Đừng Cắn Câu

[CayQueo]

Ðừng cắn câu! Monday, January 17, 2005 Yến Tuyết


“Phishing” là một tiếng lóng dùng để gọi sự ăn cắp những tin tức cá nhân trên computer. Tên gọi này dành cho một tội phạm, qua đó, kẻ gian dùng e mail để lấy những tin tức riêng tư từ một nạn nhân vô tình nào đó.

Một bài báo trên tờ Readers Digest của ký giả Jamie Malanoski đã ghi lại kinh nghiệm của chính cô khi bị lừa, cũng như hướng dẫn chúng ta những hiểu biết để tránh bị lừa đảo hay lợi dụng.

Năm ngoái, Malanoski nhận được một e mail từ eBay, một công ty có mạng lưới đấu giá trên computer, cho biết là số thẻ tín dụng của cô mà họ có, không còn giá trị nữa. Họ yêu cầu Malanoski cập nhật hóa những tin tức của cô trên website của eBay. Khi mở trang nhà này, cô tìm thấy một tờ đơn yêu cầu cung cấp số thẻ tín dụng và một mã số (password) dành cho eBay. Lúc đầu, Malanoski nổi cáu vì nghĩ rằng mình đã từng được nhắc nhở là đừng cho ai biết tin tức cá nhân. Bên cạnh đó, cô biết rằng credit card của cô không hề bị hết hạn, thế nên cô không thèm làm gì cả. Nhưng sau đó, cô lại nhận được một cái email nữa và đến cái email thứ ba thì cô quyết định trả lời vì nghĩ rằng đó chỉ là đòi hỏi của thủ tục hành chánh.

Ba tháng sau, Malanoski nhận được một cú điện thoại của Citibank hỏi là cô có đổi địa chỉ qua Florida hay không? Có mất thẻ tín dụng không? Cô trả lời không cho các câu hỏi đó và được cho biết là cô đã dùng thẻ mua hàng ở St. Louis trị giá 1,100 mỹ kim và không thấy trả nợ. Malanoski kinh ngạc trước việc này và yêu cầu Citibank đóng ngay account của cô cũng như điều tra sự thực sau khi đã phải chứng minh cho ngân hàng này biết là cô chưa bao giờ rời khỏi California. Cô may mắn được Citibank bỏ qua chuyện này vì biết là có sự giả mạo và nhờ đó Malanoski biết được rằng cô là một trong số rất nhiều “con cá” bị cắn câu của những kẻ gian.

Những tên “phishers” hay kẻ gian này thường ăn cắp hai loại căn cước: Một là ăn cắp tên và thương hiệu (logos) của những nhà băng uy tín, những công ty bán hàng trên mạng lưới điện toán (thí dụ như eBay), công ty thẻ tín dụng, công ty cung cấp dịch vụ Internet - Citibank, US bank, Visa và AOL là những công ty thường bị chúng lạm dụng nhất. Thứ hai là tạo dựng một e mail và website giả mạo tên của các công ty đó để lấy tin tức cá nhân như số thẻ credit cards, tên người sử dụng, passwords, số thẻ an sinh xã hội (SSN). Khi đã có đủ những tin tức ấy, chúng cứ tỉnh bơ ăn cắp tiền của người khác hay sắm đồ bằng thích và nạn nhân sẽ là người bị mắc nợ một cách oan ức!

Gartner, Inc., một cơ quan nghiên cứu có trụ sở đặt tại Connecticut, báo cáo là có đến 57 triệu người Mỹ đã bị những kẻ gian nói trên tìm cách lừa gạt hay họ đã từng suýt trở thành nạn nhân, có 11 triệu người thì đã bấm (click) để mở e mail, còn 1.78 triệu người khác thì nhớ lại là họ đã cung cấp những tin tức liên quan đến tài chánh và cá nhân của mình. Trong số này, 980 ngàn người đã bị lường gạt hay bị ăn cắp.

Ông Dave Jevans, chủ tịch của cơ quan Anti Phishing Working Group, một tổ hợp điều tra luật pháp, nói: “Kể từ Tháng Mười năm 2003 trở đi, mức độ những cuộc tấn công của những kẻ gian này càng gia tăng hơn nữa”. Chẳng hạn như trong Tháng Hai 2003 chỉ có 282 vụ, nhưng đến Tháng Bảy 2003 thì tăng lên đến 1,974 vụ. Con số này so ra rất nhỏ với hàng chục ngàn cái e mail đã được gởi đến những người sử dụng computer.

