Lừa đảo qua dịch vụ ngân hàng điện tử là gì?

Fraud via electronic banking services Pháp lý ~11 phút đọc

Lừa đảo qua dịch vụ ngân hàng điện tử là gì?

Lừa đảo qua dịch vụ ngân hàng điện tử (tiếng Anh: Fraud via electronic banking services) là hành vi sử dụng các phương thức, thủ đoạn tinh vi trên không gian mạng nhằm chiếm đoạt tiền và tài sản của khách hàng thông qua các kênh ngân hàng số như Internet Banking, Mobile Banking, SMS Banking, ví điện tử hoặc các ứng dụng thanh toán trực tuyến. Đây là loại tội phạm công nghệ cao có tính chất ngày càng tinh vi, xuyên biên giới và gây thiệt hại nghiêm trọng về tài chính cho cả cá nhân, tổ chức tín dụng lẫn toàn bộ hệ thống ngân hàng Việt Nam. Trong bối cảnh chuyển đổi số mạnh mẽ, khi hơn 70% giao dịch tài chính tại Việt Nam được thực hiện qua kênh số (theo số liệu của Ngân hàng Nhà nước), loại hình tội phạm này càng có "đất diễn" rộng lớn và đa dạng.

Các đối tượng lừa đảo thường triển khai hành vi thông qua những thủ đoạn phổ biến như: giả mạo website, ứng dụng ngân hàng (phishing); gửi tin nhắn SMS mạo danh ngân hàng (smishing); gọi điện thoại giả danh nhân viên ngân hàng, cơ quan chức năng (vishing) để yêu cầu khách hàng cung cấp tên đăng nhập, mật khẩu, mã OTP (One-Time Password) hoặc dẫn dụ khách hàng chuyển tiền vào tài khoản "an toàn". Bên cạnh đó, tội phạm còn phát tán mã độc, phần mềm gián điệp cài vào thiết bị của nạn nhân, hoặc lợi dụng lỗ hổng bảo mật (security vulnerabilities) của hệ thống để chiếm quyền kiểm soát tài khoản và thực hiện giao dịch chuyển tiền trái phép. Sau khi chiếm đoạt được tiền, đối tượng thường chuyển tiền qua nhiều tài khoản trung gian (còn gọi là "money mule"), sử dụng tiền mã hóa hoặc rút qua cây ATM, đại lý để xóa dấu vết, gây khó khăn cho công tác điều tra và truy vết của cơ quan chức năng.

Tại Việt Nam, thời gian qua đã ghi nhận nhiều vụ việc điển hình như: đối tượng mạo danh nhân viên ngân hàng gọi điện thông báo tài khoản bị hack rồi dẫn dụ khách hàng chuyển tiền vào "tài khoản bảo mật" để chiếm đoạt hàng trăm triệu đồng; lập trang web giả mạo có giao diện giống hệt website chính thức của ngân hàng để đánh cắp thông tin đăng nhập; hoặc phát tán mã độc thông qua các đường link trong tin nhắn mạo danh tổ chức tài chính, cơ quan thuế. Theo thống kê của Cục An toàn thông tin (Bộ Thông tin và Truyền thông) và Cục An ninh mạng (Bộ Công an), chỉ trong năm 2024 đã ghi nhận hơn 13.000 vụ tấn công lừa đảo liên quan đến ngân hàng điện tử, tăng khoảng 65% so với năm 2023, trong đó nhóm người dùng lớn tuổi, người ít hiểu biết về công nghệ là đối tượng thường bị nhắm đến nhiều nhất.

Thuật ngữ tiếng Anh: Fraud via electronic banking services Lĩnh vực: Pháp lý

Đặc điểm và phân loại

Đặc điểm chung

  • Tính ẩn danh cao: Đối tượng sử dụng SIM rác, tài khoản ảo, VPN, proxy server để che giấu danh tính, địa điểm.
  • Tính xuyên biên giới: Giao dịch có thể diễn ra giữa nhiều quốc gia, gây khó khăn cho việc áp dụng pháp luật một quốc gia.
  • Tốc độ thực hiện nhanh: Chỉ trong vài giây, toàn bộ số tiền trong tài khoản có thể bị rút sạch.
  • Tính chất tổ chức: Phần lớn là hoạt động của các đường dây có tổ chức, phân công vai trò rõ ràng (người gọi điện, người rút tiền, người chuyển tiền...).
  • Khó thu hồi tài sản: Sau khi chuyển tiền, nếu đến nhiều tài khoản trung gian hoặc quy đổi sang tiền mã hóa thì khả năng lấy lại rất thấp.

