CAPTCHA giả mạo dẫn người dùng đăng ký dịch vụ tin nhắn trả phí

CAPTCHA vốn được xem là lớp phòng thủ quan trọng nhằm ngăn chặn bot tấn công website. Tuy nhiên, theo cảnh báo từ các đơn vị bảo mật, tội phạm mạng đang tận dụng chính “điểm chạm” xác thực này để triển khai lừa đảo, biến CAPTCHA thành một “lỗ hổng tâm lý” nhằm dẫn dụ người dùng thực hiện các thao tác bất thường.

CAPTCHA giả mạo và yêu cầu thao tác dẫn tới đăng ký dịch vụ

Thay vì yêu cầu người dùng chọn hình ảnh hoặc nhập ký tự như CAPTCHA thông thường, các chiến dịch lừa đảo sử dụng CAPTCHA giả mạo với nội dung đánh lừa. Phổ biến là việc yêu cầu người dùng nhấp vào một nút “Xác minh tôi là con người”, nhưng hành động này thực chất kích hoạt ứng dụng tin nhắn trên điện thoại.

Khi người dùng nhấn nút, trình duyệt sẽ tự động gọi lệnh mở SMS và soạn sẵn một tin nhắn có chứa mã xác thực. Tin nhắn này thường được dùng để đăng ký các dịch vụ giá trị gia tăng (Premium SMS) thông qua đầu số dịch vụ lạ.

Cơ chế lừa đảo: từ một cú chạm đến hóa đơn “khủng”

Quy trình lừa đảo thường bắt đầu khi nạn nhân truy cập vào các trang web giả mạo, có thể là trang xem phim lậu, tải phần mềm bẻ khóa hoặc các trang tin tức giật gân. Tại đây, một cửa sổ CAPTCHA xuất hiện nhằm ngăn người dùng truy cập nội dung.

Sau khi người dùng bấm “Xác minh tôi là con người”, hành vi gửi tin nhắn (do tin nhắn được soạn sẵn) sẽ dẫn đến việc nạn nhân vô tình đăng ký dịch vụ trừ tiền định kỳ từ tài khoản điện thoại. Số tiền sau đó có thể được chuyển cho bên đứng sau thông qua các thỏa thuận chia sẻ doanh thu với các nhà cung cấp viễn thông thiếu kiểm soát.

Không chỉ gây thiệt hại tài chính, việc đăng ký còn có thể làm lộ số điện thoại cá nhân của nạn nhân, tạo điều kiện cho các cuộc gọi rác và tin nhắn lừa đảo tiếp theo.

Chiến dịch có tính lan rộng và tùy biến theo vị trí

Theo báo cáo từ Cloudflare, chiến dịch không chỉ nhắm vào một quốc gia mà đang lan rộng toàn cầu. Các CAPTCHA giả mạo được tùy biến theo ngôn ngữ địa phương để tăng mức độ thuyết phục, khiến cả người dùng cẩn thận cũng dễ bị sập bẫy.

Cơ chế này cũng có thể nhận diện địa chỉ IP của người dùng để hiển thị giao diện CAPTCHA bằng ngôn ngữ tương ứng, từ tiếng Anh, tiếng Pháp đến các ngôn ngữ châu Á.

Dấu hiệu cảnh báo từ các dịch vụ xác thực uy tín

Các chuyên gia bảo mật nhấn mạnh rằng các dịch vụ xác thực uy tín như Google reCAPTCHA hay Cloudflare Turnstile không yêu cầu người dùng gửi tin nhắn SMS hoặc tải xuống tệp tin để hoàn tất xác minh.

Nguyên nhân khiến lừa đảo dễ thành công còn đến từ thói quen “lướt nhanh” của người dùng: thực hiện thao tác xác thực một cách máy móc để nhanh chóng truy cập nội dung. Chính sự thiếu kiên nhẫn này tạo “mảnh đất màu mỡ” cho các hình thức lừa đảo dựa trên kỹ thuật xã hội (social engineering).

Cách bảo vệ bản thân trước CAPTCHA giả mạo

Dưới đây là các nguyên tắc được khuyến nghị để giảm rủi ro:

• Cảnh giác với mọi yêu cầu gửi SMS: Không có quy trình bảo mật chính thống nào yêu cầu người dùng chủ động gửi tin nhắn để vượt qua CAPTCHA. Nếu gặp yêu cầu này, nên đóng trang web ngay lập tức.
• Kiểm tra thanh địa chỉ (URL): Trang lừa đảo thường có tên miền lạ, nhiều ký tự ngẫu nhiên hoặc giả mạo thương hiệu lớn với lỗi chính tả nhỏ.
• Hạn chế truy cập trang web không rõ nguồn gốc: Các nội dung “miễn phí” như phim mới chiếu rạp hoặc phần mềm lậu có thể đi kèm mã độc và kịch bản lừa đảo xác thực.
• Kiểm tra hóa đơn điện thoại thường xuyên: Nếu phát hiện tài khoản bị trừ tiền bất thường, cần liên hệ nhà mạng để kiểm tra và hủy các dịch vụ giá trị gia tăng không do bạn đăng ký.

Việc nhận diện đúng bản chất CAPTCHA giả mạo không chỉ giúp người dùng bảo vệ chi phí cá nhân mà còn góp phần hạn chế sự lan rộng của các mạng lưới tội phạm kỹ thuật số.

Theo Thuỳ Anh

Nguồn: Phụ nữ mới