Cơ quan Gartner cho biết là chỉ trong khoảng thời gian 12 tháng, các vụ ăn cắp này gây tốn kém đến 1.2 tỉ mỹ kim. Nhưng đó chỉ là con số ước lượng mà thôi bởi vì có rất nhiều vụ gian lận khác không được khám phá. Phần lớn những người than phiền về một vụ dùng thẻ tín dụng mua hàng với tin tức riêng tư của họ, không hề nhớ là mình có thể đã trả lời cái e mail dụ dỗ đó hàng tháng trước đó, hay có khi cả một năm trước đó. Mà làm sao họ có thể nghi ngờ cho được bởi vì những cái emails ấy có vẻ rất đứng đắn với những câu như: “Cập nhật hóa vấn đề an toàn - Security Update” hay “Những tin tức quan trọng liên hệ đến tài khoản của bạn - Impotrtant information about your account”.

Ngoài ra, những cái emails này còn mang lời nhắn gởi như: “Chúng tôi tiếp tục duy trì việc bảo vệ trương mục của quí vị và cố gắng giảm thiểu việc gian lận trên mạng lưới điện toán của công ty, do đó chúng tôi yêu cầu quí vị hợp tác trong việc cung cấp những tin tức cần thiết bằng cách mở website của chúng tôi ra”.

Một vài cái emails giả mạo này đưa ra những lời cảnh cáo như: “Chúng tôi vừa biết được là có vài người ở ngoại quốc muốn sử dụng trương mục tín dụng của quí vị, do đó chúng tôi có lý do để nghi ngờ là có kẻ thứ ba muốn làm việc gian lận này. Cho nên, chúng tôi vừa thiết lập một hệ thống xác nhận nhằm gia tăng sự tín cẩn (confideltiality), trung thực (integrity) và xác thực (authenticity). Nếu quí vị đúng là chủ nhân của trương mục này xin bấm vào cái nút liên hệ (link) dưới đây”. Và thế là chúng ta bị mắc bẫy ngay!

Một năn trước đây, nếu để ý kỹ, thường những cái emails giả mạo này được viết ra với nhiều lỗi chính tả hay không đúng ngữ vựng cho lắm. Thế nhưng gần đây thì kẻ gian bắt chước giống y như lối hành văn của các công ty mà chúng giả mạo. Một khi lời nhắn gởi được bịa ra xong, những kẻ gian này gởi ra cho 50 ngàn hay cho cả triệu người. Thông thường chỉ cần từ 3% đến 5% trong số người kể trên cắn câu là chúng chỉ cần ăn cắp mỗi người vài ba trăm mỹ kim mà thôi là kẻ gian đó cũng đã có thể kiếm được một số tiền khá bộn chỉ trong một ngày.

Lý do thứ nhất mà những tên Phishers này càng mở rộng tầm hoạt động là vì chỉ có một vài ngàn người mất mỗi người vài trăm mỹ kim nên các công ty không mấy để ý đến. Lý do thứ hai là vì các công ty không muốn bỏ thì giờ và tiền bạc ra để điều tra và chứng minh việc gian lận cho những mất mát mà họ cho không đáng là bao vì đó chỉ là các số tiền nhỏ (cho dù có hàng ngàn vụ như vậy đi nữa).

Dĩ nhiên không có một điều gì bảo đảm là những tên Phisher này sẽ dừng lại ở việc ăn cắp bằng phương tiện tin học không thôi. Ông Jevans báo động rằng một khi kẻ gian đã có được dữ kiện cá nhân của quí vị trong tay, chúng có thể đi xa hơn trong việc dùng tên của bạn để mở những thẻ tín dụng mới khác nữa, hay biết đâu có thể dùng nhà của bạn thế chân để mượn thêm một cái nợ nhì.

Có lẽ bạn muốn biết ai là những kẻ gian - những tên Phishers? Thưa có đủ loại hạng người, vì đây là một tội phạm được thực hiện một cách dễ dàng nếu họ chịu khó táy máy với cái máy computer. Zachag Keith Hill ở Houston Texas chỉ mới 19 tuổi khi ăn cắp thẻ tín dụng của ông Terry Cob. Cậu này giả dạng AOL để lấy tin tức của ông Cob và mua một dàn âm thanh giải trí trị giá 2,500 mỹ kim. Còn Helen Carr, 55 tuổi ở Akron, California, thì bị kết án 46 tháng tù sau khi đã cùng tình nhân của bà ta giả dạng AOL để ăn cắp 429 số thẻ tín dụng để đi du lịch và tiêu xài, sắm sửa thả giàn.

