Sign in Subscribe
vi

Cảnh giác và Nâng cao nhận thức về Trộm cắp giả mạo danh tính

Admin

12 min read
Cảnh giác và Nâng cao nhận thức về Trộm cắp giả mạo danh tính

Trộm cắp giả mạo danh tính tổng hợp (Synthetic identity theft) là một hình thức lừa đảo chiếm đoạt danh tính bằng cách kết hợp thông tin thật và giả, còn được gọi là ID Frankenstein, trong đó, đối tượng tấn công tạo ra những danh tính giả bằng cách đánh cắp những thông tin thật (ngày sinh nhật, số CMND/CCCD,..) dưới một cái tên giả để thực hiện những hành vi phạm tội.

Thách thức của Giả mạo Danh tính Tổng hợp nằm ở việc nó sử dụng một phần thông tin hợp pháp, khiến việc phát hiện trở nên khó khăn hơn. Tội phạm có thể lợi dụng những danh tính giả mạo này để mở tài khoản ngân hàng, đăng ký vay nợ, cũng như có được thẻ tín dụng, mà không phải trả tiền.

Nhận diện Trộm cắp giả mạo danh tính tổng hợp

Giả mạo Danh tính Tổng hợp bắt đầu bằng việc đánh cắp số CMND/CCCD. Những kẻ lừa đảo có thể đánh cắp thông tin từ các tài liệu bị bỏ đi, mua thông tin từ web đen hoặc lấy cắp thông tin từ các vụ rò rỉ thông tin. Đáng tiếc rằng, việc có được những thông tin này gần như không hề khó khăn.

Tiếp theo, tội phạm mạng tạo một hoặc nhiều tài khoản sử dụng CCCD/CMND, tên, địa chỉ và ngày sinh giả để tạo danh tính giả. Sau khi tạo danh tính tổng hợp giả này, những kẻ lừa đảo sẽ sử dụng nó để vay tiền, đăng ký thẻ tín dụng và xây dựng lịch sử tín dụng cho đến khi bị bắt. Đôi khi chúng có thể sử dụng danh tính giả trong nhiều tháng hoặc nhiều năm trước khi bị phát hiện.

Danh tính tổng hợp giả này cho phép kẻ trộm thực hiện hành vi lừa đảo triệt để, một kế hoạch liên quan đến việc mở tài khoản giả và xây dựng tín dụng tốt ở giai đoạn đầu. Khi kẻ lừa đảo đã thành công xây dựng tín dụng tốt và hạn mức tín dụng cao, chúng sẽ rút hết tiền trong thẻ và biến mất.

Việc tìm ra những kẻ lừa đảo này vô cùng khó khăn vì không có dấu vết nào dẫn đến chúng. Dấu vết duy nhất là người có số CMND/CCCD bị đánh cắp mà tội phạm đã sử dụng. Người bị giả mạo danh tính có thể gặp khó khăn trong việc chứng minh mình vô tội và thông tin giả mạo đó đến từ kẻ trộm vì thông thường, các chủ nợ gửi tài khoản đến cơ quan thu nợ và chúng sẽ xóa nó ngay lập tức nên rất khó để truy vết.

Hiện trạng đánh cắp dữ liệu cá nhân tại Việt Nam

Theo thống kê của công ty An ninh mạng Viettel (VCS), trong năm 2023 có tới hơn 10.500 tài khoản ở lĩnh vực bán lẻ, gần 26.700 tài khoản trong lĩnh vực sản xuất, hơn 11.600 tài khoản trong lĩnh vực giáo dục và gần 30.500 tài khoản trong lĩnh vực tài chính – ngân hàng đã bị xâm nhập và đánh cắp, tăng 200% so với năm 2022 và có nguy cơ gây thiệt hại lên đến 16,5 tỷ đồng. Trong đó thông tin căn cước công dân (CCCD) là mục tiêu chính của các đối tượng tội phạm.

Điều đáng lo ngại là tình trạng mua bán thông tin CCCD, bao gồm cả hình ảnh và dữ liệu cá nhân, đang diễn ra tràn lan trên mạng xã hội và các diễn đàn đen. Nguyên nhân chủ yếu xuất phát từ 2 yếu tố:

  • Lỗ hổng bảo mật: Việc lưu trữ CCCD trên server của một số đơn vị trước đây (theo Nghị định 13) và hệ thống eKYC có thể bị tấn công, tạo cơ hội cho kẻ gian đánh cắp dữ liệu.
  • Thủ tục quản lý lỏng lẻo: Việc nhiều doanh nghiệp, đặc biệt là các cơ sở lưu trú, hoặc kinh doanh nhỏ lẻ, yêu cầu khách hàng cung cấp và lưu giữ CCCD như hình thức đặt cọc càng tạo điều kiện cho việc lộ thông tin.

