Dữ liệu bị lộ lọt, đánh cắp tạo điều kiện cho các đối tượng lừa đảo chuyển từ các cuộc tấn công “may rủi” sang các chiến dịch “lừa đảo có chủ đích” với những kịch bản lừa đảo được cá nhân hóa một cách hoàn hảo. Điểm mấu chốt của những phi vụ lừa đảo này không phải nằm ở kỹ thuật phức tạp, cao siêu mà nằm ở khả năng phá vỡ tuyến phòng thủ tâm lý của nạn nhân, hay còn gọi là những chiêu trò thao túng tâm lý. Trong những phi vụ này, dữ liệu bị rò rỉ thường được khai thác bởi hai cách chính.
Một số phương thức lừa đảo:
Phishing: Lừa đảo qua email hoặc website giả mạo để đánh cắp thông tin (mật khẩu, tài khoản, thẻ ngân hàng…).
Vishing: Lừa đảo qua cuộc gọi thoại (voice phishing), giả danh công an, ngân hàng, v.v. để lấy thông tin hoặc tiền.
Smishing: Lừa đảo qua tin nhắn SMS chứa đường link độc hại hoặc nội dung giả mạo để dụ người dùng bấm vào.
Cách 1: Giả mạo cơ quan chức năng
Đây là chiêu trò mà những kẻ lừa đảo khai thác những thông tin cá nhân, thông tin định danh cơ bản nhất của nạn nhân, những thông tin mà nhiều người vẫn nghĩ “chỉ có cơ quan chức năng” mới có thể biết. Những đối tượng lừa đảo không cần phải xâm nhập vào điện thoại hay máy tính, chúng chỉ cần thao túng lòng tin của nạn nhân, khiến họ tin rằng chúng thật sự là người có thẩm quyền. Các đối tượng lừa đảo sẽ gọi điện và tự xưng là công an, viện kiểm sát… ngay khi nạn nhân nhấc máy, kẻ lừa đảo sẽ đọc chính xác họ và tên, ngày sinh, số căn cước công dân, địa chỉ nhà của họ...
Với nhiều người khi nghe người lạ ở đầu dây bên kia đọc vanh vách thông tin cá nhân của mình, phản ứng tâm lý đầu tiên là hoảng sợ và tin tưởng. Nạn nhân ngay lập tức nghĩ rằng: "Ôi, chỉ có cơ quan nhà nước mới biết rõ mình như vậy, chắc chắn là thật rồi!". Kẻ lừa đảo đã dùng chính thông tin thật của bạn để tạo ra một cảm giác về tính chính danh. Lúc này, nạn nhân không còn nghi ngờ nữa mà lập tức làm theo mọi yêu cầu, như chuyển tiền để điều tra, xác minh tài khoản...
Đây cũng là một trong những điểm mấu chốt của chiêu trò bắt cóc online nhắm vào lứa tuổi thanh thiếu niên trong thời gian qua. Những kẻ lừa đảo sẽ mạo danh cơ quan chức năng và đe dọa các bạn học sinh, sinh viên bằng những thông tin như có liên quan đến đường dây ma túy, rửa tiền, kèm theo đó là những bằng chứng giả như lệnh bắt giữ có đầy đủ thông tin cá nhân của nạn nhân. Tâm lý hoảng sợ đi kèm với những lời đe dọa tuyệt đối không được nói cho ai biết đã khiến rất nhiều bạn trẻ trở thành nạn nhân của chiêu trò này.
Cách 2: Dựng những kịch bản lừa đảo được cá thể hóa ở mức độ cao
Ở phương thức này, những kẻ lừa đảo có nhiều thông tin của nạn nhân hơn, không chỉ giới hạn ở việc họ là ai, mà còn có thể là họ đã làm gì, họ đang quan tâm đến điều gì, hoặc quan tâm đến ai.
Kẻ lừa đảo có thể thu thập tất cả thông tin của nạn nhân thông qua những bộ dữ liệu bị rò rỉ, bị bán hoặc đánh cắp, từ đó điều tra rộng hơn thông qua mạng xã hội hoặc những trang thông tin khác nhằm hiểu rõ về các mối quan hệ, sở thích cũng như thói quen của họ. Từ đó các đối tượng có thể dễ dàng dựng nên những kịch bản được cá thể hóa ở mức độ cao cho từng nạn nhân, khớp gần như 100% với hoàn cảnh thật. Trong đó, các kịch bản điển hình có thể kể đến như:
- Lừa đảo “giao hàng”: Bằng nhiều con đường, các đối tượng lừa đảo lấy được dữ liệu rò rỉ từ các sàn giao dịch thương mại điện tử. Chúng sẽ biết được tên, địa chỉ, số điện thoại của nạn nhân và quan trọng nhất là tên món hàng hoặc cả mã đơn hàng mà họ vừa đặt. Các đối tượng lừa đảo sẽ gọi điện mạo danh nhân viên giao vận, thông báo đơn hàng (đọc đúng tên món hàng) bị kẹt, yêu cầu họ chuyển một khoản "phí" nhỏ để nhận hàng. Vì mọi thông tin đều trùng khớp, rất nhiều người đã tin và chuyển tiền ngay.
- Lừa đảo “con bị cấp cứu”: Các đối tượng lừa đảo khai thác những “gói dữ liệu” của các phụ huynh bị lộ lọt, đánh cắp từ các trường học, hoặc các trung tâm dạy thêm, bao gồm thông tin về cha mẹ, thông tin của con, trường/lớp/trung tâm con đang theo học. Những đối tượng này sẽ thực hiện những cuộc gọi mạo danh giáo viên hoặc bệnh viện, báo "cháu X., cháu Y. [đọc đúng tên con của nạn nhân] bị tai nạn" và yêu cầu chuyển viện phí gấp. Áp lực tâm lý vì lo cho con, cộng với thông tin quá chính xác (đúng tên con, tên trường) khiến phụ huynh mất khả năng kiểm chứng.
