(Dân trí) - Với kỹ thuật Caller ID Spoofing, kẻ gian có thể mạo danh bất kỳ số ngân hàng hay công an để thực hiện lừa đảo.
Một ứng dụng trên App Store có thể giả mạo số điện thoại hiển thị (Ảnh: Trung Nam).
Caller ID Spoofing (giả mạo số hiển thị) không phải là công nghệ mới. Kỹ thuật này đã tồn tại hơn 20 năm, nhưng sự bùng nổ của giao thức VoIP (truyền giọng nói qua Internet) đã xóa bỏ mọi rào cản về chi phí và trình độ.
Về mặt kỹ thuật, một cuộc gọi được chia làm hai phần độc lập: Danh tính thực của nguồn gọi và thông tin hiển thị. Kẻ gian sử dụng các nền tảng trung gian như Cloud Call hoặc bot Telegram để can thiệp vào trường dữ liệu hiển thị, buộc điện thoại người nhận hiện đúng số hotline của các tổ chức uy tín.
Theo chuyên gia an ninh mạng Ngô Minh Hiếu (Hiếu PC), người gọi không nhất thiết phải dùng đúng số thật của họ khi thực hiện cuộc gọi, nhưng điện thoại người nhận vẫn có thể hiển thị một số khác trên màn hình.
"Nói cách khác, số mình nhìn thấy chưa chắc là số thật đang gọi. Một số cơ quan quản lý viễn thông trên thế giới cũng đã cảnh báo rõ rằng kẻ gian có thể làm cho màn hình hiển thị bất kỳ số hoặc tên nào để tạo cảm giác tin tưởng.
Đáng lo ngại hơn, các cơ chế xác thực số điện thoại của một số dịch vụ quốc tế (như Twilio hay MessageBird trước đây) có thể bị vượt qua nếu khâu kiểm soát không chặt chẽ. Chính vì thế, kẻ xấu có thể thực hiện các cuộc gọi chuyển tiếp: Cuộc gọi được kết nối tới số thật của kẻ lừa đảo nhưng người nhận vẫn thấy số điện thoại của ngân hàng hoặc cơ quan chức năng trên màn hình", ông Ngô Minh Hiếu giải thích.
Khi đã thiết lập được sự tin tưởng ban đầu nhờ số điện thoại "chuẩn", kẻ lừa đảo thường triển khai các kịch bản đánh vào nỗi sợ hãi hoặc lòng tham như thông báo tài khoản bị khóa, yêu cầu xác minh giao dịch bất thường để chiếm đoạt mã OTP hay hăm dọa nạn nhân liên quan đến các vụ án ma túy, rửa tiền, yêu cầu chuyển tiền vào "tài khoản an toàn" để điều tra.
