó được chia thành hai phần tách biệt: Đường đi thực của cuộc gọi trong mạng viễn thông và Thông tin hiển thị cho người nhận.
Sự khác biệt nằm ở đây:
- Số dùng trong mạng: Là danh tính thực tế của nguồn gọi để nhà mạng kết nối.
- Số hiển thị (Display Number): Là phần thông tin được gửi kèm để hiện lên màn hình điện thoại người nhận.
Thông qua các hệ thống trung gian như VoIP, kẻ gian có thể dễ dàng thay đổi trường dữ liệu hiển thị. Dưới đây là logic kỹ thuật đơn giản mà kẻ lừa đảo sử dụng:
source= Số muốn hiển thị (Ví dụ: Hotline ngân hàng 1900…)destination= Số điện thoại của nạn nhân.callFlow= Nội dung cuộc gọi hoặc lệnh chuyển tiếp.
Trong các dịch vụ như MessageBird (Hình 1, nay đã được fix lỗi) hoặc các dịch vụ Cloud Call, ở bước transfer, kẻ xấu chỉ cần chỉ định trường source là bất kỳ số nào họ muốn. Kết quả? Điện thoại bạn rung lên với đúng tên và số của Ngân hàng, nhưng thực tế kẻ ở đầu dây bên kia đang ngồi trong một “trung tâm lừa đảo” tại Campuchia hoặc một nơi nào đó trên thế giới.
Hiện nay, có rất nhiều cách tiếp cận kỹ thuật này, bao gồm bot Telegram và các ứng dụng trên các kho ứng dụng chính thức như App Store/Google PlayStore.
Một ứng dụng đang được nhắc đến rất nhiều gần đây
Hiện có rất nhiều bot Telegram cung cấp dịch vụ này
2. Lừa đảo sử dụng Caller ID Spoofing
Khi đã giả mạo được số điện thoại, kẻ gian sẽ dựng lên những kịch bản vô cùng tinh vi:
- Giả danh ngân hàng: Thông báo “Tài khoản của bạn vừa có giao dịch bất thường”, “Thẻ tín dụng bị khoá”, yêu cầu “Cần xác minh gấp để bảo vệ tiền”
- Giả danh công an: Hăm dọa bạn liên quan đến một vụ án ma túy hoặc rửa tiền đang điều tra, yêu cầu “Cần hợp tác ngay”
- Giả danh nhân viên chăm sóc khách hàng: Yêu cầu xác nhận thông tin, cung cấp OTP để “xử lý sự cố”
- Giả danh khách hàng gọi vào ngân hàng: Để yêu cầu thay đổi thông tin tài khoản, đặt lại mật khẩu
Điểm chung: Chúng luôn dùng giọng điệu hối thúc để bạn không kịp suy nghĩ, yêu cầu bạn giữ máy liên tục và yêu cầu cung cấp mã OTP/xác minh, thông tin thẻ hoặc yêu cầu chuyển tiền vào “tài khoản an toàn” của cơ quan điều tra.
3. Cách phòng tránh lừa đảo
Đừng cố phân biệt thật giả chỉ bằng số hiển thị!
3.1. Đối với cá nhân
Nếu có bất kỳ dấu hiệu nào trong số trên, hãy cúp máy ngay. Sau đó chủ động gọi lại theo số chính thức trên website, sao kê hoặc kênh liên hệ chính thống để kiểm tra.
LƯU Ý: Các ứng dụng giả mạo CHỈ CÓ THỂ THỰC HIỆN CUỘC GỌI ĐI, KHÔNG THỂ NHẬN CUỘC GỌI. Vì vậy, dù lịch sử cuộc gọi trong điện thoại bạn vẫn hiển thị số bị giả mạo, khi bạn thực hiện gọi lại, người bắt máy sẽ là chính chủ chứ không phải kẻ lừa đảo.
3.2. Đối với ngân hàng, tổ chức tài chính
Rủi ro lớn nhất phía tổ chức là tin vào số hiển thị như một bằng chứng xác minh danh tính khách hàng. Nếu tổng đài cho rằng “gọi từ đúng số đăng ký thì chắc là đúng khách hàng”, kẻ gian hoàn toàn có thể lợi dụng điều này để yêu cầu đổi mật khẩu, thay thông tin, mở khoá tài khoản hoặc khai thác thêm dữ liệu. Vì vậy, các ngân hàng, tổ chức tài chính cần chú ý:
Số điện thoại hiển thị chỉ nên là thông tin tham khảo,
không phải bằng chứng xác minh.
Vietnamese 
English