Điểm mặt một số hình thức gian lận thẻ và rủi ro thanh toán

Gian lận bằng số hóa thẻ (Tokenization Fraud): Đối tượng lừa đảo khách hàng cung cấp thông tin thẻ, mã OTP để số hóa thẻ (tạo token) trên các thiết bị thanh toán di động như Apple Pay hoặc Samsung Pay/Google Pay, sau đó thực hiện giao dịch gian lận liên tiếp với giá trị cao.

Gian lận liên quan đến mã độc và NFC: Tội phạm khai thác lỗ hổng bảo mật tại các thiết bị chấp nhận thanh toán (POS) để tạo điều kiện cho các giao dịch gian lận xuất trình thẻ ngoại tuyến (Offline Card-Present Fraud). Chúng sử dụng các ứng dụng di động độc hại như NFCGate để thực hiện các cuộc tấn công NFC relay (chuyển tiếp giao dịch qua NFC).

Tấn công dò số thẻ và kiểm thử tài khoản (Enumeration and Account Testing):

Đối tượng tội phạm sử dụng các công cụ tự động (BOT tự động) để suy diễn số thẻ, dò số CVV hoặc ngày hết hạn liên quan đến một số BIN thẻ nhất định của các tổ chức phát hành.

Các cuộc tấn công với tốc độ cao của giao dịch từ một hoặc nhiều thẻ trong khoảng thời gian ngắn nhằm suy diễn ra thông tin thẻ đúng. Biểu hiện của các cuộc tấn công này là số lượng giao dịch không thành công lớn từ một hoặc nhiều thẻ của cùng một đầu BIN tại một đơn vị chấp nhận thẻ

Trong 6 tháng (từ 10/2024 đến 3/2025), châu Á ghi nhận hơn 418 triệu giao dịch tấn công dò số thẻ (bao gồm cả giao dịch không thành công).

Lừa đảo kỹ thuật số (Digital Skimming): Đối tượng tấn công triển khai mã độc vào trang thanh toán của website bán hàng (checkout page) để thu thập dữ liệu về thông tin thẻ, tài khoản thanh toán và thông tin nhận dạng cá nhân (PII) của khách hàng, bao gồm số thẻ, CVV2 và ngày hết hạn.

Lộ lọt dữ liệu thẻ: Dữ liệu thẻ có nguy cơ bị lộ thông qua các điểm giao dịch lớn, ví dụ như Google, Agoda…

Gian lận trục lợi và giả mạo (Scams/Phishing)

Gian lận trục lợi Google, Facebook: Các hoạt động gian lận này vẫn tiếp diễn với thủ đoạn tinh vi và có tổ chức.

Tấn công tâm lý và thao túng hành vi (Social Engineering/Scams): Đây là hình thức tội phạm lợi dụng yếu tố tâm lý hoặc lòng tin của con người để lừa họ tiết lộ thông tin nhạy cảm như mật khẩu, thông tin thẻ, mã OTP, thông tin cá nhân, để họtự thực hiện và ủy quyền cho giao dịch gian lận hoặc cài đặt các phần mềm độc hai trên máy của họ và ngay sau đó bị chiếm quyền đối với thiết bị. Châu Á được ghi nhận là thị trường có tỷ lệ lừa đảo dưới hình thức này cao nhất trên thế giới.

Các loại hình lừa đảo phổ biến:

Lừa đảo giả danh cơ quan/cán bộ ngân hàng/pháp luật: Giả danh công an, cán bộ ngân hàng hoặc các cơ quan công quyền khác.

Lừa đảo đầu tư/tình cảm/việc làm: Tội phạm tiếp cận, làm quen với nạn nhân qua mạng xã hội, tạo dựng lòng tin rồi lừa họ thực hiện các hành vi chuyển tiền.

Tấn công Giả mạo SMS Branding (Fake Base Station/SMS Branding): Tội phạm sử dụng các thiết bị phát sóng nhỏ gọn, thường đặt trong ô tô di chuyển quanh thành phố. Thiết bị này phát sóng mạnh hơn sóng viễn thông thật. Chúng lợi dụng tín hiệu từ trạm giả này để gửi tin nhắn giả mạo ngân hàng phát hành thẻ hoặc các tổ chức công quyền. Tin nhắn thường chứa nội dung khẩn cấp, thao túng hành vi, khiến người bị hại click vào link và hành động càng nhanh càng tốt, làm giảm khả năng đánh giá thật giả. Công nghệ này lợi dụng điểm yếu của mạng 2G.

Các thiết bị thường được nhập từ nước ngoài, không nhãn mác, không hợp quy và có thể giả lập tên gọi (name branding) của ngân hàng và giả lập dãy số tương tự như số điện thoại để gửi tin nhắn.

Lừa đảo thương mại điện tử (e-commerce scams) và giao hàng (Parcel Delivery Scams).

Ứng dụng AI trong lừa đảo: Sử dụng AI gọi điện lừa đảo; Tạo ra giọng nói giả (Voice Rolling) và video giả mạo (Deepfake) để tạo ra các kịch bản tấn công tinh vi (ví dụ: giả mạo giám đốc để yêu cầu phê duyệt chuyển tiền); Tạo danh tính tổng hợp (kết hợp danh tính thật và giả) để mở tài khoản ngân hàng; BOT tự động tạo hàng nghìn giao dịch dò tìm thông tin thẻ; AI học phân tích hành vi của khách hàng khi thực hiện giao dịch gian lận.

