Mới đây, Tiểu ban Quản lý rủi ro, Chi Hội thẻ, Hiệp hội Ngân hàng Việt Nam tổ chức Hội thảo "Cập nhật các loại hình gian lận, lừa đảo mới trong hoạt động thanh toán thẻ và các biện pháp phòng tránh rủi ro trong những tháng cuối năm 2025".
Tại sự kiện, ông Hoàng Ngọc Bách, Trưởng phòng 4 thuộc Cục An ninh mạng và phòng chống tội phạm sử dụng công nghệ cao (A05) nhấn mạnh, nhiều chủ thể vẫn chưa chú trọng đến việc bảo vệ thông tin cá nhân.
Đáng chú ý, nhiều trường hợp khách hàng đưa thẻ cho nhân viên đi quẹt tại quầy, mà không rõ thẻ có bị mất thông tin hay không.
Ngoài ra, sự đa dạng của hoạt động thanh toán trực tuyến (thương mại điện tử) cũng khiến rủi ro bị rò rỉ các thông tin cơ bản như họ tên, số thẻ, mã CVV/CVC, ngày hết hạn tăng cao.
Nguy hiểm hơn, tội phạm nước ngoài còn có thể trộm chip từ thẻ, gắn lên thiết bị khác để thanh toán, khiến tiền trong thẻ bị rút sạch trong thời gian ngắn.
Ông Bách cho biết thêm, tội phạm, bao gồm cả người nước ngoài đang lợi dụng Việt Nam để trộm tiền từ thẻ của người nước ngoài. Chúng sử dụng máy in thẻ chuyên dụng để ghi dữ liệu thẻ từ lên các thẻ trắng, sau đó dùng các máy POS tại Việt Nam để quẹt thẻ và chiếm đoạt tiền.
Ông Hoàng Ngọc Bách, Trưởng phòng 4, A05 phát biểu tại sự kiệnBàn về những hình thức lừa đảo mới nổi, ông Nguyễn Mạnh Luật, chuyên gia an ninh mạng, CEO Cyberjutsu, thành viên Chongluadao cho biết, tội phạm đang sử dụng các công cụ kỹ thuật tưởng chừng vô hại để che giấu mã độc.
Một trong những chiêu thức phổ biến nhất là lừa đảo qua mã QR. Kẻ gian tạo mã giả các tổ chức chính thống hoặc dán đè lên các địa điểm công cộng, dẫn người dùng tới website giả để đánh cắp thông tin đăng nhập và mã xác thực.
Cùng với đó, thủ đoạn giả mạo Hình ảnh và Giọng nói (Deepfake) ngày càng tinh vi, cho phép tội phạm giả mạo lãnh đạo cấp cao hoặc người quen để lừa nạn nhân chuyển tiền. Với hình thức này, kỹ thuật giả mạo ngày càng tinh vi, khiến việc nhận diện trở nên khó khăn.
Việc giả mạo kênh chính thống cũng lan rộng khi kẻ gian mượn danh các tổ chức uy tín, có độ tin cậy cao nhằm thao túng người dùng.
Sau khi đánh cắp các dữ liệu xác thực như Username, Password, OTP hay mã CVV thông qua website và ứng dụng giả mạo, tội phạm có thể dùng kỹ thuật Real-Time Phishing (tấn công người đứng giữa) để mô phỏng toàn bộ quá trình đăng nhập của nạn nhân. Ngay lập tức, các đối tượng sẽ sử dụng thông tin và mã OTP vừa lấy được để hoàn tất giao dịch.
Một số trường hợp khác, chúng chiếm quyền điều khiển thiết bị của nạn nhân để chiếm đoạt tài sản.
Ông Nguyễn Mạnh Luật nhận định, các cuộc tấn công của tội phạm ngày càng tinh vi, nhắm vào cả hạ tầng ngân hàng và thanh toán không chạm.
Vị chuyên gia này dự báo, trong thời gian tới, tội phạm có khả năng tiếp tục tập trung vào việc lợi dụng AI (Deepfake) và kỹ thuật Clone thẻ tín dụng, sao chép thẻ NFC để thực hiện các giao dịch không cần xác thực người dùng, đồng thời lạm dụng các phần mềm điều khiển từ xa hợp lệ nhằm vượt qua các lớp bảo mật truyền thống.
