Để phòng tránh, người dân cần “3 không - 2 cần”: không click link lạ, không cung cấp OTP hay mật khẩu, không thanh toán theo yêu cầu của người lạ; đồng thời kiên quyết xác minh thông qua kênh chính thức và liên hệ cơ quan chức năng khi nghi ngờ. Các tổ chức cần xây dựng chính sách an ninh mạng, đào tạo nhân viên nhận biết lừa đảo, quy trình ứng phó sự cố và phối hợp báo cáo công an khi phát hiện hành vi đáng ngờ. Bài báo dưới đây phân tích chi tiết cơ chế lừa đảo, dấu hiệu nhận biết, ví dụ minh họa, rủi ro đi kèm và khuyến cáo cụ thể cho cá nhân, tổ chức.
1. Cơ chế lừa đảo “trúng thưởng” qua tin nhắn
Đối tượng lừa đảo đóng giả tổ chức uy tín (ngân hàng, ví điện tử, cửa hàng điện máy, tập đoàn kinh doanh…) thông báo người nhận may mắn trúng thưởng xe máy, điện thoại, tiền mặt, voucher… rồi dẫn dụ người dùng bấm vào đường link giả mạo hoặc gọi điện/xác minh để nhận giải. Ví dụ, kẻ xấu có thể gửi SMS/Facebook/Zalo thông báo “chúc mừng bạn đã trúng thưởng 1 xe Liberty” từ chương trình “Tri ân khách hàng” kèm link đến website giả mạo của ngân hàng. Khi nạn nhân truy cập, trang web này yêu cầu đăng nhập Internet Banking hoặc nhập mã OTP để “xác nhận quà tặng”, thực chất là chiếm đoạt tài khoản và rút sạch tiền. Ở kịch bản khác, nạn nhân được chỉ dẫn nộp “phí hồ sơ”, “thuế” hay “phí vận chuyển” bằng cách mua thẻ cào hoặc chuyển khoản để được nhận phần thưởng. Sau khi nhận đủ phí, kẻ gian cắt đứt liên lạc, quà không bao giờ được trao. Theo cảnh báo của Cục Cảnh sát điều tra tội phạm công nghệ cao, tin nhắn lừa trúng thưởng thường kèm đường link lạ, yêu cầu cung cấp thông tin cá nhân (CMND, số tài khoản, mã OTP…) hoặc chuyển tiền trước để nhận thưởng. Quá trình diễn ra nhanh, lợi dụng tâm lý tham, không kiểm tra kỹ lưỡng của nạn nhân mà chiếm đoạt tài sản.
2. Dấu hiệu nhận biết tin nhắn giả mạo
Người dùng có thể nhận diện lừa đảo “trúng thưởng” qua các dấu hiệu sau:
- Tin nhắn/Email thông báo trúng thưởng bất ngờ: Nạn nhân không hề đăng ký tham gia chương trình quay thưởng nào nhưng vẫn nhận thông báo trúng giải lớn. Ví dụ, “Xin chúc mừng tài khoản messenger… đã may mắn nhận được giải đặc biệt từ sự kiện Tuần lễ tri ân khách hàng… Giải thưởng là 1 xe máy SHi và 100–200 triệu đồng”. Chương trình hợp pháp không bao giờ gửi thưởng cho người không đăng ký.
Đường link lạ hoặc tên miền giả mạo: Tin nhắn kèm URL mạo danh trang ngân hàng, thương hiệu, dịch vụ giao hàng… nhưng địa chỉ không giống chính thức. Kẻ gian tạo web giả có giao diện na ná để lừa lấy thông tin đăng nhập, mã OTP. Ví dụ: “Nhập mật khẩu đăng nhập ngân hàng tại liên kết [liên kết giả mạo] để nhận quà” là dấu hiệu điển hình.
Yêu cầu cung cấp thông tin cá nhân, mã OTP: Các thông báo yêu cầu bạn gửi ảnh CMND/CCCD, tên tuổi, số tài khoản, mã PIN, mã OTP hoặc lục thẻ để “xác minh danh tính” hoặc “làm thủ tục nhận giải”. Ngân hàng chính thức "không bao giờ" yêu cầu cung cấp mật khẩu hay mã OTP qua tin nhắn.
Đòi thanh toán trước các khoản phí mơ hồ: Yêu cầu thanh toán phí làm hồ sơ, thuế thu nhập cá nhân, phí vận chuyển, phí xác minh… trước khi nhận thưởng. Thực tế, chương trình trúng thưởng hợp pháp không thu phí trước bất kỳ loại “lệ phí” nào.
Giọng điệu thúc giục, gây lo lắng: Kẻ gian thường tạo cảm giác gấp gáp, đưa ra thời hạn ngắn (ví dụ “30 phút còn hạn nhận thưởng, nếu không giải thưởng sẽ bị hủy”), nhằm khiến nạn nhân không kịp kiểm chứng thông tin.
