Call center scams đã trở thành một trong những hình thức social engineering hiệu quả nhất trong cybercrime hiện đại. Khác với các email phishing đại trà hay tin nhắn lừa đảo dễ nhận biết, những cuộc tấn công này dựa vào tương tác trực tiếp giữa con người với con người. Nạn nhân nghe thấy một giọng nói tự tin, ngôn ngữ chuyên nghiệp và quy trình quen thuộc, rất giống với hoạt động của các trung tâm chăm sóc khách hàng hợp pháp. Yếu tố con người này khiến call center scams đặc biệt nguy hiểm, bởi niềm tin được xây dựng theo thời gian thực.
Khi các tổ chức ngày càng số hóa tương tác với khách hàng và phụ thuộc nhiều hơn vào các dịch vụ hỗ trợ từ xa, kẻ tấn công khai thác chính mô hình đó. Chúng dựng lên các call center giả, đào tạo “nhân viên” theo kịch bản và sử dụng dữ liệu bị đánh cắp để tạo cảm giác đáng tin cậy. Kết quả là một mối đe dọa ngày càng gia tăng, nhắm vào cả cá nhân lẫn doanh nghiệp, và thường vượt qua các biện pháp cybersecurity truyền thống.
Call Center Scams Là Gì?
Call center scams là các hoạt động gian lận trong đó kẻ tấn công giả mạo đại diện hợp pháp của ngân hàng, nhà mạng viễn thông, cơ quan chính phủ, đội ngũ tech support, hoặc thậm chí là các phòng ban nội bộ trong doanh nghiệp. Mục tiêu của chúng là thao túng nạn nhân để chia sẻ thông tin nhạy cảm, thực hiện thanh toán hoặc cấp quyền truy cập hệ thống.
Những vụ lừa đảo này thành công không chỉ vì yếu tố kỹ thuật, mà chủ yếu vì chúng khai thác tâm lý con người. Bằng cách tạo ra cảm giác khẩn cấp, quyền lực hoặc sợ hãi, kẻ lừa đảo khiến nạn nhân hành động trước khi kịp xác minh yêu cầu. Trong nhiều trường hợp, cuộc gọi nghe rất “bình thường”, khiến sự lừa dối càng khó bị phát hiện.
Vì Sao Call Center Scams Hiệu Quả Đến Vậy
Sự hiệu quả của call center scams nằm ở mức độ chân thực. Kẻ tấn công thường kết hợp social engineering với dữ liệu bị rò rỉ hoặc thông tin công khai để cá nhân hóa cuộc trò chuyện và tạo cảm giác hợp pháp. Trước khi liệt kê các thủ đoạn phổ biến, cần hiểu rằng những vụ lừa đảo này hiếm khi mang tính ngẫu nhiên. Chúng là các chiến dịch được tổ chức bài bản, mô phỏng môi trường chăm sóc khách hàng thật. Các kỹ thuật thường gặp bao gồm:
- Sử dụng spoofed phone numbers trông giống số điện thoại hợp pháp
- Tuân theo các kịch bản và quy trình như cuộc gọi hỗ trợ thực tế
- Nhắc đến một phần thông tin cá nhân hoặc tài khoản để tăng độ tin cậy
- Chuyển cuộc gọi giữa các “phòng ban” để củng cố tính xác thực
- Gây áp lực bằng thời hạn, đe dọa hoặc cảnh báo khẩn cấp
Cách tiếp cận nhiều lớp này khiến nạn nhân tin rằng họ đang làm việc với một tổ chức thật, chứ không phải một vụ lừa đảo.
Cách Doanh Nghiệp Và Cá Nhân Giảm Thiểu Rủi Ro
Phòng vệ trước call center scams đòi hỏi nhiều hơn các biện pháp kỹ thuật. Vì những cuộc tấn công này nhắm vào hành vi con người, yếu tố nhận thức và thiết kế quy trình đóng vai trò then chốt. Cần lưu ý rằng không có tổ chức hợp pháp nào ép người dùng phải hành động ngay lập tức mà không qua xác minh. Các chính sách giao tiếp đặt security-first là điều cần thiết.
Những biện pháp bảo vệ quan trọng bao gồm:
- Xác minh người gọi qua các kênh chính thức trước khi chia sẻ thông tin
- Đào tạo nhân viên và khách hàng nhận biết các kỹ thuật social engineering
- Triển khai quy trình gọi lại (call-back) và xác minh nhiều bước
- Hạn chế lượng thông tin mà đội ngũ customer support được phép chia sẻ
- Giám sát các hành vi truy cập hoặc giao dịch bất thường sau tương tác hỗ trợ
Khi kết hợp với các kiểm soát cybersecurity mạnh mẽ, những biện pháp này giúp giảm đáng kể rủi ro gian lận qua giọng nói.
Vai Trò Ngày Càng Lớn Của Cybersecurity Trước Các Mối Đe Dọa Dựa Trên Giọng Nói
Khi kẻ lừa đảo ngày càng chuyên nghiệp hóa hoạt động, call center scams đang dần trở thành một thách thức cốt lõi của cybersecurity, chứ không chỉ là vấn đề gian lận đơn thuần. Voice phishing, deepfake audio, và các kịch bản hỗ trợ bằng AI đang làm mờ ranh giới giữa hỗ trợ hợp pháp và ý đồ độc hại.
Để bảo vệ trước các mối đe dọa này, tổ chức cần áp dụng mức độ bảo mật cho kênh giọng nói tương đương với email, network và endpoint. Chiến lược cybersecurity phải thích ứng để bảo vệ không chỉ hệ thống, mà cả con người tương tác với chúng.
Terrabyte hỗ trợ các tổ chức tăng cường cybersecurity posture bằng cách giải quyết các mối đe dọa social engineering hiện đại, cải thiện khả năng phát hiện và xây dựng khả năng chống chịu trước những hình thức lừa đảo khai thác niềm tin như một vector tấn công chính.