Cảnh giác chiêu trò chiếm đoạt Zalo, rồi mạo danh tung “lì xì đầu năm” để lừa đảo tài sản

Dịp Tết Nguyên đán Bính Ngọ 2026 đang đến gần, đây cũng là thời điểm tội phạm công nghệ cao hoạt động mạnh mẽ. Trong những ngày đầu năm những kẻ lừa đảo có thể áp dụng chiêu trò chiếm quyền điều khiển Zalo rồi giả danh chính chủ để gửi tin nhắn "mừng tuổi"kem theo đường link có chứa mã độc.

Có thể lợi dụng chính thói quen của người dân để lừa đảo?

Nét đẹp văn hóa lì xì đầu năm vốn là lời chúc may mắn, tài lộc đã có từ ngàn đời nay. Tuy nhiên, sự phát triển của công nghệ và thói quen mừng tuổi qua số tài khoản ngân hàng nở rộ trong vài năm qua có thể là kẽ hở để các đối tượng lừa đảo lợi dụng triệt để. Chúng không chỉ đánh vào lòng tham mà còn khai thác sự tử tế, lòng tin giữa bạn bè và người thân để thực hiện hành vi chiếm đoạt tài sản một cách tinh vi.

Để thực hiện một vụ lừa đảo trót lọt, các đối tượng thường trải qua hai giai đoạn: Chiếm quyền kiểm soát (Hack Zalo) và triển khai kịch bản "con mồi".

Trước khi nhắn tin lừa đảo, kẻ xấu cần có một tài khoản "mồi" uy tín. Chúng thường đánh cắp tài khoản Zalo thông qua các cách thức, như: Lừa mã kích hoạt, chúng giả danh nhân viên tổng đài Zalo hoặc bộ phận hỗ trợ kỹ thuật nhắn tin yêu cầu bạn cung cấp mã xác thực (OTP) gửi về điện thoại với lý do "xác minh tài khoản bị báo cáo" hoặc "bình chọn cuộc thi ảnh Tết".

Các đối tượng dùng  đường link độc hại để bẫy người dùng, chỉ cần người dùng tò mò nhấn vào một đường link lạ với tiêu đề hấp dẫn như "Xem ai đã ghé thăm tường của bạn" hay "Nhận quà tặng Tết miễn phí", mã độc sẽ tự động cài đặt vào điện thoại, cho phép kẻ xấu lấy cắp token đăng nhập mà người dùng không hề hay biết.

Sau khi chiếm được Zalo, kẻ lừa đảo sẽ quét danh sách bạn bè và chọn những người thường xuyên tương tác để nhắn tin với nội dung: "Cậu ơi, cô ơi, bác ơi… rồi xưng danh là tớ, cháu định chuyển tiền mừng tuổi cho mẹ nhưng luống cuống thế nào lại chuyển nhầm vào số tài khoản của cậu, của cô, của bác…với số tiền 5 triệu đồng. Cậu kiểm tra giúp tớ với!"

 Ban chuyên án bắt giữ nhóm đối tượng lừa đảo qua mạng tại Campuchia vào tháng 10/2025. Ảnh: Bộ Công an

Để tăng độ tin cậy, chúng gửi kèm một hình ảnh biên lai chuyển khoản giả được cắt ghép chuyên nghiệp, hiện đầy đủ tên và số tài khoản của nạn nhân. Khi nạn nhân kiểm tra tài khoản và báo chưa nhận được tiền, chúng sẽ lập tức gửi một đường link giả mạo trang web ngân hàng và thúc giục: "Chắc do khác ngân hàng nên tiền bị treo, cậu, cô, bác nhấn vào link này để xác nhận giao dịch hoàn tiền giúp tớ, giúp cháu để tớ kịp gửi cho mẹ".

Thực chất, đây là trang web giả mạo. Chỉ cần nạn nhân nhập tên đăng nhập và mật khẩu ngân hàng, kẻ xấu sẽ ngay lập tức chiếm quyền kiểm soát tài khoản banking của họ.

Kịch bản "Nhờ nhận hộ tiền" và xin mã OTP ngân hàng và lời khuyên hữu ích

Đây là chiêu trò cực kỳ nguy hiểm vì nhắm vào việc chiếm đoạt trực tiếp số dư trong tài khoản. Kẻ lừa đảo sẽ nhắn tin: "Tớ, cháu, anh, em có người thân ở nước ngoài mừng tuổi nhưng tài khoản tớ đang bị lỗi không nhận được tiền đô. Tớ, cháu, anh, em nhờ họ chuyển qua tài khoản cậu, cô, bác nhé… rồi cậu, cô, bác, chú chuyển lại tiền Việt cho tớ, cháu, anh, em…".