Phân loại hình thức lừa đảo phổ biến

Hình thức Mô tả Kênh thực hiện Đối tượng thường bị nhắm
Phishing Tạo website/email giả mạo giao diện ngân hàng để lừa cung cấp thông tin đăng nhập Email, website giả, mạng xã hội Người dùng Internet Banking, doanh nghiệp
Smishing Gửi SMS giả mạo ngân hàng kèm đường link độc hại SMS/MMS Khách hàng cá nhân, người lớn tuổi
Vishing Gọi điện giả danh nhân viên ngân hàng/công an yêu cầu cung cấp OTP Điện thoại, cuộc gọi giả lập Người ít tiếp cận công nghệ, người lớn tuổi
Malware/Keylogger Cài phần mềm gián điệp ghi lại thao tác bàn phím Đường link, file đính kèm Tất cả người dùng
Account Takeover (ATO) Chiếm quyền kiểm soát tài khoản ngân hàng trực tuyến Kết hợp nhiều thủ đoạn Khách hàng VIP, doanh nghiệp
Deepfake voice/video Dùng AI giả giọng nói/hình ảnh nhân viên ngân hàng hoặc người thân Cuộc gọi/video call Khách hàng có giá trị cao
Romance/Investment scam Tạo mối quan hệ tình cảm hoặc mời đầu tư sinh lời Mạng xã hội, ứng dụng hẹn hò Người cô đơn, người muốn đầu tư

Các thủ đoạn tinh vi mới xuất hiện

  • Triangulation fraud: Dùng thẻ tín dụng đánh cắp kết hợp với tài khoản nạn nhân để thanh toán.
  • Synthetic identity fraud: Tạo danh tính giả bằng cách kết hợp thông tin thật và giả để mở tài khoản.
  • Authorized Push Payment (APP) scam: Lừa nạn nhân tự nguyện chuyển tiền vào tài khoản lừa đảo.
  • Lợi dụng Open Banking: Tấn công vào API kết nối giữa ngân hàng với bên thứ ba.

Ví dụ thực tế trong ngành ngân hàng

Ví dụ 1: Vụ việc mạo danh nhân viên ngân hàng gọi điện lừa đảo

Đầu năm 2024, tại TP. Hồ Chí Minh ghi nhận vụ việc một khách hàng B (nữ, 67 tuổi) nhận cuộc gọi từ số điện thoại lạ tự xưng là nhân viên "Ngân hàng A". Đối tượng thông báo tài khoản của bà B đang có dấu hiệu bị truy cập trái phép từ nước ngoài và yêu cầu bà chuyển 850 triệu đồng vào "tài khoản bảo mật tạm thời" để xác minh. Do lo sợ mất tiền, bà B đã thực hiện chuyển khoản qua ứng dụng Mobile Banking. Sau khi phát hiện bị lừa, bà B trình báo công an. Qua điều tra, cơ quan chức năng xác định đường dây này hoạt động xuyên quốc gia, sử dụng SIM rác và hệ thống money mule gồm hơn 40 tài khoản trung gian tại nhiều ngân hàng Việt Nam. Đây là bài học điển hình cho thấy thủ đoạn vishing kết hợp kỹ thuật xã hội (social engineering) ngày càng tinh vi, nhắm vào nhóm người lớn tuổi - nhóm đối tượng thường có số dư tiết kiệm lớn nhưng kỹ năng số hóa hạn chế.

Ví dụ 2: Giả mạo website ngân hàng bằng tên miền gần giống

Cuối năm 2023, hệ thống giám sát an ninh mạng của "Ngân hàng B" phát hiện một website có tên miền "ngân-hàng-B-vn.com" (gần giống website chính thức) được đăng ký tại nhà cung cấp dịch vụ nước ngoài. Website này có giao diện sao chép gần như hoàn toàn, bao gồm cả logo, slogan và form đăng nhập. Trong vòng 2 tuần hoạt động, website này đã đánh cắp thông tin đăng nhập của hơn 1.200 tài khoản, gây thiệt hại ước tính hơn 28 tỷ đồng. Ngân hàng B đã phối hợp với Cục An toàn thông tin và các đơn vị cung cấp dịch vụ hosting để gỡ bỏ tên miền, đồng thời cảnh báo khách hàng qua SMS và email. Vụ việc minh chứng cho thủ đoạn phishing ngày càng tinh vi, trong đó đối tượng chỉ thay đổi một vài ký tự trên tên miền (ví dụ: thêm dấu gạch nối, thay đuôi .com.vn thành .vn.com), khiến người dùng khó phân biệt bằng mắt thường.

