Trong vai trò là một chuyên gia tại một website công nghệ lâu năm, việc bị lừa đảo thẻ tín dụng trên Amazon là điều đáng xấu hổ. Tuy nhiên, chính từ sự cố này, tôi đã rút ra được những bài học quý giá về bảo mật trực tuyến mà tôi tin rằng ai trong chúng ta cũng cần biết. Bài viết này sẽ tường thuật lại chi tiết sự việc, cách tôi đã xử lý nhanh chóng, và những gì bạn có thể học được từ sơ suất của tôi để tránh trở thành nạn nhân của gian lận thẻ Amazon hoặc các hình thức lừa đảo online khác.
Phát Hiện Giao Dịch Giả Mạo Trên Amazon
Một ngày nọ, khi tôi vừa hoàn tất công việc, tôi nhận được một email thông báo thẻ tín dụng Amazon Prime của mình đã bị trừ 250 USD. Ban đầu, tôi tự hỏi liệu có phải một món đồ tôi đã đặt trước giờ mới được giao hay không. Tuy nhiên, sau khi kiểm tra kỹ lưỡng trang Đơn hàng của bạn trên Amazon (bao gồm cả các tab Chưa vận chuyển và Đơn hàng kỹ thuật số), tôi không thấy có bất kỳ giao dịch nào bất thường.
Email thông báo giao dịch 250 USD từ Amazon
Suy nghĩ tiếp theo của tôi là liệu vợ tôi có đặt mua thứ gì không. Chúng tôi sử dụng tính năng Amazon Family, và thẻ của tôi được đặt làm mặc định cho các giao dịch trên tài khoản của cô ấy. Nhưng cô ấy chưa hề đề cập đến việc mua sắm, và tôi biết cô ấy sẽ không mua món đồ nào lớn như vậy mà không nói cho tôi biết.
Để thu thập thêm thông tin, tôi mở tài khoản Amazon của vợ trong một cửa sổ trình duyệt Chrome riêng biệt. Đúng như dự đoán, mặt hàng duy nhất trong phần Đơn hàng của cô ấy là một thẻ quà tặng kỹ thuật số Razer Gold trị giá 250 USD, được gửi đến một địa chỉ email mà tôi không hề nhận ra. Không có tùy chọn để hủy hoặc thực hiện hành động nhanh chóng nào khác, vì vậy tôi lập tức chuyển sang hộp thư Gmail của cô ấy để tìm kiếm thêm manh mối.
Chi tiết đơn hàng thẻ quà tặng giả mạo trên Amazon
Chiêu Trò Che Giấu Dấu Vết Của Kẻ Tấn Công
Đúng như dự kiến, có nhiều email từ Amazon trong hộp thư của vợ tôi, nhưng điều đáng lo ngại hơn là hàng chục tin nhắn khác đang ồ ạt đổ về. Tôi chứng kiến hàng loạt email xác nhận từ các dịch vụ ngẫu nhiên như Remind, Kayak và Clipdrop liên tục xuất hiện.
Điều này khiến tôi nghĩ rằng ai đó đã truy cập vào tài khoản Google của cô ấy, vì vậy tôi ngay lập tức đổi mật khẩu Google của vợ. Tài khoản email là một trong những tài khoản quan trọng nhất mà bạn có thể mất quyền kiểm soát, vì bất kỳ ai có quyền truy cập vào đó đều có thể đặt lại mật khẩu cho tất cả các tài khoản khác liên kết.
May mắn thay, tài khoản Google của cô ấy không bị xâm nhập. Thay vào đó, tôi nhận ra rằng kẻ đã đột nhập vào tài khoản Amazon của cô ấy đang cố gắng làm tràn ngập hộp thư đến để cô ấy không nhận thấy các tin nhắn xác nhận từ Amazon. Chúng cũng đã thử đăng ký hàng loạt bản tin từ nhiều trường đại học khác nhau, mặc dù những email đó đã đi thẳng vào mục thư rác.