Hậu quả của việc lộ thông tin CCCD là vô cùng nghiêm trọng. Kẻ gian có thể sử dụng thông tin cá nhân của người dùng để mở tài khoản ngân hàng, vay tín dụng trá hình, thực hiện các hành vi lừa đảo, chiếm đoạt tài sản, mạo danh cá nhân để thực hiện các hành vi vi phạm pháp luật, gây thiệt hại về tài chính, ảnh hưởng đến danh dự, uy tín và thậm chí là tự do của nạn nhân.

Thiệt hại do Trộm cắp Giả mạo Danh tính Tổng hợp

Khi nói đến gian lận danh tính tổng hợp, các tổ chức tài chính phải gánh chịu tổn thất lớn.

Aite Group ước tính rằng ăn cắp danh tính tổng hợp liên quan đến các sản phẩm tín dụng đã cán mốc $1.6 tỷ đô la Mỹ vào năm 2019, và con số này dự kiến sẽ tăng lên 2,4 tỷ đô la Mỹ vào năm 2023.  Việc trộm cắp giấy tờ tùy thân gây ra các vấn đề tài chính cho cá nhân, chẳng hạn như tạm thời hủy tín dụng. Nhưng nếu có những hành động kịp thời, người tiêu dùng vẫn có thể bảo vệ mình khỏi những tổn thất tài chính này.

Tổng thiệt hại về tài sản do Giả mạo Danh tính qua tín dụng được dự đoán liên tục gia tăng trong gia đoạn (Nguồn: Aite Group)

Gánh nặng chính rơi vào các tổ chức tài chính. Vì khách hàng không phải chịu trách nhiệm cho hành vi gian lận nhắm vào họ, nên các ngân hàng, công ty đầu tư và các tổ chức khác phải gánh chịu tổn thất. Những hậu quả không chỉ dừng lại ở vấn đề tiền bạc, mà khách hàng thường có xu hướng đổ lỗi cho các tổ chức liên quan trong vụ trộm cắp danh tính vì đã bảo mật thông tin của họ không tốt.

Thiệt hại về tài chính do đánh cắp danh tính tổng hợp

Các cơ quan cho vay phải chịu tổn thất lớn từ hành vi trộm cắp danh tính tổng hợp vì nhiều lý do khác nhau. Thứ nhất, đây là một trò lừa đảo kéo dài, kẻ lừa đảo nâng hạn mức tín dụng đáng kể trước khi rút toàn bộ số tiền trong đó. Tội phạm thường vay những khoản vay lớn mà không có ý định trả nợ.

Thứ hai, vì số CMND/CCCD thật bị đánh cắp khiến hành vi gian lận trở nên hợp pháp và việc phát hiện sẽ khó khăn và mất nhiều thời gian hơn. Chính vì vậy, những trò lừa đảo này có thể tiếp tục trong nhiều năm, cho phép bọn trộm đánh cắp số tiền khổng lồ.

Rủi ro tuân thủ AML/KYC

Các tổ chức tài chính phải thắt chặt các quy định của pháp luật, bao gồm cả các quy định quản lý AML (Chống rửa tiền) và KYC (Định danh khách hàng). Trộm cắp danh tính khiến việc rửa tiền trở nên dễ dàng và thường không thể theo dõi được, cho phép kẻ trộm có thể “rửa” số tiền bị đánh cắp một cách an toàn hơn bằng cách thông qua các tổ chức tài chính dưới dạng lợi nhuận kinh doanh.

Thắt chặt các an ninh của các tổ chức tài chính với các quy định về quản lý AML và KYC

Mặc dù sự lừa dối này không hoàn toàn có thể đổ lỗi cho các tổ chức tài chính nhưng họ phải có trách nhiệm tiến hành thẩm định. Việc không thực hiện các biện pháp nghiêm ngặt chống lại loại gian lận này có thể dẫn đến các khoản tiền phạt tuân thủ AML/KYC đáng kể. Các biện pháp chủ động chống lại Trộm cắp Danh tính Tổng hợp là trách nhiệm của các tổ chức tài chính, trong khi việc bắt giữ thủ phạm thuộc về nhiệm vụ của cơ quan thực thi pháp luật.

Mất niềm tin vào thương hiệu

Người tiêu dùng không dễ tha thứ khi xảy ra hành vi vi phạm dữ liệu và đánh cắp danh tính, họ thường cho rằng tổ chức bị lừa đảo phải nhận trách nhiệm ngang bằng với thủ phạm. Các công ty liên quan đến hành vi lừa đảo, đặc biệt là các tổ chức tài chính, thường xuyên phải đối mặt với tình trạng mất khách hàng.