Ví dụ 3: Tấn công vào doanh nghiệp xuất khẩu qua email Business Email Compromise (BEC)

Tháng 8/2024, một doanh nghiệp xuất khẩu C tại Hà Nội (khách hàng của "Ngân hàng C") nhận được email giả mạo từ đối tác nước ngoài, yêu cầu chuyển khoản thanh toán đơn hàng trị giá 1,2 triệu USD (tương đương khoảng 30 tỷ đồng) vào một tài khoản mới. Sau khi chuyển khoản, doanh nghiệp mới phát hiện email đó được gửi từ một địa chỉ gần giống (thay đổi một ký tự). Toàn bộ số tiền đã được rút qua 5 tài khoản trung gian và quy đổi sang tiền mã hóa chỉ trong vòng 48 giờ. Đây là vụ việc điển hình về BEC scam, cho thấy ngay cả doanh nghiệp có quy trình kiểm soát nội bộ chặt chẽ vẫn có thể trở thành nạn nhân nếu thiếu xác minh đa lớp. Ngân hàng C sau đó đã phối hợp với ngân hàng nước ngoài đóng băng được khoảng 35% số tiền, phần còn lại gần như không thể thu hồi.

Lừa đảo qua dịch vụ ngân hàng điện tử trong các ngôn ngữ khác

Ngôn ngữ Thuật ngữ Phiên âm
Tiếng Anh Fraud via electronic banking services /frɔːd ˈvaɪə ˌɪlɛkˈtrɒnɪk ˈbæŋkɪŋ ˈsɜːvɪsɪz/
Tiếng Nhật 電子銀行サービスを通じた詐欺 Denshi ginkō sābisu o tsūjita sagi
Tiếng Hàn 전자 은행 서비스를 통한 사기 Jeonja eunhaeng seobiseu-reul tonghan sagi
Tiếng Trung 通过电子银行服务进行的欺诈 Tōngguò diànzǐ yínháng fúwù jìnxíng de qīzhà
Tiếng Tây Ban Nha Fraude a través de servicios bancarios electrónicos /ˈfɾa.ðe a tɾaˈβɛs ðe seɾˈβi.sjos baŋˈka.ɾjos e.lekˈtɾo.ni.kos/

Câu hỏi thường gặp

Lừa đảo qua dịch vụ ngân hàng điện tử khác gì với tội đánh bạc qua mạng?

Lừa đảo qua dịch vụ ngân hàng điện tử nhằm mục đích chiếm đoạt tài sản của khách hàng thông qua các thủ đoạn lừa gạt trên không gian mạng, có thể truy cứu theo Điều 290 và Điều 290a Bộ luật Hình sự 2015. Trong khi đó, tội đánh bạc và tổ chức đánh bạc qua mạng (Điều 322, 323 BLHS 2015) là hành vi đánh bạc hoặc tổ chức cho người khác đánh bạc bằng phương tiện điện tử nhằm mục đích giải trí, kiếm lợi nhuận từ hoạt động cờ bạc. Mặc dù cả hai đều sử dụng không gian mạng, nhưng bản chất pháp lý và mục đích hành vi hoàn toàn khác nhau: lừa đảo tập trung vào chiếm đoạt tài sản trái phép, còn đánh bạc là hoạt động cá cược vi phạm pháp luật.

Khi nào cần biết về Lừa đảo qua dịch vụ ngân hàng điện tử?

Người ôn thi ngân hàng cần nắm vững thuật ngữ này khi học các môn liên quan đến pháp lý ngân hàng, an toàn thông tin, quản trị rủi ro và kiến thức chuyên môn cho vị trí giao dịch viên, chuyên viên tín dụng, chuyên viên phòng chống gian lận (fraud analyst) hoặc chuyên viên pháp chế. Ngoài ra, trong bối cảnh thi tuyển ngân hàng ngày càng đề cao câu hỏi tình huống về bảo mật và tuân thủ, việc hiểu rõ các hình thức lừa đảo cũng giúp ứng viên đưa ra câu trả lời thuyết phục, thể hiện năng lực ứng dụng thực tế.

