Giả TikTok shop gửi quà 0 đồng, “móc túi” tiền tỷ của khách

Với chiêu trò giả danh Công ty TikTok, các đối tượng lừa đảo gọi điện cho khách hàng thông báo họ “may mắn trúng thưởng quà tri ân 0 đồng”, không mất phí vận chuyển. Các đối tượng sẽ đọc rõ địa chỉ của nạn nhân và xác nhận lại để gửi quà. Tuy nhiên, món quà nhận được chỉ là những vật phẩm rẻ tiền như khăn mặt, bàn chải, bông tăm.

Điều nguy hiểm hơn nằm ở chi tiết tưởng chừng vô hại – tấm phiếu cào trúng thưởng in mã QR đi kèm. Khi quét mã, nạn nhân bị dẫn dụ vào các trang web hoặc ứng dụng lạ, bị yêu cầu cung cấp thông tin cá nhân, tài khoản ngân hàng, và từ đó tiền trong tài khoản bốc hơi không dấu vết. Một số trường hợp, nạn nhân được yêu cầu kết bạn Zalo với tài khoản “công ty” để nhận quà.

Thủ đoạn này còn tinh vi hơn khi nhiều nạn nhân được mời tham gia các hội nhóm Zalo, Facebook với lời hứa nhận thưởng lớn nếu hoàn thành “nhiệm vụ” như chia sẻ video, bốc thăm trúng thưởng. Từng bước một, họ bị dẫn dắt vào vòng xoáy chuyển tiền, nộp “phí” hoặc “tiền cọc”, và sau đó mất trắng.

Không ít nạn nhân kể lại rằng, thông tin cá nhân của họ như họ tên, địa chỉ, nơi làm việc được đối tượng nắm rất rõ, khiến họ mất cảnh giác. Một số người dù nhận ra sự bất thường, từ chối nhận quà, thì vẫn liên tục bị quấy rối qua điện thoại hoặc tin nhắn.

Anh N.L (Quận Cầu Giấy, Hà Nội) kể: “Tôi thấy nghi ngờ khi người gọi biết rõ tên, địa chỉ làm việc. Khi từ chối nhận quà, phía bên kia lập tức cúp máy”.

Nhiều trường hợp khác như anh Ngọc Long (Thanh Hóa) hay chị Trần Thúy Hường (Hà Nội) đã sập bẫy, mất từ vài triệu đến hàng trăm triệu đồng chỉ vì ham món quà miễn phí, sau đó bị dụ nộp “phí nhận thưởng” hoặc “tiền nhiệm vụ”.

Ngày 12/2/2025, Công an tỉnh Đắk Lắk phối hợp với Bộ Công an đã triệt phá một đường dây lừa đảo liên tỉnh hoạt động theo hình thức này. Kiểm tra khẩn cấp một căn nhà tại huyện Krông Păk, lực lượng chức năng phát hiện gần 50 đối tượng đang thao tác trên máy tính, thực hiện các cuộc gọi lừa đảo.

Tang vật thu giữ gồm 45 máy tính, 180GB dữ liệu cá nhân bị đánh cắp cùng nhiều vật chứng khác. Theo điều tra sơ bộ, mỗi ngày, nhóm đối tượng sử dụng trái phép thông tin của khoảng 50.000 người dân, thực hiện hơn 100.000 cuộc gọi lừa đảo trên toàn quốc. Tổng số tiền chiếm đoạt lên tới hàng ngàn tỷ đồng.

Đáng chú ý, hoạt động của chúng rất bài bản với các bộ phận được phân chia chức năng rõ ràng: bộ phận thu thập dữ liệu, bộ phận lên kịch bản tư vấn và hệ thống vận hành các trang web giả mạo chuyên nghiệp, nhằm “diễn” một màn kịch lừa đảo trọn vẹn trước khi ra tay chiếm đoạt tài sản.

Công an tỉnh Cao Bằng cũng vừa phát hiện thủ đoạn lừa đảo tinh vi mạo danh TikTok Shop để đánh cắp thông tin cá nhân, chiếm đoạt tài sản.

Theo Phòng An ninh mạng và phòng chống tội phạm sử dụng công nghệ cao Công an tỉnh Cao Bằng, các đối tượng lừa đảo đã gửi bưu phẩm miễn phí đến người dân dù họ không hề đặt hàng, kèm theo tờ rơi mang logo "TikTok Shop" cùng mã QR cào thưởng. Khi quét mã này, nạn nhân được dẫn đến một tài khoản Facebook giả mạo, từ đó bị yêu cầu cung cấp thông tin cá nhân, tương tác trên TikTok và tải về ứng dụng lạ có tên TIKSERVE (nằm ngoài các kho ứng dụng chính thống).

