Không đánh cắp mật khẩu. Không chiếm đoạt mã OTP. Không cần trực tiếp hack tài khoản ngân hàng. Một hình thức lừa đảo mới đang bùng phát với mức độ nguy hiểm đặc biệt: Nạn nhân chính là người tự tay thực hiện toàn bộ quy trình vay vốn để... dâng tiền cho kẻ xấu.
Biến nạn nhân thành “người vay hộ”
Từ xác thực khuôn mặt (eKYC), ký hợp đồng điện tử, nhận giải ngân cho đến bước chuyển tiền đi... mọi thao tác đều được nạn nhân thực hiện danh chính ngôn thuận trên chính chiếc điện thoại của họ. Đến khi bừng tỉnh, tiền đã nằm gọn trong tài khoản của tội phạm, còn khoản nợ khổng lồ vẫn đứng tên nạn nhân.
Giới chuyên gia an ninh mạng nhận định: Tội phạm công nghệ cao đang chuyển dịch từ việc “đánh cắp tiền sẵn có” sang “đánh cắp năng lực tài chính” của con người.
Nhiều năm qua, người dân liên tục được cảnh báo về những cuộc gọi lừa đảo xin mã OTP, các đường link giả mạo ngân hàng, hay mã độc chiếm quyền điều khiển điện thoại. Điểm chung của các thủ đoạn cũ là vét sạch số dư hiện tại trong tài khoản.
Nhưng hiện nay, các đường dây lừa đảo đã thay đổi tư duy. Chúng không còn quá bận tâm đến số tiền ít ỏi bạn đang có. Thứ chúng thèm khát là: Khả năng vay vốn của bạn.
Trong nền kinh tế số, một công dân không chỉ sở hữu tiền mặt. Họ còn sở hữu hạn mức tín dụng, quyền được vay và khả năng tiếp cận các dịch vụ tài chính. Nếu khai thác được “mỏ vàng” này, tội phạm có thể chiếm đoạt số tiền lớn hơn gấp hàng chục, hàng trăm lần số dư tài khoản thông thường. Đó là lý do kịch bản lừa đảo kiểu mới ra đời: Biến nạn nhân thành kẻ đi vay nợ thay cho chúng.
Cạm bẫy ngọt ngào từ “món quà tri ân”
Kịch bản này thường không bắt đầu bằng sự đe dọa, mà mở đầu bằng một lời hứa, một món quà, chương trình tri ân khách hàng hoặc cơ hội nhận ưu đãi, hỗ trợ tài chính hấp dẫn.
Các đối tượng lừa đảo thường “mượn danh” các thương hiệu lớn, quen thuộc như ví điện tử MoMo, các công ty tài chính, hoặc đơn vị thanh toán uy tín. Đi kèm với đó là đội ngũ “nhân viên chăm sóc khách hàng” cực kỳ chuyên nghiệp: có ảnh thẻ, giấy giới thiệu, logo doanh nghiệp, bộ phận hỗ trợ kỹ thuật và thậm chí là cả tổng đài giả.
MoMo là một trong những thương hiệu thường xuyên bị mạo danh.
MoMo là một trong những thương hiệu thường xuyên bị mạo danh.
Nhiều trường hợp, chúng sử dụng pháp nhân có tên như “EPAY”, “TAB MEDIA” hoặc các đơn vị trung gian nghe rất “kêu” và giống thật. Mục đích của việc này không phải để chứng minh tính pháp lý, mà là để thao túng lòng tin của nạn nhân. Một khi rào cản phòng thủ tâm lý bị phá vỡ, phần còn lại của kịch bản sẽ diễn ra vô cùng dễ dàng.
“Khoản vay sẽ được thu hồi” - Lời thao túng nguy hiểm
Đây chính là mắt xích quan trọng nhất giúp chúng hoàn thành cú lừa. Sau khi lấy được lòng tin, đối tượng sẽ hướng dẫn nạn nhân thực hiện các thủ tục xác thực: Chụp căn cước công dân (CCCD), quét khuôn mặt, xác nhận thông tin cá nhân, đăng nhập hệ thống và ký hợp đồng điện tử. Vì toàn bộ quy trình này đều là THẬT và diễn ra trên các nền tảng tài chính chính thống, nên nạn nhân hoàn toàn mất cảnh giác.
Điều đáng chú ý là các đối tượng thường yêu cầu nạn nhân chọn hạn mức vay cao nhất: Nếu được duyệt 10 triệu đồng thì vay 10 triệu đồng; nếu được duyệt 50 triệu đồng thì vay 50 triệu đồng; nếu được duyệt 100 triệu đồng thì vay 100 triệu đồng… Khi nạn nhân thắc mắc, chúng sẽ đưa ra hàng loạt lý do nghe rất “kỹ thuật” và hợp lý như: “Ngân hàng cần kiểm tra hạn mức”, “Hệ thống cần xác minh tín dụng”, “Khoản vay này chỉ là thử nghiệm và sẽ được hệ thống thu hồi ngay lập tức”...
Nhưng thực tế tàn nhẫn hơn nhiều: Ngay từ thời điểm tiền được giải ngân vào tài khoản, nghĩa vụ trả nợ pháp lý đã phát sinh. Trên đời này không có khái niệm “vay thử”, không có “vay cho vui” và càng không bao giờ có chuyện “chuyển tiền đi rồi hệ thống tự hủy khoản vay”.