Dĩ nhiên, làn sóng tội phạm này không chỉ giới hạn ở những trẻ vị thành niên hay mấy bà trung niên như trên vì Phishing hiện nay đang trở thành một thương vụ béo bở cho nhiều người. Ông Jevans cho biết thông thường tội phạm này qui tụ một nhóm ba người, một tên thì lo công việc gởi e mails, tên đạo tặc thứ nhì thì lo vấn đề ăn cắp số thẻ tín dụng, tên thứ ba thường là bộ óc chính và lo vấn đề về web graphics.

Phishing thật ra là một phần của nền kinh tế trên thế giới. Ông John Curran, một nhân viên FBI, nói: “Những vụ tấn công người sử dụng computer vô tội xuất phát từ Ðông Âu, Á Châu và Phi Châu. Chúng tôi được nhiều quốc gia hỗ trợ trong việc truy tìm tội phạm, chẳng hạn như Hoa Kỳ và Romania đã hộp tác để điều tra và bắt giữ được một kẻ gian lận nửa triệu mỹ kim”.

Cơ quan Federal Trade Commission đang nỗ lực để thực hiện một chương trình nhằm cảnh giác người tiêu thụ. Tổ chức này đưa ra tòa những kẻ gian lận để đền lại tiền cho nạn nhân và họ cũng làm việc với Bộ Tư Pháp để bắt giữ và tống giam những tên phishers này.

Những công ty thương mại có mạng lưới trên Internet hiện đang đứng đầu trong cuộc chiến đấu chống bọn gian. Họ đã bỏ thì giờ và tiền bạc để thuyết phục khách hàng rằng dịch vụ “e-commerce” là an toàn và hứa hẹn là không bao giờ cung cấp dữ kiện cá nhân cho những kẻ gian. Hiện những công ty lớn như eBay, Brightmail, AOL, Earthlink... đều có những dấu hiệu báo động và nhắc nhở khách hàng về những tên gian tặc đang lăm le làm hại bạn.

Dĩ nhiên cho dù có đề phòng cách mấy đi nữa, không có gì là an toàn 100% cả. Những kỹ sư và chuyên viên làm việc cho các công ty tìm đủ mọi cách để ngăn chận kẻ gian nhưng chúng cũng không kém phần thông minh và quỷ quyệt để dụ dỗ hay lừa bạn vào tròng. (Nghĩa là chẳng hạn như nhà bạn có khóa cửa nhưng những tên phishers sẽ không tìm cách bẻ khóa vào nhà để ăn trộm, mà chúng sẽ dụ cho bạn mở cửa ra và để cho chúng vào nhà lấy đồ bí mật hay tư riêng của bạn).

Cuối cùng, để đề phòng kẻ gian trên Internet, bạn cần phải làm những điều sau đây:

- Thứ nhất, đừng bao giờ cho ai số an sinh xã hội, số credit cards, mã số (password) khi được hỏi qua email cả. Phát ngôn viên của cơ quan eBay cảnh cáo rằng kẻ nào gởi e mail và muốn biết những tin tức như vậy thì bạn cần phải vô cùng cảnh giác.

- Thứ hai: Nếu bạn nhận được một email nói rằng trương mục của bạn có vấn đề thì nên gọi số điện thoại của dịch vụ phục vụ khách hàng - customer services - liệt kê trên tờ tường trình hàng tháng và thảo luận trực tiếp những thắc mắc của bạn với một nhân viên trả lời điện thoại.

Thứ ba: Báo cáo cho công ty mà bạn có trương mục ngay tức khắc khi tình nghi về một emails khác lạ. Có nhiều công ty đồng ý cho phép bạn gởi lại cái email đó cho họ coi, nhờ đó họ sẽ hợp tác với dịch vụ Internet để triệt hạ nó.

Cuối cùng, đừng bao giờ cho ai những dữ kiện cá nhân của mình bằng cách trả lời mấy cái email đòi hỏi tin tức này nọ của bạn. Hãy tránh cắn những cái mồi nhử của kẻ xấu để khỏi bị đau khổ và rắc rối.


Yến Tuyết