Giả mạo BIDV, lừa đảo 500 triệu từ người mua chứng khoán

Chia sẻ với Zing, anh N.H. (35 tuổi, TP.HCM) cho biết sau khi đăng ký tài khoản dịch vụ chứng khoán BSC của BIDV và đang trong thời gian chờ kích hoạt, anh bị một người tự xưng là nhân viên BSC liên hệ qua mạng xã hội.

Lừa đảo 500 triệu đồng dưới vỏ bọc giao dịch chứng khoán

“Họ tự xưng là nhân viên của hãng, cung cấp đường link tải app và nói rằng đây là app nội bộ của BSC, sau đó thêm tôi vào nhóm ‘phím’ các mã cổ phiếu”, anh N.H. kể lại. Vì thời điểm trùng hợp, ngay khi vừa liên hệ ngân hàng để đăng ký tài khoản, nạn nhân mắc bẫy.

Giao diện ứng dụng giả mạo BSC, tải qua đường link do kẻ lừa đảo cung cấp. Ảnh: NVCC.

Kẻ lừa đảo cung cấp đường link app.bktjjlkwijixm.com, một đường link tải tệp cài đặt ứng dụng cho hệ điều hành Android hay apk, và hứa hẹn lợi nhuận từ 10-25%. Cùng với tin nhắn mời chào, tài khoản tự xưng nhân viên BSC đưa ra các tin nhắn giao dịch của các khách hàng khác và đưa nạn nhân vào nhóm có nhiều người thực hiện giao dịch để tạo niềm tin.

Từ 16-20/2, người dùng đã nạp tiền vào ứng dụng giả mạo 7 lần, với tổng số tiền khoảng 170 triệu đồng. Thử rút “lãi” vào 2 ngày 21/2 và 22/2, với số tiền lần lượt là 100.000 đồng và 44 triệu đồng, nạn nhân vẫn được hoàn trả số tiền như yêu cầu và tin tưởng để gửi vào số tiền lớn hơn lên đến khoảng 360 triệu đồng.

Ứng dụng giả mạo lấy logo gần giống bản gốc, và có mã nguồn tiếng Trung Quốc, có thể do các lập trình viên Trung Quốc tạo ra. Ảnh: Ngô Minh Hiếu; NVCC.

Đây cũng là lúc BSC giả mạo cùng các “nhân viên hỗ trợ”, “quản lý tài chính” tự xưng bắt đầu gây khó khăn khi nạn nhân tìm cách rút tiền. Tìm cách rút khoảng 500 triệu đồng vào ngày 1/3, nạn nhân bị từ chối với các lý do “phải chia nhiều lần để quản lý tài chính hợp thức hóa nguồn tiền”, “không thể rút quá 40%”. Không lâu sau, nạn nhân bị chặn liên lạc với khoảng 500 triệu đồng mắc kẹt trong ứng dụng giả mạo.

BSC hiện chưa có phản hồi chính thức nào về vụ việc.

Cần cảnh giác trước đường link lạ, apk

“Toàn bộ những trang app.bktjjlkwijixm.com, app.bmtawjrnknsx.com, app.bblkrenwnbnx.com, tiankangw.com, fskmy.com, ooeyewear.com, ylcywy.com, đều có chung server 122.10.17.99 ở Hong Kong. Các trang này dẫn dụ tải app không chính thức dạng file apk và ipa”, ông Ngô Minh Hiếu, chuyên gia bảo mật từ dự án Chống Lừa Đảo, chia sẻ với Zing sau khi kiểm tra đường link.

“Những đường link này đa phần mã nguồn là tiếng Trung, khả năng cao do lập trình viên Trung Quốc làm ra, cơ sở điều hành lừa đảo có khả năng cao ở Campuchia hoặc Philippines”.

Các đường link có chung server 122.10.17.99 ở Hong Kong (Trung Quốc), có khả năng do các nhóm lừa đảo ở Campuchia, Philippines vận hành. Ảnh: Ngô Minh Hiếu.

Các đường link này được thiết kế cho điện thoại, và phải vào trang bằng điện thoại thì mới hiện thông tin giao diện để cho phép tải app giả mạo BSC của BIDV. Nạn nhân cho biết ban đầu thử mở đường link bằng máy tính thì không thấy nội dung trang, nhưng đã tin lời nhân viên ngân hàng tự xưng và truy cập bằng ứng dụng Chrome trên điện thoại.

“Những app này yêu cầu các quyền khung nguy hiểm, cho phép ứng dụng ghi vào bộ nhớ ngoài, đọc từ bộ nhớ ngoài, đọc trạng thái điện thoại, bao gồm thông tin mạng di động hiện tại, trạng thái của mọi cuộc gọi đang diễn ra và danh sách mọi tài khoản điện thoại đã đăng ký trên thiết bị”, ông Minh Hiếu cho biết.

Chuyên gia lưu ý người dùng điện thoại cần cảnh giác với các đường link tải apk và iap, không tải từ những nguồn không chính thống và chỉ nên tải các ứng dụng từ App Store với hệ điều hành iOS hoặc Play Store với Android.

Theo trang web Cảnh báo an toàn thông tin Việt Nam (thuộc Trung tâm Giám sát an toàn không gian mạng quốc gia), trong gần 13.000 trường hợp lừa đảo trực tuyến ghi nhận trong năm 2022, hình thức lừa đảo phổ biến nhất là giả mạo. Kẻ lừa đảo giả mạo ngân hàng, cơ quan chức năng hoặc các thương hiệu lớn để tạo niềm tin với người dùng.

“Người dùng cần kiểm tra kỹ nguồn web, ví dụ link trên rõ ràng không thuộc BIDV, nếu còn nghi ngờ có thể gọi điện trực tiếp cho hãng để kiểm chứng”, ông Minh Hiếu lưu ý.