Năm 2019, vụ đánh cắp danh tính của công ty tài chính Capital One, một trong những công ty tài chính lớn nhất của Mỹ và đánh cắp thông tin nhạy cảm của hơn 100 triệu tài khoản khách hàng. Chỉ một ngày sau khi vụ lừa đảo bị bại lộ, cổ phiếu Capital One lao dốc và số lượng lớn khách hàng đã tìm đến các công ty đối thủ mà họ cho là an toàn hơn.

Ngăn chặn các thủ đoạn Trộm cắp Danh tính Tổng hợp

Đối với tổ chức:

  • Triển khai công nghệ nhận diện sinh trắc học khi đưa khách hàng mới vào hệ thống: Chứng thực khuôn mặt giúp giảm nguy cơ xâm nhập tài khoản của khách hàng mới.
  • Sử dụng xác thực đa yếu tố: Nâng cao tính năng đăng nhập của khách hàng bằng xác thực đa yếu tố như yêu cầu mã xác thực qua email, SMS ngoài tên đăng nhập, số điện thoại và mật khẩu để tăng cường bảo mật.
  • Áp dụng công nghệ ML để phát hiện hoạt động đáng ngờ: Các thuật toán có thể phát hiện hành vi bất thường của khách hàng như mua sắm ở địa điểm lạ, truy cập từ thiết bị chưa từng sử dụng, mua sản phẩm khác thường. Những trường hợp này có thể yêu cầu xác thực thêm trước khi tiến hành giao dịch.
  • Sử dụng các công cụ uy tín chống Trộm cắp danh tính tổng hợp cho các ứng dụng doanh nghiệp như BShield.

Đối với cá nhân:

  • Theo dõi Báo cáo Tín dụng: Thường xuyên kiểm tra báo cáo tín dụng từ các đơn vị uy tín để đảm bảo không có khoản vay hoặc giao dịch giả mạo nào xuất hiện.
  • Đóng băng tín dụng của bạn: Nếu bạn nghi ngờ mình bị đánh cắp danh tính, bạn có thể liên hệ với ngân hàng và đóng băng tín dụng của mình. Việc này ngăn chặn kẻ gian mở tài khoản lừa đảo dựa trên thông tin của bạn.
  • Cẩn thận về những chia sẻ trên mạng xã hội: tránh chia sẻ quá nhiều thông tin cá nhân trên mạng xã hội, đặc biệt là những thông tin thường dùng để xác nhận danh tính như địa chỉ, tên trường học ...
  • Không cung cấp CMND/CCCD của bạn nếu không cần thiết: Không bao giờ cung cấp số CMND/CCCD của bạn cho bất kỳ ai qua điện thoại, email hoặc tin nhắn nếu bạn không chủ động liên hệ trước.

Bảo vệ tổ chức của bạn khỏi Trộm cắp Danh tính với BShield

Tội phạm mạng đang hoạt động với các thủ đoạn ngày càng tinh vi hơn, khiến các biện pháp bảo mật cơ bản không còn hiệu quả nữa. Chính vì vậy, việc sử dụng các công nghệ bảo mật nâng cao để để bảo vệ toàn diện cho hệ thống của doanh nghiệp là điều quan trọng:

BShield, một giải pháp bảo vệ toàn diện cho ứng dụng khỏi Trộm cắp Danh tính Tổng hợp và các loại đánh cắp định danh khác với các tính năng nổi bật:

  • BShield OS: Cung cấp môi trường thực thi tin cậy (TEE) bảo vệ ứng dụng
  • Bảo mật dữ liệu: Bảo mật Thông tin và Tài sản của Doanh nghiệp và Người dùng
  • Tiện ích Bảo mật: Thiết kế và Tối ưu theo hoạt động kinh doanh của Doanh nghiệp, bao gồm bảo mật API (Đảm bảo toàn vẹn quá trình gửi dữ liệu từ Client đến Server) và Secure ID (Xác thực thẻ CCCD gắn chip thật/giả).
BShield, giải pháp bảo vệ toàn diện 3 lớp cho mọi ứng dụng di động

BShield sẽ giúp ngăn chặn các hình thức tấn công đến doanh nghiệp như truy cập trái phép, ứng dụng giả mạo, rò rỉ dữ liệu, lợi dụng tài sản trí tuệ, trộm cắp danh tính người dùng và trục lợi khuyến mãi, giúp cảnh báo cá nhân và doanh nghiệp về những rủi ro sắp xảy ra và có những biện pháp kịp thời để xử lý.

Để biết thêm thông tin về ứng dụng của BShield, liên hệ với chúng tôi tại: https://www.bshield.io

Sign up for more like this.

Enter your email
Subscribe