Lừa đảo và lộ lọt dữ liệu

Dữ liệu bị lộ lọt, đánh cắp tạo điều kiện cho các đối tượng lừa đảo chuyển từ các cuộc tấn công “may rủi” sang các chiến dịch “lừa đảo có chủ đích” với những kịch bản lừa đảo được cá nhân hóa một cách hoàn hảo. Điểm mấu chốt của những phi vụ lừa đảo này không phải nằm ở kỹ thuật phức tạp, cao siêu mà nằm ở khả năng phá vỡ tuyến phòng thủ tâm lý của nạn nhân, hay còn gọi là những chiêu trò thao túng tâm lý. Trong những phi vụ này, dữ liệu bị rò rỉ thường được khai thác bởi hai cách chính.

Cách 1: Giả mạo cơ quan chức năng

Đây là chiêu trò mà những kẻ lừa đảo khai thác những thông tin cá nhân, thông tin định danh cơ bản nhất của nạn nhân, những thông tin mà nhiều người vẫn nghĩ “chỉ có cơ quan chức năng” mới có thể biết. Những đối tượng lừa đảo không cần phải xâm nhập vào điện thoại hay máy tính, chúng chỉ cần thao túng lòng tin của nạn nhân, khiến họ tin rằng chúng thật sự là người có thẩm quyền. Các đối tượng lừa đảo sẽ gọi điện và tự xưng là công an, viện kiểm sát… ngay khi nạn nhân nhấc máy, kẻ lừa đảo sẽ đọc chính xác họ và tên, ngày sinh, số căn cước công dân, địa chỉ nhà của họ...

Với nhiều người khi nghe người lạ ở đầu dây bên kia đọc vanh vách thông tin cá nhân của mình, phản ứng tâm lý đầu tiên là hoảng sợ và tin tưởng. Nạn nhân ngay lập tức nghĩ rằng: "Ôi, chỉ có cơ quan nhà nước mới biết rõ mình như vậy, chắc chắn là thật rồi!". Kẻ lừa đảo đã dùng chính thông tin thật của bạn để tạo ra một cảm giác về tính chính danh. Lúc này, nạn nhân không còn nghi ngờ nữa mà lập tức làm theo mọi yêu cầu, như chuyển tiền để điều tra, xác minh tài khoản...

Đây cũng là một trong những điểm mấu chốt của chiêu trò bắt cóc online nhắm vào lứa tuổi thanh thiếu niên trong thời gian qua. Những kẻ lừa đảo sẽ mạo danh cơ quan chức năng và đe dọa các bạn học sinh, sinh viên bằng những thông tin như có liên quan đến đường dây ma túy, rửa tiền, kèm theo đó là những bằng chứng giả như lệnh bắt giữ có đầy đủ thông tin cá nhân của nạn nhân. Tâm lý hoảng sợ đi kèm với những lời đe dọa tuyệt đối không được nói cho ai biết đã khiến rất nhiều bạn trẻ trở thành nạn nhân của chiêu trò này.

Cách 2: Dựng những kịch bản lừa đảo được cá thể hóa ở mức độ cao

Ở phương thức này, những kẻ lừa đảo có nhiều thông tin của nạn nhân hơn, không chỉ giới hạn ở việc họ là ai, mà còn có thể là họ đã làm gì, họ đang quan tâm đến điều gì, hoặc quan tâm đến ai.

Kẻ lừa đảo có thể thu thập tất cả thông tin của nạn nhân thông qua những bộ dữ liệu bị rò rỉ, bị bán hoặc đánh cắp, từ đó điều tra rộng hơn thông qua mạng xã hội hoặc những trang thông tin khác nhằm hiểu rõ về các mối quan hệ, sở thích cũng như thói quen của họ. Từ đó các đối tượng có thể dễ dàng dựng nên những kịch bản được cá thể hóa ở mức độ cao cho từng nạn nhân, khớp gần như 100% với hoàn cảnh thật. Trong đó, các kịch bản điển hình có thể kể đến như:

- Lừa đảo “giao hàng”: Bằng nhiều con đường, các đối tượng lừa đảo lấy được dữ liệu rò rỉ từ các sàn giao dịch thương mại điện tử. Chúng sẽ biết được tên, địa chỉ, số điện thoại của nạn nhân và quan trọng nhất là tên món hàng hoặc cả mã đơn hàng mà họ vừa đặt. Các đối tượng lừa đảo sẽ gọi điện mạo danh nhân viên giao vận, thông báo đơn hàng (đọc đúng tên món hàng) bị kẹt, yêu cầu họ chuyển một khoản "phí" nhỏ để nhận hàng. Vì mọi thông tin đều trùng khớp, rất nhiều người đã tin và chuyển tiền ngay.

- Lừa đảo “con bị cấp cứu”: Các đối tượng lừa đảo khai thác những “gói dữ liệu” của các phụ huynh bị lộ lọt, đánh cắp từ các trường học, hoặc các trung tâm dạy thêm, bao gồm thông tin về cha mẹ, thông tin của con, trường/lớp/trung tâm con đang theo học. Những đối tượng này sẽ thực hiện những cuộc gọi mạo danh giáo viên hoặc bệnh viện, báo "cháu X., cháu Y. [đọc đúng tên con của nạn nhân] bị tai nạn" và yêu cầu chuyển viện phí gấp. Áp lực tâm lý vì lo cho con, cộng với thông tin quá chính xác (đúng tên con, tên trường) khiến phụ huynh mất khả năng kiểm chứng.

- Lừa đảo việc làm/đầu tư: Các đối tượng lừa đảo mua những gói dữ liệu CV, hồ sơ xin việc hoặc dữ liệu những người gửi tiền tiết kiệm. Chúng thiết kế những kịch bản “trúng tuyển” giả mạo, yêu cầu nộp nhiều khoản phí trước khi gia nhập công ty, hoặc mời gọi các gói đầu tư “siêu lợi nhuận” được thiết kế riêng dựa trên tình hình tài chính của nạn nhân.

"Có thể thấy, để xây dựng được những kịch bản lừa đảo kể trên không phải ngẫu nhiên. Chúng được hỗ trợ bởi một thị trường ngầm (chợ đen), nơi dữ liệu bị rò rỉ được tổng hợp và đóng gói. Tội phạm không chỉ mua danh sách số điện thoại, chúng còn có thể mua các gói dữ liệu được phân loại, tối ưu riêng như danh sách người mới tìm việc, danh sách nhà đầu tư F0, dữ liệu người có bệnh lý nền... để phục vụ thiết kế cho từng kịch bản lừa đảo".

Chuyên gia an ninh mạng Ngô Minh Hiếu (Hiếu PC)

Rõ ràng, lừa đảo tinh vi chỉ là "phần nổi của tảng băng chìm". "Phần chìm" nguy hiểm hơn chính là nạn dữ liệu cá nhân bị rò rỉ, đánh cắp và tồn tại những "chợ đen" mua bán dữ liệu, ở đó thông tin cá nhân bị trao đổi như một món hàng. Tại kỳ họp thứ 9, Quốc hội khóa XV đã thông qua Luật Bảo vệ dữ liệu cá nhân. Luật có hiệu lực thi hành từ ngày 1/1/2026.