Cảnh báo lừa đảo mới: Giả mạo số điện thoại người thân qua cuộc gọi
Cảnh báo lừa đảo: Giả mạo số điện thoại người thân

Cảnh báo lừa đảo mới: Giả mạo số điện thoại người thân qua cuộc gọi

Một bài đăng trên Facebook gần đây đã ghi lại cảnh tượng đáng lo ngại: người dùng sử dụng ứng dụng điện thoại để gọi vào chính máy của mình, với số hiển thị là 0999999999 - một con số hoàn toàn không thuộc về người thực hiện cuộc gọi. Thử nghiệm này được tiến hành trên cả hai mạng di động lớn là Viettel và Vinaphone, và kết quả đều giống nhau: số giả mạo hiển thị y hệt như số thật. Tác giả bài đăng nhấn mạnh rằng đây là một cảnh báo nghiêm túc, không phải hướng dẫn kỹ thuật.

Lỗ hổng 50 năm trong hệ thống viễn thông toàn cầu

Vấn đề thực sự không chỉ nằm ở một ứng dụng cụ thể hay một bài đăng mạng xã hội. Người dùng có thể tùy chỉnh bất kỳ số điện thoại nào họ muốn, và số này sẽ hiển thị trên màn hình của người nhận cuộc gọi. Đây không phải là một hình thức hack mới, mà là một lỗi thiết kế đã tồn tại suốt 50 năm qua.

Kỹ thuật này có tên gọi là Caller ID Spoofing, tức giả mạo số điện thoại hiển thị. Nó không phải là một lỗ hổng vừa được phát hiện, mà là hệ quả trực tiếp từ kiến trúc của hệ thống viễn thông toàn cầu, được thiết kế từ những năm 1970. Giao thức điều khiển cuộc gọi truyền thống (SS7) ra đời năm 1975 không có cơ chế xác thực số người gọi. Khi thực hiện cuộc gọi, mạng điện thoại chỉ hiển thị số mà bên gọi tự khai báo, mà không kiểm tra xem số đó có thực sự thuộc về họ hay không.

Banner rộng Pickt — ứng dụng danh sách mua sắm cộng tác cho Telegram

Sự xuất hiện của VoIP (gọi điện qua internet) đã làm thay đổi hoàn toàn bức tranh này. Với VoIP, bất kỳ ai cũng có thể kết nối vào hệ thống viễn thông toàn cầu và điền số bất kỳ vào trường "From" của gói tín hiệu trước khi gửi đi. Mạng nhận cuộc gọi - bao gồm cả Viettel và Vinaphone - nhận tín hiệu từ đối tác quốc tế và hiển thị đúng số đó mà không có bước kiểm tra thêm.

Mối đe dọa nguy hiểm hơn bao giờ hết

Tất cả các hướng dẫn phòng chống lừa đảo qua điện thoại hiện nay đều dựa trên một giả định: số lạ mới nguy hiểm, số quen thì an toàn. Tuy nhiên, giả định này đang sụp đổ. Kẻ tấn công có thể giả mạo đúng số "Bố", "Mẹ", "Sếp", hay thậm chí là số của ngân hàng MB đã được lưu trong danh bạ. Khi đó, điện thoại sẽ tự động tra danh bạ, tìm thấy kết quả trùng khớp, và hiển thị tên người thân. Không có cảnh báo nào xuất hiện, và mọi thứ trông y như một cuộc gọi bình thường từ người mà bạn tin tưởng.

Mức độ nguy hiểm càng tăng cao khi kỹ thuật này bắt đầu kết hợp với công nghệ giả giọng nói bằng AI. Các hệ thống tổng hợp giọng nói nhân tạo hiện nay chỉ cần một đoạn giọng ngắn để tái tạo lại giọng của một người với độ chân thực đáng lo ngại. Nguồn mẫu giọng có thể đến từ các video đăng tải trên TikTok, Facebook, hay YouTube - những nội dung mà phần lớn người dùng Việt Nam đang chia sẻ hàng ngày mà không nghĩ đến rủi ro tiềm ẩn.