Ứng dụng TIKSERVE yêu cầu quyền truy cập gần như toàn bộ dữ liệu cá nhân trong điện thoại người dùng. Sau khi cài đặt, các nạn nhân được dẫn dụ thực hiện các “nhiệm vụ” đơn giản rồi bị lôi kéo vào các nhóm chat với lời hứa sẽ được nhận quà tri ân hoặc hoàn tiền kèm hoa hồng nếu “quyên góp từ thiện”. Tuy nhiên, khi có người cảnh báo thì ngay lập tức bị các đối tượng xóa khỏi nhóm.

Trước những chiêu trò ngày càng tinh vi, các chuyên gia an ninh mạng liên tục lên tiếng cảnh báo: mã QR, vốn chỉ là thông tin hiển thị dưới dạng hình ảnh hai chiều (2D) với cấu trúc ma trận vạch đen trắng, đang bị biến thành công cụ tấn công.

Bản chất của mã QR là dữ liệu được mã hóa để thiết bị di động, đặc biệt là smartphone, có thể quét và đọc dễ dàng. Việc mở camera và quét mã QR, về mặt kỹ thuật, không lập tức khiến điện thoại nhiễm mã độc hay bị chiếm quyền kiểm soát. Tuy nhiên, hiểm họa thực sự bắt đầu khi người dùng bấm vào đường link lạ mà mã QR dẫn tới, hoặc tải về ứng dụng không rõ nguồn gốc. Trong khoảnh khắc đó, điện thoại có thể bị cài cắm các loại phần mềm độc hại hoặc gián điệp.

Các mã độc này âm thầm chiếm quyền kiểm soát thiết bị, đánh cắp mật khẩu, mã OTP ngân hàng, và thậm chí can thiệp trực tiếp vào các giao dịch tài chính. Không chỉ tiền trong tài khoản “không cánh mà bay”, các tài khoản mạng xã hội, email cá nhân – những dữ liệu nhạy cảm bậc nhất của người dùng – cũng dễ dàng bị chiếm đoạt. Từ một hành động tưởng như vô hại, người dùng tự biến mình thành nạn nhân của những tội phạm công nghệ cao.

Theo các chuyên gia, một phần nguyên nhân khiến hình thức lừa đảo này bùng phát là tình trạng lộ lọt dữ liệu cá nhân đang ở mức báo động. Theo báo cáo của Hiệp hội An ninh mạng (NCA), năm 2024 tình trạng lộ lọt dữ liệu cá nhân tại Việt Nam tiếp tục diễn biến phức tạp, nghiêm trọng, với 66,24% người dùng xác nhận rằng thông tin của họ từng bị sử dụng trái phép. Các hệ thống lưu trữ dữ liệu khách hàng tại siêu thị, khách sạn, sàn thương mại điện tử… vô tình trở thành “kho báu” cho tội phạm mạng khai thác.

Luật sư Mai Thanh Bình (Đoàn Luật sư TP HCM) nhấn mạnh: “Mọi hành vi mua bán dữ liệu người dùng đều bị xử lý nghiêm theo pháp luật. Người dân cần tuyệt đối thận trọng khi cung cấp thông tin cá nhân, đặc biệt trong các giao dịch trực tuyến”.

Theo các chuyên gia an ninh mạng, người dùng cần hết sức cẩn trọng nếu đã vô tình click vào đường link lạ hoặc tải phần mềm không rõ nguồn gốc. Việc đầu tiên là ngắt kết nối Internet, sao lưu dữ liệu, sau đó khôi phục cài đặt gốc thiết bị và ngay lập tức thay đổi toàn bộ mật khẩu của các tài khoản quan trọng như ngân hàng, email, mạng xã hội.

Bên cạnh đó, người dân được khuyến cáo chỉ nên tải ứng dụng từ kho chính thức như CH Play hoặc App Store, tuyệt đối không quét mã QR lạ hay click vào các đường dẫn không rõ nguồn gốc. Việc bật chức năng bảo vệ như Google Play Protect, cập nhật hệ điều hành thường xuyên và sử dụng phần mềm diệt virus uy tín là những biện pháp cần thiết để giảm thiểu nguy cơ bị xâm nhập. Các ngân hàng cũng khuyến khích người dùng đặt hạn mức chuyển khoản online để giới hạn thiệt hại trong tình huống xấu nhất.

Công an TP HCM cùng nhiều địa phương nhấn mạnh: không có món quà nào là “0 đồng” nếu người nhận phải cung cấp thông tin cá nhân hay chuyển khoản dưới bất kỳ hình thức nào. Những cuộc gọi thông báo trúng thưởng, các nhóm chat yêu cầu thực hiện “nhiệm vụ” để nhận hoa hồng hay quyên góp từ thiện đều có thể là cái bẫy được giăng sẵn. Khi có dấu hiệu nghi ngờ, người dân cần ngay lập tức liên hệ với ngân hàng để phong tỏa tài khoản, đồng thời trình báo cơ quan chức năng để được hỗ trợ kịp thời.