Ứng Dụng Gọi Điện Giả Mạo Số Đang Viral: Kỹ Thuật Lừa Đảo Nguy Hiểm Nhất Hiện Nay
Một bài đăng trên mạng xã hội gần đây đã gây xôn xao khi tiết lộ ứng dụng cho phép gọi điện với bất kỳ số điện thoại nào, hiển thị trên máy người nhận y hệt số thật. Thử nghiệm thực tế thành công trên cả mạng Viettel lẫn Vinaphone, cho thấy mối đe dọa an ninh nghiêm trọng từ kỹ thuật Caller ID Spoofing.
Caller ID Spoofing: Lỗ Hổng Thiết Kế 50 Năm Tuổi
Kỹ thuật này không phải là hack mới hay lỗ hổng vừa phát hiện, mà là hệ quả trực tiếp từ kiến trúc hệ thống viễn thông toàn cầu được thiết kế từ thập niên 1970. Giao thức SS7 ra đời năm 1975 không có cơ chế xác thực số người gọi, dựa trên nguyên tắc "tin tưởng mặc định". Sự xuất hiện của VoIP (gọi điện qua internet) đã khiến vấn đề trầm trọng hơn, khi bất kỳ ai cũng có thể điền số bất kỳ vào trường "From" của gói tín hiệu.
Nhà mạng nhận cuộc gọi, kể cả Viettel hay Vinaphone, chỉ hiển thị số mà bên gọi khai báo mà không kiểm tra tính xác thực. Các ứng dụng thực hiện Caller ID Spoofing hoạt động đúng theo thiết kế của hệ thống VoIP, nhưng lợi dụng để giả mạo số điện thoại.
Tại Sao Đây Là Mối Đe Dọa Nguy Hiểm Hơn Bao Giờ Hết?
Mọi hướng dẫn phòng chống lừa đảo qua điện thoại hiện nay đều dựa trên giả định số lạ mới nguy hiểm, số quen thì an toàn. Giả định này đang sụp đổ hoàn toàn. Kẻ tấn công có thể giả mạo đúng số "Bố", "Mẹ", "Sếp" hay ngân hàng đã lưu trong danh bạ. Điện thoại tự động tra danh bạ và hiển thị tên người thân, không có cảnh báo nào xuất hiện.
Mức độ nguy hiểm tăng thêm khi kỹ thuật này kết hợp với AI giả giọng nói. Chỉ cần một đoạn giọng ngắn từ video trên TikTok, Facebook hay YouTube, hệ thống AI có thể tái tạo giọng nói chân thực. Kịch bản tấn công điển hình: điện thoại hiển thị số của mẹ, giọng nói giống hệt, yêu cầu chuyển tiền gấp vì sự cố. Người dùng khó phân biệt thật giả nếu chỉ dựa vào màn hình và tai nghe.
Luật Pháp Và Biện Pháp Đối Phó
Luật An ninh mạng 2025 nghiêm cấm sử dụng AI hoặc công nghệ mới để giả mạo giọng nói trái phép. Nếu Caller ID Spoofing được dùng để lừa đảo, người thực hiện có thể bị truy cứu hình sự về tội lừa đảo chiếm đoạt tài sản, với mức phạt từ cải tạo không giam giữ đến tù chung thân tùy giá trị. Dự thảo Nghị định xử phạt hành chính đang lấy ý kiến còn đề xuất phạt tiền đến 100 triệu đồng với cá nhân vi phạm.
Tuy nhiên, luật chỉ xử lý sau khi sự việc xảy ra, không ngăn được cuộc gọi. Biện pháp phòng thủ hiệu quả nhất dựa trên điểm yếu cố hữu của kỹ thuật này: kẻ giả mạo không kiểm soát được số điện thoại họ mạo danh. Do đó, khi nhận cuộc gọi bất thường yêu cầu chuyển tiền hoặc cung cấp thông tin nhạy cảm, hãy cúp máy và tự gọi lại vào đúng số đó để xác minh.
Thói Quen Phòng Chống Thiết Yếu
Thiết lập mật khẩu gia đình: Một từ hoặc câu ngắn chỉ người trong nhà biết, dùng để xác minh khi có cuộc gọi khẩn cấp. AI giả giọng không thể biết mật khẩu riêng này.
Không thực hiện giao dịch theo yêu cầu cuộc gọi đến: Dù số hiển thị là ngân hàng quen thuộc, hãy tự vào ứng dụng ngân hàng hoặc gọi hotline chính thức để xác minh.
Các ứng dụng lọc cuộc gọi như Truecaller hay tính năng "Silence Unknown Callers" trên iPhone đều vô hiệu trong tình huống này, vì số bị giả mạo được hệ thống xếp vào loại quen biết.
Thiệt hại từ lừa đảo trực tuyến tại Việt Nam ước tính lên đến 18.900 tỷ đồng trong năm 2024, theo báo cáo của Hiệp hội An ninh mạng quốc gia. Trong bối cảnh công nghệ giả mạo ngày càng dễ tiếp cận, thói quen xác minh trước khi hành động trở nên quan trọng hơn bao giờ hết.