Luật pháp và biện pháp đối phó

Luật An ninh mạng 2025 (số 116/2025/QH15, có hiệu lực từ ngày 01/7/2026) nghiêm cấm việc sử dụng trí tuệ nhân tạo hoặc công nghệ mới để giả mạo video, hình ảnh, giọng nói của người khác trái quy định pháp luật. Nếu Caller ID Spoofing được sử dụng để lừa đảo, người thực hiện có thể bị truy cứu hình sự về tội lừa đảo chiếm đoạt tài sản theo Điều 174 Bộ luật Hình sự 2015 (sửa đổi, bổ sung 2017).

Banner sau bài viết Pickt — ứng dụng danh sách mua sắm cộng tác với hình minh họa gia đình

Tuy nhiên, luật pháp chỉ có thể xử lý hành vi sau khi sự việc xảy ra, chứ không ngăn chặn được cuộc gọi giả mạo. Biện pháp đối phó đang được triển khai tại Việt Nam là chương trình Voice Brandname, dựa trên cơ sở pháp lý từ Nghị định 91/2020/NĐ-CP. Đến nay, 732 số điện thoại di động của cơ quan nhà nước đã được định danh, và một số ngân hàng, doanh nghiệp cũng đã đăng ký tham gia. Tuy nhiên, phạm vi của chương trình này vẫn còn hạn chế, chưa bao phủ toàn bộ tổ chức tài chính và hoàn toàn không áp dụng cho số cá nhân.

Biện pháp phòng thủ hiệu quả nhất

Caller ID Spoofing có một điểm yếu cố hữu không thể vượt qua: kẻ thực hiện không kiểm soát được số điện thoại mà họ đang mạo danh. Họ có thể giả mạo số đó khi gọi đi, nhưng không thể nhận cuộc gọi ngược lại trên số đó. Đây chính là cơ sở của biện pháp phòng thủ duy nhất thực sự hiệu quả: cúp máy và gọi lại chủ động.

Khi nhận được cuộc gọi bất thường - dù số hiển thị là số quen, nội dung có vẻ khẩn cấp, hay giọng nói nghe quen thuộc - nếu có yêu cầu chuyển tiền hoặc cung cấp thông tin nhạy cảm, hãy cúp máy và tự mình gọi lại vào đúng số đó. Nếu người thân thật sự cần giúp đỡ, họ sẽ nghe máy. Nếu không ai nghe hoặc có điều gì đó bất thường, đó là dấu hiệu đủ để dừng lại.

Một thói quen bổ sung có giá trị là thiết lập "mật khẩu gia đình" - một từ hoặc câu ngắn mà chỉ người trong nhà biết. Nếu có cuộc gọi xưng là người nhà và yêu cầu tiền gấp, hãy hỏi mật khẩu này. AI giả giọng nói không có cách nào biết được mật khẩu riêng đó.

Với các giao dịch tài chính qua điện thoại, dù từ bất kỳ số nào hiển thị - kể cả số ngân hàng quen thuộc - nguyên tắc chung là không thực hiện bất kỳ thao tác nào theo yêu cầu trong cuộc gọi đến. Thay vào đó, hãy tự vào ứng dụng ngân hàng hoặc gọi đến hotline chính thức được ghi trên thẻ để xác minh.

Các ứng dụng lọc cuộc gọi phổ biến như Truecaller không giúp ích gì trong tình huống này, vì chúng hoạt động dựa trên cơ sở dữ liệu số spam đã báo cáo. Trong khi đó, số bị giả mạo chính là số người thân trong danh bạ - không ai báo cáo số đó là spam. Tính năng "Silence Unknown Callers" trên iPhone hay bộ lọc số lạ trên Android cũng trở nên vô hiệu, vì số bị spoof được hệ thống xếp vào loại quen biết.

Thiệt hại từ lừa đảo trực tuyến tại Việt Nam ước tính lên đến 18.900 tỷ đồng trong năm 2024, theo báo cáo của Hiệp hội An ninh mạng quốc gia (NCA). Cuộc gọi điện thoại là một trong những kênh phổ biến nhất mà kẻ lừa đảo sử dụng để tiếp cận nạn nhân. Trong bối cảnh công nghệ giả mạo ngày càng dễ tiếp cận, thứ quan trọng nhất không phải là ứng dụng bảo vệ hay thiết bị - mà là thói quen xác minh trước khi hành động.