Khoảnh khắc sập bẫy - Tiền ra đi, nợ ở lại!
Trong một video cảnh báo gần đây, chuyên gia an ninh mạng Ngô Minh Hiếu (Hiếu PC) đã đặc biệt nhấn mạnh về sự nguy hiểm của thủ đoạn này.
“ Khi tài khoản ngân hàng không còn nhiều tiền hoặc các lớp bảo mật ngày càng được nâng cao, tội phạm bắt đầu tìm cách biến chính nạn nhân thành người đứng tên các khoản vay. Kẻ lừa đảo không cần hack ngân hàng, không cần lấy OTP để rút tiền. Chúng chỉ cần thao túng tâm lý để nạn nhân tự thực hiện các thủ tục vay vốn, sau đó chuyển tiền đến tài khoản do chúng kiểm soát. Kết quả là tiền nằm trong tay tội phạm, còn khoản nợ vẫn đứng tên nạn nhân. Đây là một dạng tấn công tâm lý cực kỳ tinh vi, bởi toàn bộ giao dịch đều được thực hiện hợp pháp trên hệ thống của ngân hàng hoặc công ty tài chính. Nếu bị mất tiền trong tài khoản, nạn nhân còn có cơ hội được ngân hàng hỗ trợ rà soát giao dịch. Nhưng khi chính bạn là người bấm nút xác nhận khoản vay, tự thực hiện eKYC và tự chuyển tiền, thì về mặt pháp lý, đó là giao dịch do bạn thực hiện. Việc chứng minh mình là nạn nhân của lừa đảo sẽ phức tạp hơn rất nhiều.”
Ngay khi tiền vừa được giải ngân vào tài khoản của nạn nhân, kẻ lừa đảo sẽ lập tức bồi thêm cú chốt: “Tài khoản đang bị treo”, “Cần xác minh nguồn tiền”, “Anh/chị vui lòng chuyển số tiền này sang tài khoản kỹ thuật của chúng tôi để ngân hàng tiến hành thu hồi và hủy lệnh vay”.
Nhiều người ngây thơ nghĩ rằng đây chỉ là bước cuối cùng để hoàn tất thủ tục hủy. Nhưng thực chất, đó là khoảnh khắc họ tự tay dâng toàn bộ số tiền vừa đi vay cho tội phạm. Cuộc gọi kết thúc, kẻ lừa đảo bốc hơi: Tiền đi thật, khoản vay là thật, nợ là thật, lãi suất là thật. Chỉ có lời hứa “thu hồi” là giả.
Khi thứ bị đánh cắp không chỉ là tiền
Nhìn bề ngoài, đây là một vụ lừa đảo chiếm đoạt tài sản thông thường. Nhưng bản chất của nó sâu xa và để lại hệ lụy kinh khủng hơn nhiều. Thứ bị tước đoạt không chỉ là số tiền vừa giải ngân, mà là uy tín tín dụng, lịch sử tài chính và quyền được tiếp cận nguồn vốn trong tương lai của nạn nhân.
Một vết nhơ nợ xấu trên hệ thống CIC (Credit Information Center) có thể theo bạn nhiều năm trời, tước đi cơ hội vay mua nhà, mua xe, làm ăn kinh doanh... của chính ban. Đó là lý do vì sao các chuyên gia an ninh mạng và chuyên gia tài chính đưa ra khái niệm: “Đánh cắp năng lực tài chính”.
Điểm đáng sợ nhất nằm ở chỗ: Nạn nhân không hề bị ép buộc, không bị khống chế, điện thoại không bị hack, tài khoản không bị cướp. Họ tự nguyện làm tất cả: tự xác thực, tự ký hợp đồng, tự vay và tự chuyển tiền.
Đây là dạng lừa đảo tấn công vào nhận thức thay vì tấn công vào kỹ thuật. Một khi lòng tin đã bị thao túng, mọi lớp bảo mật tối tân nhất đều trở nên vô dụng. Mã OTP không cứu được bạn, eKYC hay sinh trắc học cũng bằng thừa, bởi chính chủ tài khoản đang bấm nút phê duyệt giao dịch.
Cuộc chiến mới của lực lượng an ninh mạng
Nhiều năm qua, xã hội mới chỉ dừng lại ở việc cảnh báo, hướng dẫn cách bảo vệ mật khẩu, bảo vệ OTP, bảo vệ tài khoản ngân hàng. Giờ đây, những tấm khiên đó đã không còn đủ. Tội phạm sử dụng công nghệ cao đang tiến hóa quá nhanh. Chúng không chỉ muốn số tiền trong ví của bạn, chúng muốn cướp đi danh tính số, hạn mức tín dụng và quyền can thiệp vào tương lai tài chính của bạn.
Để không trở thành nạn nhân tiếp theo, hãy luôn khắc cốt ghi tâm nguyên tắc sống còn này:
Không có bất kỳ ngân hàng, công ty tài chính hay ví điện tử hợp pháp nào yêu cầu khách hàng chuyển khoản số tiền vừa giải ngân sang một tài khoản cá nhân khác để “thu hồi”, “xác minh” hay “hủy khoản vay”.
Ngày xuất bản: 6/6/2026
Tổ chức sản xuất: Vũ Mai Hoàng - Đinh Song Linh
Nội dung: Thanh Trà và Tổ chức Chống Lừa Đảo
Trình bày: Phan Anh - Đức Duy
Built with Shorthand