Các chuyên gia an ninh bảo mật thường nhấn mạnh vai trò đào tạo, nâng cao nhận thức của người dùng. Nhưng làm việc đó như thế nào để có hiệu quả cao không phải là đơn giản. Andy Welch, một người tự cho là có hiểu biết khá chắc về bảo mật thẻ ngân hàng, đã bị lừa một cách ngoạn mục chỉ vì không biết một chi tiết nhỏ trong các cuộc gọi điện thoại cố định. Ông đã viết về kinh nghiệm đau xót đó trên blog của mình và được tờ The Guardian thuật lại. Nội dung câu chuyện như sau:
Các chuyên gia an ninh bảo mật thường nhấn mạnh vai trò đào tạo, nâng cao nhận thức của người dùng. Nhưng làm việc đó như thế nào để có hiệu quả cao không phải là đơn giản. Andy Welch, một người tự cho là có hiểu biết khá chắc về bảo mật thẻ ngân hàng, đã bị lừa một cách ngoạn mục chỉ vì không biết một chi tiết nhỏ trong các cuộc gọi điện thoại cố định. Ông đã viết về kinh nghiệm đau xót đó trên blog của mình và được tờ The Guardian thuật lại. Nội dung câu chuyện như sau:
Ác mộng về thẻ của tôi bắt đầu từ một buối sáng chủ nhật, khi tôi đang ngồi trên ghế sôpha, cố nhớ lại buổi tối đi chơi hôm trước thì có chuông điện thoại cố định reo. Tôi rất ngạc nhiên vì mới chỉ cho khoảng 3 người có số điện thoại nhà riêng của mình. Và càng ngạc nhiên khi nghe câu “Xin chào ông Welch. Tôi gọi tới từ Dịch vụ thẻ Visa.” Người đàn ông ở đầu dây bên kia tự xưng là Mark, cho tôi biết có một số giao dịch gian lận xảy ra với tài khoản ngân hàng của tôi từ nửa đêm hôm trước và đã lên tới khoảng 1.100 (một ngàn một trăm) bảng Anh. Tôi chưa bao giờ nghe nói đến Dịch vụ thẻ Visa nhưng đã từng nghe về việc bị mất tiền như thế. Liệu có phải tôi bị mất tiền không? Mark xác nhận giao dịch “chính chủ” cuối cùng mà tôi thực hiện là giao dịch rút tiền ở ATM của Barclays ở đối diện ga Highbury & Islington và thậm chí còn đọc cho tôi số tham chiếu của giao dịch đó, rồi bảo tôi gọi điện cho số điện thoại in đằng sau thẻ ngân hàng. Tôi làm đúng như chỉ dẫn và được thông báo là bọn tội phạm đã nhân bản thẻ của tôi tại ATM và đã dùng thẻ giả để tiêu khoảng 400 bảng ở Apple Store trên phố Regent. Việc này có vẻ không hợp lý lắm, chẳng lẽ chúng mất công làm giả thẻ chỉ để tiêu có 400 bảng? Nhưng tôi cũng đã biết khá nhiều vụ kỳ lạ, ai biết được những gì có thể xảy ra? Người đàn ông ở đầu dây bên kia, người tự xưng là Rajesh Khan ở phòng bảo vệ thẻ của HSBC, có đầy đủ thông tin cá nhân của tôi: họ tên, ngày sinh, địa chỉ. Điều đó khiến tôi hoàn toàn tin tưởng và khi anh ta thông báo là có một nhân viên giao nhận đang đến nhà tôi để lấy thẻ về kiểm tra, tôi không cần phải đọc địa chỉ nữa. Thoạt tiên tôi cũng hơi ngần ngừ, nhưng khi anh ta giải thích là phải phân tích kỹ con chip trong thẻ thì tôi cũng cảm thấy có lý. Dù sao tôi cũng tự gọi cho ngân hàng và họ biết rõ các thông tin của tôi. Có lẽ đó cũng là lý do tôi gõ PIN trên bàn phím điện thoại để xác nhận.