- Lừa đảo việc làm/đầu tư: Các đối tượng lừa đảo mua những gói dữ liệu CV, hồ sơ xin việc hoặc dữ liệu những người gửi tiền tiết kiệm. Chúng thiết kế những kịch bản “trúng tuyển” giả mạo, yêu cầu nộp nhiều khoản phí trước khi gia nhập công ty, hoặc mời gọi các gói đầu tư “siêu lợi nhuận” được thiết kế riêng dựa trên tình hình tài chính của nạn nhân.
"Có thể thấy, để xây dựng được những kịch bản lừa đảo kể trên không phải ngẫu nhiên. Chúng được hỗ trợ bởi một thị trường ngầm (chợ đen), nơi dữ liệu bị rò rỉ được tổng hợp và đóng gói. Tội phạm không chỉ mua danh sách số điện thoại, chúng còn có thể mua các gói dữ liệu được phân loại, tối ưu riêng như danh sách người mới tìm việc, danh sách nhà đầu tư F0, dữ liệu người có bệnh lý nền... để phục vụ thiết kế cho từng kịch bản lừa đảo".
Chuyên gia an ninh mạng Ngô Minh Hiếu (Hiếu PC)
Rõ ràng, lừa đảo tinh vi chỉ là "phần nổi của tảng băng chìm". "Phần chìm" nguy hiểm hơn chính là nạn dữ liệu cá nhân bị rò rỉ, đánh cắp và tồn tại những "chợ đen" mua bán dữ liệu, ở đó thông tin cá nhân bị trao đổi như một món hàng. Tại kỳ họp thứ 9, Quốc hội khóa XV đã thông qua Luật Bảo vệ dữ liệu cá nhân. Luật có hiệu lực thi hành từ ngày 1/1/2026.
Theo Điều 7 của Luật Bảo vệ dữ liệu cá nhân quy định có 07 hành vi bị nghiêm cấm liên quan đến dữ liệu cá nhân gồm:
1. Xử lý dữ liệu cá nhân nhằm chống lại Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam, gây ảnh hưởng đến quốc phòng, an ninh quốc gia, trật tự, an toàn xã hội, quyền, lợi ích hợp pháp của cơ quan, tổ chức, cá nhân.
2. Cản trở hoạt động bảo vệ dữ liệu cá nhân.
3. Lợi dụng hoạt động bảo vệ dữ liệu cá nhân để thực hiện hành vi vi phạm pháp luật.
4. Xử lý dữ liệu cá nhân trái quy định của pháp luật.
5. Sử dụng dữ liệu cá nhân của người khác, cho người khác sử dụng dữ liệu cá nhân của mình để thực hiện hành vi trái quy định của pháp luật.
6. Mua, bán dữ liệu cá nhân, trừ trường hợp luật có quy định khác.
7. Chiếm đoạt, cố ý làm lộ, làm mất dữ liệu cá nhân.
Về xử lý vi phạm pháp luật về bảo vệ dữ liệu cá nhân, Điều 8 của Luật quy định:
1. Tổ chức, cá nhân có hành vi vi phạm quy định của Luật này và quy định khác của pháp luật có liên quan đến bảo vệ dữ liệu cá nhân thì tùy theo tính chất, mức độ, hậu quả của hành vi vi phạm có thể bị xử phạt hành chính hoặc bị truy cứu trách nhiệm hình sự; nếu gây thiệt hại thì phải bồi thường theo quy định của pháp luật.
2. Việc xử phạt vi phạm hành chính trong lĩnh vực bảo vệ dữ liệu cá nhân thực hiện theo quy định tại các khoản 3, 4, 5, 6 và 7 Điều này và pháp luật về xử lý vi phạm hành chính.
3. Mức phạt tiền tối đa trong xử phạt vi phạm hành chính đối với hành vi mua, bán dữ liệu cá nhân là 10 lần khoản thu có được từ hành vi vi phạm; trường hợp không có khoản thu từ hành vi vi phạm hoặc mức phạt tính theo khoản thu có được từ hành vi vi phạm thấp hơn mức phạt tiền tối đa quy định tại khoản 5 Điều này thì áp dụng mức phạt tiền theo quy định tại khoản 5 Điều này.
4. Mức phạt tiền tối đa trong xử phạt vi phạm hành chính đối với tổ chức có hành vi vi phạm quy định chuyển dữ liệu cá nhân xuyên biên giới là 5% doanh thu của năm trước liền kề của tổ chức đó; trường hợp không có doanh thu của năm trước liền kề hoặc mức phạt tính theo doanh thu thấp hơn mức phạt tiền tối đa theo quy định tại khoản 5 Điều này thì áp dụng mức phạt tiền theo quy định tại khoản 5 Điều này.
5. Mức phạt tiền tối đa trong xử phạt vi phạm hành chính đối với các hành vi vi phạm khác trong lĩnh vực bảo vệ dữ liệu cá nhân là 3 tỷ đồng.
6. Mức phạt tiền tối đa quy định tại các khoản 3, 4 và 5 Điều này được áp dụng đối với tổ chức; cá nhân thực hiện cùng hành vi vi phạm thì mức phạt tiền tối đa bằng một phần hai mức phạt tiền đối với tổ chức.
7. Chính phủ quy định phương pháp tính khoản thu có được từ việc thực hiện hành vi vi phạm pháp luật về bảo vệ dữ liệu cá nhân.
