Cụ thể, sau khi chiếm đoạt SIM và email kẻ gian có thể yêu cầu đổi tên và mật khẩu ngân hàng điện tử để rút tiền.
Đầu tiên, đối tượng lừa đảo tự xưng là nhân viên nhà mạng, gọi đến thông báo hỗ trợ khách hàng nâng cấp SIM điện thoại từ 4G lên 5G kèm theo nhiều tiện ích, quà tặng, thưởng… đồng thời dụ dỗ khách hàng gửi tin nhắn theo hướng dẫn để nâng cấp. Thực chất bước này là để lừa khách hàng kích hoạt eSIM trên thiết bị mới của kẻ tấn công, thay thế cho SIM hiện tại của nạn nhân.
Khi người dân tin tưởng và thực hiện theo hướng dẫn, nhà mạng sẽ gửi tin SMS có mã OTP để xác nhận thay đổi khi kích hoạt SIM mới. Kẻ lừa đảo yêu cầu người dùng đọc mã OTP này, và thuyết phục mã này chỉ phục vụ nâng cấp SIM điện thoại.
Sau khi cung cấp mã OTP, người dùng sẽ bị vô hiệu hoá SIM điện thoại, do kẻ xấu đã chiếm quyền sử dụng SIM.
Trong ít phút sau đó, đối tượng tiếp tục thực hiện đổi mật khẩu email cá nhân của người dùng, đồng thời liên hệ nhà mạng viễn thông để truy vấn số chứng minh nhân dân. Do có quyền kiểm soát cả email và điện thoại, lại có thông tin số chứng minh nhân dân, chúng tiếp tục gọi điện lên tổng đài ngân hàng để cấp lại tên đăng nhập internet banking qua email, cấp lại mật khẩu internet banking qua tin nhắn điện thoại, từ đó chiếm đoạt tài khoản ngân hàng, kích hoạt lại Smart OTP và chuyển hết tiền trong tài khoản của khách hàng sang tài khoản ở các ngân hàng khác.
Trước sự việc trên, VPBank cho biết đã phối hợp cùng khách hàng, nhà mạng viễn thông và các cơ quan chức năng nhằm truy vết nhóm lừa đảo và thực hiện các biện pháp nhằm thu hồi tiền về cho khách hàng cũng như tăng cường các biện pháp giảm thiểu rủi ro cho khách hàng.
Trên thực tế, chiêu thức lừa đảo này đã xuất hiện từ vài năm trước, tuy nhiên thời gian gần đây xảy ra nhiều hơn do nhiều khách hàng có nhu cầu nâng cấp sim 4G, 5G.
Mặc dù các nhà mạng, ngân hàng, công ty fintech đã đưa ra nhiều cảnh báo, song vẫn có một số trường hợp khách hàng sập bẫy kẻ gian. Người dùng Internet cần hết sức thận trọng đối với các yêu cầu đáng ngờ, nhất là những đòi hỏi cung cấp mã OTP, mật khẩu, tài khoản ngân hàng.
Chuyên gia khuyến cáo người dân nên xác minh trực tiếp với các đơn vị cung cấp dịch vụ như ngân hàng và công ty viễn thông trước khi thực hiện các dịch vụ được giới thiệu (ví dụ như nâng cấp SIM điện thoại). Đồng thời không cung cấp thông tin bảo mật như: Mật khẩu truy cập, mã OTP cho bất cứ ai và dưới bất cứ hình thức nào, dù là nhân viên ngân hàng.
Ngoài ra, hiện nay các ngân hàng có sử dụng ứng dụng xác thực thay cho phương pháp xác thực bằng tin nhắn SMS, khách hàng có thể sử dụng phương thức xác thực này.