Hộp thư bị tấn công spam nhằm che giấu email quan trọng
Sau khi hiểu rõ tình hình, tôi kiểm tra nhiều tin nhắn Amazon trong hộp thư của vợ. Bên cạnh khoản phí 250 USD đã được xử lý, còn có một biên nhận cho thẻ quà tặng 100 USD 15 phút sau đó – đơn hàng này không xuất hiện trong lịch sử Amazon của cô ấy hay bất kỳ nơi nào khác. Amazon cũng gửi một email yêu cầu xác minh tài khoản vì hoạt động thanh toán đáng ngờ. Một loạt email thứ ba cho biết có vấn đề trong việc xử lý đơn hàng và nó đã bị hủy.
Tôi đã đổi mật khẩu Amazon của vợ để ngăn chặn các sự cố tiếp theo. Vì khoản phí vẫn xuất hiện trên thẻ của tôi mặc dù có thông báo đã hủy, tôi đã liên hệ ngay với bộ phận hỗ trợ của Amazon. Tôi muốn thông báo cho họ để đảm bảo khoản phí sẽ được hoàn lại. Tài khoản của vợ tôi không cho phép tôi liên hệ hỗ trợ vì một lý do nào đó (có thể vì họ nghi ngờ có gian lận), vì vậy tôi đã liên hệ bằng tài khoản của mình.
Tôi giải thích những gì đã xảy ra, và nhân viên hỗ trợ nói rằng tôi sẽ sớm nhận được tiền hoàn lại và không cần phải làm gì thêm. May mắn thay, tôi không phải trải qua quá trình liên hệ với ngân hàng.
Như một bước bổ sung, tôi đã liên hệ với bộ phận hỗ trợ Razer Gold để cung cấp địa chỉ email mà kẻ lừa đảo đã sử dụng. Tôi tóm tắt câu chuyện và hy vọng họ có thể cấm tài khoản với địa chỉ đó. Thật không may, họ đã hiểu sai ý tôi và yêu cầu của tôi đã bị đóng trước khi tôi có thể làm rõ. Rất có thể, kẻ đó đã đổi thẻ quà tặng từ lâu rồi, vì vậy việc đòi lại công lý là không thể.
Sự Cố Này Là Do Lỗi Chủ Quan Của Tôi…
Gần như không có khả năng sự cố này xảy ra trên tài khoản Amazon của cá nhân tôi, vì tôi sử dụng mật khẩu mạnh ngẫu nhiên và xác thực hai yếu tố (2FA). Điều này xảy ra vì tôi đã chậm trễ trong việc nâng cấp bảo mật tài khoản của vợ.
Chúng tôi kết hôn vào đầu năm nay, và việc thêm cô ấy vào tài khoản trình quản lý mật khẩu gia đình của tôi và giúp cô ấy thay đổi các mật khẩu yếu đã nằm trong danh sách việc cần làm của tôi. Nhưng chúng tôi có quá nhiều thứ khác phải lo nên chưa thực hiện được. Sự cố này đã trở thành động lực để chúng tôi tăng cường bảo mật mật khẩu của cô ấy để điều tương tự sẽ không xảy ra lần nữa.
Giao diện tạo mật khẩu mạnh của 1Password
Hãy học từ sự thiếu khẩn trương của tôi: nếu bạn đã trì hoãn việc chuyển sang sử dụng trình quản lý mật khẩu, bạn nên tận dụng cơ hội tiếp theo để thực hiện. Việc thiết lập có thể hơi tẻ nhạt, vì vậy đừng vội vàng. Bạn không cần phải thay đổi mọi mật khẩu cùng một lúc; hãy tập trung vào các tài khoản có giá trị cao như bất kỳ tài khoản nào có lưu thông tin thẻ của bạn và mạng xã hội nơi ai đó có thể mạo danh bạn. Một khi hoàn tất, bạn sẽ không bao giờ phải lo lắng về việc nhớ lại mật khẩu nữa.
…Nhưng Tôi Đã Có Sự Chuẩn Bị
Tôi đã được cảnh báo về khoản phí bất hợp pháp vì tôi đã thiết lập cảnh báo cho tất cả các thẻ tín dụng của mình, và tôi thực sự khuyên bạn cũng nên làm điều này. Các ứng dụng ngân hàng cho tất cả các thẻ tín dụng và ghi nợ lớn đều có tùy chọn gửi cho bạn email, thông báo điện thoại hoặc cả hai khi có một giao dịch. Tôi đã đặt ngưỡng này ở mức rất thấp, vì những kẻ trộm thẻ thường thử các giao dịch nhỏ trước khi cố gắng thực hiện một giao dịch lớn.
