Từ “sở hữu kỳ nghỉ” đến tấn công mạng

VHO - Thực trạng lừa đảo trong lĩnh vực du lịch đang diễn biến phức tạp hơn bao giờ hết, lan từ các mô hình kinh doanh "sở hữu kỳ nghỉ" thiếu minh bạch đến những chiến dịch tấn công mạng quy mô toàn cầu.

Mức độ nguy hiểm của các hình thức này không chỉ nằm ở thiệt hại tài chính mà còn làm xói mòn niềm tin của du khách đối với môi trường du lịch nói chung.

Những chiếc “bẫy kỳ nghỉ” và nỗi lo cho người cao tuổi

VTV1 đưa tin, theo hơn 200 đơn tố cáo mà người dân gửi tới cơ quan chức năng, 12 công ty kinh doanh sở hữu kỳ nghỉ đã bị tố có dấu hiệu lừa đảo với chuỗi kịch bản được chuẩn bị kỹ lưỡng: mời chào mua thẻ kỳ nghỉ với lời hứa “mua lại giá cao”, nhưng khi ký hợp đồng, người mua lại bị buộc phải mua thêm kỳ nghỉ mới

Đáng lo ngại hơn, phần lớn nạn nhân là người cao tuổi, những người tin vào sự tử tế trong lời nói và ít có thói quen đọc kỹ hợp đồng.

Có trường hợp bị mua đến hàng chục thẻ kỳ nghỉ của hàng chục công ty khác nhau, sau đó mới nghi ngờ mình bị lừa.

Người ít mất vài trăm triệu đồng, người nhiều thiệt hại đến vài tỉ đồng. Thậm chí có người được hứa mua lại thẻ chỉ vài trăm triệu với giá hàng chục tỉ đồng, nên sẵn sàng chuyển tiền mà không kiểm tra lại nội dung hợp đồng.

Không chỉ vậy, các công ty này còn liên kết với nhau trong một “mạng lưới”: Nhân viên công ty này biết chính xác khách hàng đang sở hữu thẻ của công ty kia và tiếp tục mời chào bằng các chiêu thức tương tự.

Người mua không thể chủ động liên hệ để bán lại thẻ, nhưng lại liên tục được “chăm sóc”, hứa hẹn, khiến họ tiếp tục nuôi hy vọng trong vô vọng

Đây là một kiểu lừa đảo rất tinh vi khi đánh vào tâm lý kỳ vọng, lòng tin và thiếu kiến thức pháp lý của người lớn tuổi - nhóm đối tượng mà ngành Du lịch lẽ ra phải bảo vệ, chứ không phải để họ trở thành nạn nhân.

Chiến dịch ClickFix và mạng lưới tấn công toàn cầu

Song song với các vụ nghi là lừa đảo “sở hữu kỳ nghỉ”, ngành Du lịch và khách du lịch còn đối mặt với làn sóng tấn công mạng có quy mô ngày càng lớn.

Chiến dịch ClickFix nhắm trực tiếp tới khách sạn, homestay, resort tại Việt Nam thông qua email giả mạo các nền tảng đặt phòng như Booking.com hay Expedia.

Email giả được thiết kế giống thật đến mức ngay cả những người làm nghề lâu năm cũng có thể nhầm lẫn: tiêu đề “Xác nhận đặt phòng”, “Hủy đặt phòng”, “Khiếu nại khách hàng”, kèm file Excel hay link chứa mã độc PureRAT cho phép tin tặc chiếm quyền điều khiển thiết bị và toàn bộ dữ liệu nội bộ của cơ sở lưu trú.

Đáng sợ hơn, mô hình này hoạt động theo dạng “Attack-as-a-Service”: bất kỳ ai cũng có thể mua công cụ để tấn công mà không cần kỹ thuật cao. Điều đó đồng nghĩa rủi ro không chỉ đến từ hacker chuyên nghiệp mà còn cả những đối tượng cơ hội tận dụng nền tảng để trục lợi.