“Được rồi, ông Welch, chúng tôi không rõ nhưng chúng tôi cần kiểm tra PIN block.” “Tôi chưa bao giờ nghe nói về điểu đó,” tôi nói, “nhưng cũng được.” Tôi đóng gói thẻ của mình theo yêu cầu – dùng băng dính bao lại và cho vào phong bì để nó trông không giống một chiếc thẻ ngân hàng – và ngồi đợi nhân viên giao nhận đến. Rajesh gọi lại cho tôi 2 lần, một lần để báo chiếc xe sẽ tới trong khoảng 5 phút và một lần nữa để báo là xe đã tới cửa nhà tôi, báo biển số xe và mô tả người lái xe.
Anh chàng Rajesh gọi lại vào buổi chiều hôm đó để thông báo là họ đã nhận được thẻ và tôi sẽ nhận lại tiền sau vài ngày. Tôi nghĩ rằng ngân hàng này làm việc thật tuyệt, dù không thích các ngân hàng nhưng dịch vụ như vậy thì đúng là không chê vào đâu được. Ngày hôm sau, Rajesh báo cho tôi biết có hy vọng bắt được lũ tội phạm nếu chúng mua vé Eurostar để tới Paris. Cảnh sát sẽ đợi chúng ở St Pancras. Thật là tuyệt vời!
Vài ngày nữa trôi qua mà không thấy Rajesh gọi lại. Tôi cảm thấy lo lắng, đến thời điểm này có lẽ thẻ của tôi đã bị lợi dụng tới 4 ngàn bảng, do đó tôi gọi đến ngân hàng bằng điện thoại di động. Sau khi giải thích mọi chuyện cho 2 hay 3 người gì đó, tôi bị một nghe một thông báo lạnh sống lưng “Nhưng thưa ông Welch, thẻ của ông chưa hề được báo là bị mất cắp.” Tôi chưa bao giờ cảm thấy khủng khiếp như thế. Câu chuyện về vụ gian lận thẻ ở Apple Store thực ra không có thực, chúng đã tiêu hàng ngàn bảng ở các cửa hàng quần áo và thậm chí còn mang thẻ đi ăn ở Dixie Fried Chicken mỗi tối. Làm gì có bọn tội phạm nào lại đi ăn gà rán mấy tối liền – điều đó khiến cho ngân hàng không hề nghi ngờ.
Tôi gọi cho cảnh sát và được chuyển tới đường dây chuyên trách về gian lận. Sau khi thuật lại câu chuyện ngớ ngẩn của tôi một lần nữa - khá là xấu hổ khi phải kể cho người khác biết bạn đã giao cả thẻ ngân hàng và PIN cho người đầu tiên yêu cầu điều đó. Tới lúc đó tổng số tiền tôi bị mất đã lên tới 5500 bảng. Cảnh sát cho biết mọi chuyện có thể bắt đầu từ buổi tối tôi chủ nhật đó, khi một tên trong nhóm tội phạm theo dõi tôi rút tiền từ ATM. Sau khi biết chi tiết về giao dịch của tôi, chúng đã theo tôi đến tận cửa nhà nên biết được cả địa chỉ. Cảm giác bị theo dõi khi đang đi chơi tối chủ nhật thật kinh khủng. Mọi việc có thể còn tệ hơn, chúng có thể đã đâm tôi để cướp. Nhưng theo về đến tận nhà để sau đó lừa lấy thẻ thì thật là quá cao tay. Cuộc gọi mới là mấu chốt của trò lừa đảo, đó là một thủ thuật rất thông minh. Khi gọi điện thoại cố định, người gọi mới là người kết thúc cuộc gọi. Lúc người nhận cuộc gọi dập máy, cuộc gọi vẫn chưa kết thúc. Điều đó có nghĩa là khi tôi tìm thẻ để xem số điện thoại của ngân hàng, bọn lừa đảo vẫn giữ máy đợi. Và khi tôi quay số, tôi chỉ đơn thuần tiếp tục cuộc nói chuyện trước đó. Chúng cho tôi nghe tiếng điện thoại kết nối và tiếng chuông reo để tôi tưởng rằng đã gọi đến ngân hàng.
Một gã khác ngồi cạnh gã đã gọi lần đầu, vừa trả lời tôi vừa thầm cười nhạo trong đầu. Tôi đã hoàn toàn tin tưởng gõ số PIN rồi giao thẻ cho bọn chúng khi tưởng rằng mình nói chuyện với nhân viên ngân hàng.
(Cnth theo Tạp chí thnh)