Nếu không, tôi cũng sử dụng YNAB để quản lý ngân sách (mặc dù có những lựa chọn thay thế rẻ hơn), và điều đó giúp tôi theo dõi các khoản chi tiêu. Nếu bất kỳ khoản nào không được phép lọt qua, tôi sẽ nhận ra nó khi phân loại các chi tiêu gần đây của mình.
Mặc dù đây là lần đầu tiên việc sử dụng thẻ bất hợp pháp là do lỗi của tôi, nhưng đây không phải là lần đầu tiên nó xảy ra với một trong các thẻ của tôi. Vài tháng trước, ai đó đã sử dụng một thẻ khác của tôi để chi gần 1.000 USD tại một nhà bán lẻ quang học thể thao. Và chỉ vài ngày trước, tôi nhận được cảnh báo rằng một thẻ ghi nợ phụ mà tôi chưa bao giờ sử dụng đã bị gắn cờ vì thực hiện một giao dịch nhỏ trên Amazon Brazil.
Email cảnh báo gian lận tài khoản Amazon từ ngân hàng Chase
Gian lận thẻ có thể xảy ra với bất kỳ ai, vì vậy việc chuẩn bị càng kỹ lưỡng càng tốt là điều khôn ngoan. Đây là một lý do khác để sử dụng thẻ tín dụng thay vì thẻ ghi nợ khi mua sắm trực tuyến: nếu tiền bị lấy, đó là tiền của ngân hàng, không phải của bạn. Việc sử dụng số thẻ tín dụng dùng một lần thậm chí còn an toàn hơn.
Nhìn lại, thật kỳ lạ khi Amazon lại cho phép điều này – tài khoản Amazon của vợ tôi tương đối mới, việc mua một thẻ quà tặng kỹ thuật số cho một địa chỉ email khác như giao dịch đầu tiên là điều bất thường. Mặc dù các email cho biết các đơn hàng đã bị hủy, lịch sử thẻ của tôi cho thấy 250 USD đã được thực hiện và sau đó được hoàn lại.
Thật không may, Amazon không cho phép bạn kiểm tra lịch sử đăng nhập tài khoản của mình như nhiều dịch vụ khác. So sánh, gần đây tôi đã kiểm tra lịch sử tài khoản Microsoft của mình, và chỉ trong tuần này đã có hàng chục lần cố gắng đột nhập từ Ecuador, Argentina, Việt Nam, Ukraine, Đài Loan và nhiều quốc gia khác.
Lịch sử đăng nhập thất bại trên tài khoản Microsoft cho thấy nhiều nỗ lực tấn công
Điều đó thật đáng sợ khi nhìn thấy, nhưng với mật khẩu mạnh và việc sử dụng xác thực hai yếu tố (2FA), tôi không có gì phải lo lắng. Địa chỉ email của tôi (và có thể là của bạn) đã bị lộ do các vụ rò rỉ dữ liệu, vì vậy bất kỳ ai tìm thấy nó đều có thể thử đăng nhập vào các tài khoản khác nhau.
Bảo Vệ Bản Thân Khỏi Các Cuộc Tấn Công Trực Tuyến
Tôi đã trình bày kịch bản đã xảy ra với mình để bạn không trở thành nạn nhân của một kế hoạch tương tự; biết trước điều gì có thể xảy ra là một cách tuyệt vời để giữ an toàn trực tuyến.
Hãy sử dụng trình quản lý mật khẩu để lưu trữ các mật khẩu mạnh, duy nhất cho tất cả các tài khoản của bạn. Thiết lập cảnh báo cho thẻ của bạn để bạn không phát hiện ra việc sử dụng trái phép vài ngày hoặc vài tuần sau đó. Thay đổi mật khẩu và đăng xuất khỏi tất cả các tài khoản nếu bạn nghi ngờ điều gì đó bất thường. Và đảm bảo rằng bạn có các phương pháp khôi phục trên tất cả các tài khoản của mình để việc truy cập lại không gặp rắc rối nếu ai đó chiếm quyền kiểm soát – như cách khôi phục tài khoản Google của bạn.
Hãy chia sẻ kinh nghiệm của bạn về bảo mật tài khoản trực tuyến hoặc các hình thức lừa đảo bạn từng gặp phải trong phần bình luận dưới đây!