Lừa đảo qua dịch vụ ngân hàng điện tử ảnh hưởng thế nào đến khách hàng?

Đối với khách hàng cá nhân, thiệt hại trực tiếp là mất tiền trong tài khoản, có thể lên đến hàng trăm triệu đến hàng tỷ đồng, đặc biệt với những người không kịp trình báo hoặc chuyển tiền tự nguyện. Bên cạnh đó, nạn nhân còn chịu tổn thương tâm lý, mất niềm tin vào các kênh ngân hàng số, ảnh hưởng đến uy tín thương hiệu ngân hàng và toàn hệ thống tài chính. Đối với doanh nghiệp, thiệt hại có thể lên đến hàng chục tỷ đồng chỉ trong một vụ, chưa kể gián đoạn hoạt động kinh doanh, chi phí điều tra và rủi ro pháp lý kéo dài.

Tổng kết

Lừa đảo qua dịch vụ ngân hàng điện tử là một trong những vấn đề cấp bách nhất của ngành ngân hàng Việt Nam và toàn cầu trong kỷ nguyên số hóa. Với sự phát triển của các công nghệ như AI, deepfake, tiền mã hóa và xu hướng Open Banking, các thủ đoạn lừa đảo ngày càng tinh vi và khó phát hiện, đặt ra thách thức lớn cho cơ quan quản lý nhà nước, tổ chức tín dụng và bản thân người dùng. Việc trang bị kiến thức pháp lý vững vàng (Điều 290, 290a BLHS 2015; Thông tư 17/2024/TT-NHNN, Thông tư 35/2023/TT-NHNN, Nghị định 13/2023/NĐ-CP), kết hợp với kỹ năng nhận diện và phòng chống lừa đảo, là yêu cầu bắt buộc đối với mọi cán bộ ngân hàng và ứng viên tham gia tuyển dụng vào ngành. Đây không chỉ là kiến thức thi cử mà còn là năng lực cốt lõi để bảo vệ khách hàng, bảo vệ tổ chức và góp phần xây dựng hệ thống ngân hàng Việt Nam an toàn, minh bạch và phát triển bền vững.

🎓

Luyện thi với kiến thức này

Thuật ngữ này thường xuất hiện trong đề thi tuyển dụng ngân hàng

Chia sẻ thuật ngữ này:

🔗 Thuật ngữ liên quan 8

B

Bảo vệ dữ liệu cá nhân

Ngân hàng số & Thanh toán

Bảo vệ dữ liệu cá nhân trong lĩnh vực ngân hàng là tập hợp các quy định, chính sách, quy trình và bi...

I

Internet Banking

Ngân hàng số

**Internet Banking** (Ngân hàng điện tử/ Ngân hàng trực tuyến) là dịch vụ cho phép khách hàng truy c...

N

Nghị định 13/2023/NĐ-CP

Thuế & Pháp luật

Nghị định hướng dẫn Luật Bảo vệ dữ liệu cá nhân 2023, quy định chi tiết điều kiện xử lý dữ liệu cá n...

T

Tài khoản trung gian

Kế toán ngân hàng

Tài khoản trung gian là tài khoản kế toán mang tính chất tạm thời, được sử dụng để ghi nhận các nghi...

T

Tấn công lừa đảo

Ngân hàng số & Thanh toán

Tấn công lừa đảo (Phishing Attack) là hình thức tấn công mạng trong đó kẻ tấn công giả mạo ngân hàng...

T

Tổ chức tín dụng

Pháp luật ngân hàng

Tổ chức tín dụng là doanh nghiệp được thành lập theo quy định của Luật các Tổ chức tín dụng, thực hi...

T

Tội lừa đảo chiếm đoạt tài sản

Pháp lý ngân hàng

Tội lừa đảo chiếm đoạt tài sản là hành vi cố ý sử dụng thủ đoạn gian dối để chiếm đoạt tài sản của n...

T

Từ chối bồi thường

Bảo hiểm & Chứng khoán

Là quyết định của doanh nghiệp bảo hiểm không chi trả quyền lợi bảo hiểm khi sự kiện thuộc trường hợ...