Cùng thời điểm, theo báo cáo của Netcraft, tội phạm mạng toàn cầu đang triển khai chiến dịch lừa đảo nhắm trực tiếp tới du khách. Email giả mạo Airbnb, Booking.com, Agoda được thiết kế tinh vi, dùng logo thật, giao diện thật, ngôn ngữ đa dạng tới 43 thứ tiếng.

Đỉnh điểm là ngày 20.3, có tới 511 tên miền giả mạo được đăng ký chỉ trong một ngày. Phía sau lớp giao diện mượt mà là một trang thu thập dữ liệu thẻ tín dụng tinh vi, thậm chí còn có cả “hỗ trợ trực tuyến” để thuyết phục nạn nhân xác nhận giao dịch, vốn là cảnh báo gian lận từ ngân hàng.

Với hàng chục nghìn cơ sở lưu trú ở Việt Nam đang vận hành trên các nền tảng đặt phòng, kẽ hở từ một email bị nhấp vào có thể kéo theo sự cố toàn hệ thống.

Vì sao du khách Việt dễ trở thành nạn nhân hơn?

Có ba “điểm mù” khiến tình trạng lừa đảo du lịch ở Việt Nam ngày càng phổ biến và khó kiểm soát.

Thứ nhất, rất nhiều người vẫn chưa hình thành thói quen đọc kỹ hợp đồng. Không ít khách hàng tham gia các chương trình “sở hữu kỳ nghỉ” trong tâm thế ký để giữ chỗ, ký cho xong thủ tục, mà không ý thức được rằng từng điều khoản trên giấy là một cam kết pháp lý ràng buộc.

Khi xảy ra tranh chấp, cảm giác “bị lừa” phần nào xuất phát từ khoảng cách quá lớn giữa những gì được hứa miệng tại hội thảo và những gì thực sự được ghi trong hợp đồng, thứ mà họ đã vội vã bỏ qua khi ngồi vào bàn ký kết.

Thứ hai, niềm tin quá lớn vào lời hứa miệng, đặc biệt ở nhóm người cao tuổi, khiến họ dễ trở thành mục tiêu. Trong nhiều thế hệ, “lời nói” được xem như cam kết danh dự, thậm chí có giá trị hơn văn bản.

Các đối tượng bán kỳ nghỉ đã khai thác triệt để tâm lý này: Họ tạo dựng không khí trang trọng, gọi khách hàng là “đối tác”, “khách VIP”, liên tục khẳng định “bên cháu cam kết” hoặc “công ty bảo đảm”, khiến người nghe tin vào thiện chí và “uy tín tưởng tượng” hơn là vào cơ sở pháp lý.

Khi đã đặt niềm tin, người lớn tuổi thường ngại hỏi lại, ngại nhờ con cháu kiểm tra, và càng dễ bị dẫn dắt.

Thứ ba, cả du khách lẫn chính doanh nghiệp du lịch vẫn còn thiếu kỹ năng “an toàn số” trong một môi trường ngày càng số hóa mạnh mẽ.

Nhiều cơ sở lưu trú, đặc biệt là khách sạn vừa và nhỏ, homestay, chưa được đào tạo bài bản về an ninh mạng; bộ phận lễ tân thường phải xử lý khối lượng email lớn mỗi ngày, nên một email giả mạo có bố cục chỉn chu, gắn logo Booking.com hay Agoda rất dễ được mở ra một cách vô thức.

Chỉ một cú nhấp chuột vào “file đính kèm” hay “đường link lạ” có thể mở toang cánh cửa cho mã độc xâm nhập, từ đó đe dọa không chỉ dữ liệu nội bộ mà cả thông tin cá nhân, thẻ thanh toán của khách.

Trong bối cảnh ấy, câu hỏi “làm sao để phòng tránh?” không còn là lời khuyến cáo mang tính hình thức, mà là yêu cầu sống còn đối với cả du khách và doanh nghiệp.

Với người dân và khách du lịch, nguyên tắc đầu tiên là tuyệt đối không ký hợp đồng kỳ nghỉ ngay tại các sự kiện mời chào, cho dù khuyến mãi có hấp dẫn đến đâu.

