Cảnh giác Caller ID Spoofing: Khi số điện thoại người thân “biết nói dối”

Lừa đảo giả mạo số điện thoại thông qua kỹ thuật Caller ID Spoofing đang trở thành hiểm họa khôn lường, khiến người dùng dễ dàng sập bẫy ngay cả khi màn hình hiển thị đúng số người thân.

Hãy tưởng tượng bạn nhận được một cuộc gọi từ “Mẹ”, từ “Con trai” hoặc thậm chí là từ một cơ quan công an với đầu số chính xác tuyệt đối trong danh bạ. Sự trùng khớp này tạo ra một niềm tin tuyệt đối, khiến chúng ta mất cảnh giác và dễ dàng thực hiện theo những yêu cầu chuyển tiền khẩn cấp. Tuy nhiên, thực tế phũ phàng là màn hình điện thoại lúc này đang “nói dối” bạn.

Sự thật về “ma trận” Caller ID Spoofing

Caller ID Spoofing không còn là những thử nghiệm trong phòng lab mà đã len lỏi vào đời sống thực tại Việt Nam. Thông qua các ứng dụng giả lập số điện thoại phổ biến trên các diễn đàn ngầm, kẻ xấu có thể tùy ý thay đổi số hiển thị khi gọi đi chỉ trong vài giây.

Một cuộc thử nghiệm thực tế trên hai nhà mạng lớn nhất Việt Nam là Viettel và Vinaphone đã cho thấy kết quả đáng báo động:

• Kịch bản 1: Kẻ tấn công giả lập một dãy số “siêu VIP” (ví dụ: 099.999.9999). Kết quả là máy người nhận hiển thị chính xác dãy số này, tạo uy thế giả tạo cho kẻ gọi.
• Kịch bản 2: Giả lập chính xác số điện thoại của một người thân có trong danh bạ người nhận. Khi cuộc gọi đến, điện thoại hiển thị đúng tên “Mẹ” hoặc “Vợ”, dù chủ nhân thực sự của số máy đó đang đứng ngay cạnh nạn nhân.

Giải mã kỹ thuật: Tại sao nhà mạng không chặn được số ảo?

Nhiều người thắc mắc tại sao các nhà mạng lớn lại để lọt những cuộc gọi giả mạo này. Câu trả lời nằm ở “gót chân Achilles” của viễn thông toàn cầu: Giao thức SS7 (Signaling System No. 7).

Được thiết kế từ những năm 1970, SS7 là ngôn ngữ chung để các nhà mạng kết nối cuộc gọi. Tuy nhiên, giao thức này được xây dựng trên một niềm tin ngây thơ rằng mọi nhà mạng tham gia đều trung thực. SS7 thiếu cơ chế xác thực danh tính người gọi thực tế. Khi cuộc gọi đi qua các cổng VoIP (Voice over IP), kẻ xấu có thể can thiệp vào gói tin, thay đổi thông tin định danh trước khi cuộc gọi xâm nhập vào mạng viễn thông truyền thống.

Việc VoIP phổ biến đã biến những thiết bị tổng đài đắt đỏ trước đây thành các phần mềm rẻ tiền trên smartphone, cho phép bất kỳ ai cũng có thể thiết lập một “tổng đài ma” để điều hướng số điện thoại theo ý muốn.

“Combo” hủy diệt: Caller ID Spoofing kết hợp AI Deepfake giọng nói

Nếu trước đây, điểm yếu của kẻ lừa đảo là giọng nói không khớp với người thân, thì nay AI đã xóa bỏ rào cản đó. Bằng cách thu thập mẫu giọng nói từ các video ngắn trên Facebook, TikTok (chỉ cần khoảng 30 giây), thuật toán AI có thể tái tạo chính xác tông giọng, ngữ điệu và thói quen phát âm của nạn nhân.

Điển hình là trường hợp của chị Thu Trang (Cầu Giấy, Hà Nội). Chị nhận được cuộc gọi từ đúng số của con trai đang du học, giọng nói khóc lóc thảm thiết bảo bị cảnh sát giữ và cần tiền bảo lãnh gấp. Sự trùng khớp 100% về cả số điện thoại lẫn giọng nói đã khiến chị suýt chuyển toàn bộ tiền tiết kiệm cho kẻ lừa đảo nếu không có người can thiệp kịp thời.

Giải pháp công nghệ và rào cản quản lý

Để đối phó với vấn nạn này, thế giới đang hướng tới tiêu chuẩn STIR/SHAKEN. Đây là giao thức xác thực danh tính người gọi bằng chữ ký số giữa các nhà mạng. Nếu một cuộc gọi không có chữ ký xác thực từ nhà mạng gốc, hệ thống sẽ tự động đánh dấu “nghi ngờ” hoặc chặn đứng.

Tại Việt Nam, dù Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân đã có hiệu lực, nhưng việc thực thi để ngăn chặn các ứng dụng VoIP giả mạo số điện thoại vẫn còn nhiều khoảng cách. Luật sư Nguyễn Văn Hải (Đoàn Luật sư TP. Hà Nội) cho rằng các nhà mạng cần coi việc bảo vệ người dùng khỏi cuộc gọi giả mạo là một nghĩa vụ pháp lý chứ không đơn thuần là vấn đề kỹ thuật.

Quy tắc “3 giây tỉnh táo” để không bao giờ bị lừa

Trong khi chờ đợi các giải pháp kỹ thuật triệt để, mỗi cá nhân cần tự xây dựng “vắc-xin nhận thức” cho mình. Các chuyên gia an ninh mạng khuyến nghị quy tắc “3 giây tỉnh táo”:

1. Tuyệt đối không tin vào màn hình: Đừng mặc định số hiển thị là đúng, kể cả đó là số của Công an, Viện kiểm sát hay người thân trong gia đình.
2. Xác minh độc lập: Khi nhận yêu cầu chuyển tiền khẩn cấp, hãy cúp máy ngay lập tức.
3. Thực hiện gọi lại thủ công: Tự tay bấm số điện thoại của người thân để gọi lại (TUYỆT ĐỐI KHÔNG bấm gọi lại từ nhật ký cuộc gọi vì kẻ lừa đảo có thể thiết lập chuyển hướng cuộc gọi). Nếu là số ảo, cuộc gọi lại của bạn sẽ kết nối đúng với chủ nhân thực sự của số máy đó.

Ma trận số ảo là lời cảnh báo về sự mong manh của niềm tin trong thời đại số. Khi công nghệ có thể giả mạo mọi thứ, sự hoài nghi tích cực và kiến thức nền tảng chính là vũ khí bảo vệ tài sản và bình an cho bạn và gia đình.

Bạn hoặc người thân đã từng gặp phải những cuộc gọi giả mạo tương tự chưa? Hãy chia sẻ câu chuyện của bạn ở phần bình luận để cùng cộng đồng nâng cao cảnh giác!