Vào hồi tháng 3/2021, hàng loạt vụ việc mạo danh Brandname ngân hàng để lừa đảo, chiếm đoạt tài khoản người dùng đã bùng phát tại Việt Nam. Các ngân hàng sau đó đã phát đi thông báo hướng dẫn người dùng cần cảnh giác với các đường link nhận được qua tin nhắn, kể cả tin nhắn Brandname của ngân hàng, trong đó đặc biệt nhấn mạnh người dùng cần chú ý chỉ bấm vào các đường link có chứa tên miền chính thức của ngân hàng. Tuy nhiên, theo các chuyên gia Bkav, còn một nguy cơ khác dẫn tới người dùng có thể bị lừa đảo chiếm đoạt tài khoản ngân hàng, đến từ việc sử dụng các đường link rút gọn.
Khảo sát của Bkav, nhiều ngân hàng tại Việt Nam đang sử dụng đường link rút gọn như Bit.ly để gửi các đường link về các chương trình khuyến mãi, tặng quà cho khách hàng. Bên cạnh đó, một số ngân hàng còn hướng dẫn khách hàng tải phần mềm SmartBanking thông qua các đường link rút gọn.
Việc sử dụng dịch vụ đường link rút gọn tuy giúp các tin nhắn, hướng dẫn của ngân hàng trông ngắn gọn hơn, nhưng kèm với đó lại phát sinh một nguy cơ khác có thể bị lợi dụng để lừa đào. Dưới đây là sơ đồ về nguyên lý của link rút gọn:
Sơ đồ nguyên lý sử dụng link rút gọn
Trong sơ đồ này:
Bước 1: Người dùng bấm vào link rút gọn do Ngân hàng A gửi, ví dụ Bit.ly/ ChuoiKyTu
Bước 2: Thiết bị của người dùng sẽ được kết nối đến Server của nhà cung cấp link rút gọn, ở đây là Server của Bit.ly để ánh xạ từ link rút gọn sang link đầy đủ
Bước 3: Thiết bị của người dùng nhận được đường link đầy đủ
Bước 4: Thiết bị của người dùng truy cập server của Ngân hàng A theo đường link đầy đủ đã nhận được ở Bước 3
Theo sơ đồ trên, chỉ có Bước 1 là người dùng chủ động bấm, còn từ Bước 2 đến Bước 4 được diễn ra tự động với người dùng. Trong khi ở Bước 1, khách hàng khi bấm vào link rút gọn lại chưa biết link này có dẫn tới địa chỉ của ngân hàng hay không vì link đầy đủ chỉ xuất hiện từ Bước 3, đây chính là nguy cơ dẫn tới có thể bị lừa đảo. Nếu kẻ xấu cũng chuẩn bị một đường link rút gọn kiểu Bit.ly tương tự, thay đổi các ký tự trong ChuoiKyTu đi thì người dùng rất khó để phân biệt đâu là link thật và đâu là link giả. Từ đó kẻ xấu có thể lừa người dùng truy cập vào các website giả mạo để chiếm đoạt tài khoản ngân hàng.
Để tránh các nguy cơ bị kẻ xấu lợi dụng, lừa đảo người dùng, các chuyên gia Bkav khuyến cáo ngân hàng hạn chế tối đa việc sử dụng link rút gọn, chỉ nên sử dụng link rút gọn trên website chính thức của ngân hàng. Không gửi link rút gọn theo tin nhắn, sử dụng đường link đầy đủ có tên miền “chính chủ” đã được công bố chính thức.
Đối với người dùng, nếu nhận được đường link rút gọn cần mở trong môi trường cách ly an toàn, sau đó kiểm tra lại kỹ website cuối cùng sau khi trình duyệt hoàn thành việc mở link rút gọn, xem link cuối cùng đó có phải đúng là website chính thức của ngân hàng hay không.
Bkav