Mọi cam kết tài chính chỉ nên được đưa ra sau khi đã có thời gian mang hợp đồng về nhà, đọc chậm rãi từng điều khoản, tốt nhất là nhờ người có hiểu biết pháp lý hoặc con cháu am hiểu tài chính - công nghệ hỗ trợ.

Những lời hứa “mua lại thẻ với giá cao”, “lợi nhuận cam kết”, “bảo đảm hoàn vốn” cần được nhìn nhận với tâm thế tỉnh táo, bởi pháp luật không bảo vệ những cam kết chỉ tồn tại bằng lời nói mà không hề được ghi trong hợp đồng hoặc đánh đáo con chữ khiến người mua hiểm nhầm.

Cùng với đó, việc kiểm tra pháp lý của doanh nghiệp phải trở thành thói quen như: Tra cứu mã số thuế, địa chỉ thực tế, giấy phép kinh doanh, giấy phép lữ hành hoặc hồ sơ pháp nhân là bước đơn giản nhưng thường bị bỏ qua.

Trong môi trường số, du khách cũng cần nâng cấp “miễn dịch số” của chính mình: không mở email, đường link, tệp đính kèm đáng ngờ; không đăng nhập tài khoản đặt phòng thông qua các đường dẫn gửi kèm trong thư điện tử; luôn ưu tiên truy cập trực tiếp vào ứng dụng hoặc trang chủ chính thức của các nền tảng uy tín.

Chỉ riêng việc thay đổi thói quen “bấm theo link cho nhanh” đã giúp giảm đáng kể nguy cơ bị đánh cắp dữ liệu.

Về phía các cơ sở lưu trú và doanh nghiệp du lịch, bảo vệ mình cũng chính là bảo vệ khách hàng. Đào tạo nhân viên, đặc biệt là bộ phận lễ tân, đặt phòng về cách nhận diện email giả mạo, cách xử lý khi nghi ngờ mã độc, phải được coi là một phần của đào tạo nghiệp vụ chứ không chỉ là “khuyến nghị thêm”.

Doanh nghiệp không thể trông chờ vào các phần mềm bảo vệ mặc định trên hệ điều hành; trong bối cảnh tấn công mạng ngày càng tinh vi, việc đầu tư hệ thống giám sát email, giải pháp chống mã độc chuyên sâu, phân quyền chặt chẽ đối với tài khoản truy cập hệ thống là khoản chi bắt buộc nếu muốn duy trì uy tín.

Song song, mỗi đơn vị cần xây dựng sẵn quy trình phản ứng nhanh khi gặp sự cố: ai là người chịu trách nhiệm, liên hệ cơ quan chức năng nào, thông báo cho khách hàng ra sao…

Việc chuẩn bị này giúp doanh nghiệp không hoảng loạn, giảm thiểu thiệt hại và giữ được sự minh bạch, yếu tố then chốt để giữ niềm tin của du khách trong dài hạn.

Nhìn tổng thể, lừa đảo trong du lịch chỉ có thể bị đẩy lùi khi cả ba phía: du khách, doanh nghiệp và cơ quan quản lý cùng nâng cấp “văn hóa hợp đồng” và “văn hóa an toàn số” của mình.

Lừa đảo trong du lịch, từ kinh doanh kỳ nghỉ đến tấn công mạng không còn là những vụ việc cá biệt. Nó là xu hướng tội phạm mới, khai thác khoảng trống pháp lý và sự thiếu hiểu biết của người dùng.

Ngành Du lịch Việt Nam đang bước vào giai đoạn chuyển đổi số sâu rộng; nếu không đi kèm với một nền tảng kỹ năng bảo vệ mình, chính sự sôi động của thị trường sẽ trở thành môi trường lý tưởng cho các mô hình lừa đảo mới.

Giai đoạn này, sự an toàn của du khách phải được đặt lên hàng đầu. Điều này đòi hỏi các bên cần nâng mức cảnh giác, trang bị kỹ năng số và hành động nhanh hơn tội phạm mạng.