3. Rủi ro và hậu quả
Tổn thất tài chính: Khi bấm vào link hay nộp phí theo yêu cầu, tiền trong tài khoản/ngân hàng bị rút sạch. Nạn nhân thường không thể thu hồi số tiền này, vì kẻ lừa nhanh chóng khóa số liên lạc và ẩn danh.
Mất dữ liệu cá nhân: Trong quá trình xác minh “nhận thưởng”, nạn nhân bị yêu cầu cung cấp thông tin nhạy cảm (Họ tên, CCCD/CCCD, số tài khoản ngân hàng, mật khẩu, mã OTP…). Những dữ liệu này sau đó bị dùng để đánh cắp tài khoản, đăng ký vay mượn, mở thẻ tín dụng giả mạo hoặc tiếp tục các vụ lừa khác. Nhiều người bị chiếm đoạt danh tính (dùng ảnh, thông tin cá nhân để mở tài khoản, vay nợ, đánh cắp hồ sơ) gây hậu quả nghiêm trọng về đời tư và uy tín.
Tổn hại uy tín doanh nghiệp/ngân hàng: Khi kẻ xấu mạo danh thương hiệu, bất kỳ lỗ hổng trong quy trình bảo mật hoặc đào tạo nhân sự đều có thể bị nghi vấn. Ví dụ, nếu nhân viên ngân hàng vô tình để lộ thông tin hỗ trợ khách, khách hàng bị lừa thì uy tín ngân hàng suy giảm. Tổ chức bị phơi bày rủi ro mất mát dữ liệu khách hoặc tài sản có thể đối mặt kiểm tra, xử lý pháp lý và mất niềm tin từ khách hàng.
Ảnh hưởng tâm lý: Nạn nhân thường mất thời gian, tinh thần khi đối diện với lừa đảo. Họ có thể cảm thấy xấu hổ, hoang mang và lo lắng các thông tin của mình tiếp tục bị lợi dụng.
4. Hướng dẫn hành động cho cá nhân
Kiểm tra và cảnh giác tuyệt đối: Khi nhận được tin nhắn thông báo trúng thưởng hoặc quà tặng bất ngờ, người dùng không nên tin ngay mà cần kiểm tra kỹ. Không nhấp vào đường link đính kèm nếu nghi ngờ. Người dân nên xác minh bằng cách gọi trực tiếp đến tổng đài hoặc đường dây hỗ trợ chính thức của công ty/ngân hàng được nêu.
Tuân thủ nguyên tắc “3 Không - 2 Cần”:
Không bấm vào link lạ, đường dẫn không chính thức.
Không cung cấp thông tin cá nhân nhạy cảm (CMND/CCCD, mật khẩu, mã OTP) cho người lạ.
Không chuyển tiền hay mua thẻ cào theo yêu cầu từ người không rõ danh tính.
Cần xác minh thông tin: Tìm hiểu tên đơn vị trao thưởng, mã số thuế, trang web chính thức của chương trình quà tặng qua Google hoặc liên hệ bộ phận CSKH của nhãn hàng để kiểm chứng.
Cần cảnh giác kể cả khi tin nhắn có vẻ “được xác thực” từ hệ thống; lợi dụng tâm lý này kẻ lừa đảo thường nhắc người dùng không chia sẻ mã quà tặng.
Khóa ngay tài khoản/bảo mật ngân hàng: Nếu nghi ngờ đã cung cấp thông tin đăng nhập cho trang giả mạo, lập tức khóa dịch vụ hoặc đổi mật khẩu. Ví dụ, khách hàng Vietcombank có thể soạn SMS “VCB KHOA DIGIBANK” gửi 6167 để tạm khóa tài khoản điện tử. Các ngân hàng khác cũng có số tổng đài hỗ trợ riêng để khóa tài khoản: người dùng nên gọi đến đường dây nóng của ngân hàng mình (VD: Vietcombank 1900 545413, Agribank 1900 55 88 18…) ngay khi nghi ngờ để được hướng dẫn khóa thẻ, đổi mật khẩu.
Báo cáo và tố giác:
Báo ngay cho ngân hàng: Nếu đã lỡ gửi mã OTP hay mất tiền, liên hệ hotline/chăm sóc khách hàng của ngân hàng để yêu cầu kiểm tra giao dịch và trợ giúp khẩn cấp (chặn giao dịch, truy tìm giao dịch…).
Ghi nhận và báo cơ quan chức năng: Người dân cần lưu giữ bằng chứng (ảnh chụp tin nhắn, ghi âm cuộc gọi, số điện thoại lừa đảo, sao kê giao dịch ngân hàng…) và trình báo ngay Công an địa phương nơi gần nhất để được hướng dẫn và giải quyết.
Trần Diện - Tuấn Anh