Khi nạn nhân đồng ý và cung cấp số tài khoản, kẻ xấu sẽ không chuyển tiền vào mà thực hiện lệnh rút tiền hoặc liên kết ví điện tử trên máy của chúng bằng thông tin tài khoản của nạn nhân. Lúc này, điện thoại nạn nhân sẽ nhận được mã OTP từ ngân hàng. Kẻ xấu sẽ liên tục hối thúc: "Cậu, bác, anh, em đọc giúp mã xác nhận vừa gửi về điện thoại để tiền được nổi lên tài khoản nhé". Nếu nạn nhân thiếu cảnh giác mà cung cấp mã này, toàn bộ số tiền trong tài khoản sẽ bị chúng rút sạch chỉ trong vài giây.

Trước những thủ đoạn ngày càng tinh vi, việc trang bị kiến thức và kỹ năng phòng vệ là điều bắt buộc đối với mỗi cá nhân. Để không trở thành nạn nhân của "bẫy lì xì", người dân cần lưu ý các nguyên tắc sau:

Thứ nhất, xác thực "Chính chủ" trước khi giao dịch

Tuyệt đối không thực hiện bất kỳ giao dịch chuyển tiền hay cung cấp thông tin nào qua tin nhắn Zalo, ngay cả khi đó là người thân thiết nhất.

Hãy thực hiện một cuộc gọi điện thoại trực tiếp hoặc gọi Video Call để nghe tiếng và nhìn mặt người gửi tin nhắn. Kẻ lừa đảo thường sẽ đưa ra các lý do như: “Đang ở nơi ồn ào"; "máy hỏng mic"; "đang bận" để từ chối cuộc gọi. Đó chính là dấu hiệu rõ nhất của một cú lừa.

Một số hình ảnh trong chuyên án bắt giữ nhóm đối tượng lừa đảo qua mạng tại Campuchia vào tháng 10/2025. Ảnh Bộ Công an

Thứ hai, giữ nguyên tắc bảo mật tài khoản ngân hàng

OTP là mật khẩu dùng một lần để chuyển tiền đi: Hãy luôn ghi nhớ: Không có quy trình nhận tiền nào yêu cầu phải cung cấp mã OTP cho người khác. OTP chỉ dùng khi bạn là người chủ động thực hiện lệnh chuyển tiền hoặc thanh toán.

Không nhập thông tin vào link lạ, ngân hàng chính thống không bao giờ gửi link yêu cầu đăng nhập mật khẩu qua tin nhắn mạng xã hội. Chỉ sử dụng ứng dụng Mobile Banking đã được cài đặt chính thức trên điện thoại.

Kiểm tra số dư thực tế. Đừng bao giờ tin vào ảnh chụp màn hình biên lai chuyển khoản. Chỉ tin vào thông báo thay đổi số dư trong ứng dụng ngân hàng hoặc tin nhắn SMS chính thức từ đầu số của ngân hàng.

Thứ ba Bảo vệ tài khoản Zalo cá nhân

Để tránh việc chính mình trở thành "công cụ" đi lừa đảo bạn bè, hãy thực hiện ngay các bước bảo mật cho Zalo: Bật xác thực 2 lớp: Vào phần Cài đặt > Tài khoản và bảo mật để kích hoạt tính năng xác thực khi đăng nhập trên thiết bị lạ.

Thiết lập mã khóa Zalo đẻ ngăn chặn việc người khác cầm điện thoại của bạn và truy cập trái phép vào ứng dụng. Không quét các mã QR lạ được gửi qua tin nhắn nếu không biết rõ nguồn gốc, vì đây có thể là cổng dẫn đến việc chiếm quyền điều khiển tài khoản.

Dịp Tết Bính Ngọ 2026, hãy để niềm vui mừng tuổi được trọn vẹn bằng sự tỉnh táo. Một lời chúc chân thành, một phong bao lì xì đỏ trao tay hay một giao dịch chuyển khoản minh bạch sau khi đã xác thực kỹ lưỡng mới thực sự mang lại may mắn. Hãy là người sử dụng mạng xã hội có trách nhiệm và luôn giữ cho mình một "cái đầu lạnh" trước những món quà bất ngờ trên không gian mạng.