Gian lận thẻ vật lý và rủi ro hệ thống (CP - Card-Present Fraud)

ATM Skimming và sao chép dữ liệu từ thẻ: Sử dụng thiết bị skimming lắp đặt tại máy ATM để đánh cắp dữ liệu.

Gian lận sử dụng công nghệ tiếp cận gần/phi tiếp xúc (NFC/Contactless): Ứng dụng phi pháp NFO-X (hoặc các hình thức tương tự) cho phép truy cập vào giao tiếp NFC của thẻ chip không tiếp xúc (contactless) để thực hiện giao dịch giả mạo từ xa. Tội phạm sử dụng hai thiết bị di động cài ứng dụng NFO-X, một tiếp xúc với thẻ và một tiếp xúc với máy POS để chuyển thông tin chip, cho phép chuyển tiền xuyên biên giới nhanh chóng mà không cần di chuyển thẻ vật lý.

Đối tượng bị tội phạm hướng tới thường là người già, những người bị lừa cài ứng dụng này và làm theo lời đối tượng lừa đảo.

Theo các chuyên gia, những giao dịch này chủ yếu thực hiện trên các thiết bị chạy hệ điều hành Android.

Gian lận liên quan đến đơn vị chấp nhận thẻ (ĐVCNT - Merchant):

Cấu kết gian lận: Sự cấu kết giữa đối tượng gian lận và chủ ĐVCNT để thực hiện giao dịch từ thẻ bị ăn cắp hoặc lộ thông tin.

Rửa tiền xuyên biên giới: Giao dịch thẻ UnionPay (UPI) liên quan đến tội phạm công nghệ cao và rửa tiền đã bùng phát trở lại vào quý 1/2025, với ĐVCNT ngày càng tinh vi hơn trong việc chuẩn bị hóa đơn, chứng từ xuất trình.

Di chuyển thiết bị ra khỏi phạm vi đăng ký với ngân hàng: Thiết bị chấp nhận thanh toán thẻ (POS) có dấu hiệu di chuyển khỏi địa bàn kinh doanh, thậm chí ra nước ngoài, để thực hiện giao dịch gian lận.

Rủi ro hệ thống và an ninh mạng

Ransomware và xâm nhập dữ liệu (Ransomware & Data Breach): Tội phạm tấn công tống tiền (ransomware) vẫn tiếp tục nhắm vào các tổ chức trong hệ sinh thái thanh toán, đánh cắp dữ liệu thanh toán và thông tin nhận dạng cá nhân (PII) để tống tiền hoặc bán trên thị trường ngầm. Các sự cố tấn công đã tăng đột biến hơn 51% trong nửa cuối năm 2024 (từ tháng 7 đến tháng 12/2024) so với 6 tháng trước đó.

Sử dụng tài khoản công ty/tài khoản mở thuê: Gian lận chuyển dịch sang tài khoản công ty để lừa đảo.

Mở thuê tài khoản: Tội phạm lôi kéo các đối tượng yếu thế (như công nhân, người có kinh tế thấp) đi mở tài khoản/thẻ tín dụng tại nhiều ngân hàng để rút tiền mặt, sau đó sử dụng thông tin và mã OTP để chiếm đoạt số tiền lớn (ví dụ: một ổ nhóm bị bắt giữ đã chiếm đoạt 80 tỷ đồng).

Rủi ro thẻ ảo/tiền ảo: Các giao dịch rửa tiền và gian lận có liên quan đến việc chuyển đổi dòng tiền qua tiền ảo/tài khoản ảo. Khó khăn nằm ở việc truy vết và chứng minh tội phạm do các giao dịch này thường được ngụy trang thành giao dịch mua bán tiền ảo hợp pháp.

Rủi ro từ việc cấp phép Token (Provisioning Fraud) với "Delayed Cashout": Tội phạm đã thay đổi hành vi gian lận sau khi cấp token. Thay vì rút tiền ngay lập tức (Immediate Cashout), chúng đợi 7 ngày trở lên (Delayed Cashout) để token không hoạt động, nhằm né tránh các quy tắc rủi ro dựa trên thời gian của token mới được cấp phép.

Gian lận bằng liên kết thẻ trên các ví di động (Provisioning Fraud): Đối tượng lừa đảo khách hàng cung cấp thông tin thẻ, mã OTP để thực hiện liên kết thẻ (tạo token) trên các ví của thiết bị thanh toán di động như Apple Pay hoặc Samsung Pay/Google Pay, sau đó thực hiện giao dịch gian [LTTD1] lận liên tiếp với giá trị cao.

Tuy nhiên, thời gian gần đây, tội phạm đã thay đổi hành vi gian lận, thay vì thực hiện giao dịch ngay lập tức (Immediate Cashout) sau khi tạo token, đối tượng gian lận đợi 7 ngày trở lên (Delayed Cashout) mới thực hiện giao dịch nhằm né tránh các quy tắc rủi ro của các ngân hàng phát hành thẻ khi giám sát giao dịch dựa trên thời gian tạo token.

Tấn công hệ thống ATM bằng thiết bị ngoại vi: Mặc dù chưa ghi nhận tại Việt Nam nhưng trên thế giới (như tại Mỹ) đã xuất hiện loại hình tấn công ATM jackpotting, theo đó đối tượng khai thác lỗ hổng vật lý và phần mềm trong các máy ATM tự động, khiến máy móc nhả tiền. Những cuộc tấn công này có thể xảy ra bất cứ lúc nào và thường diễn ra rất nhanh chóng.