Một bài đăng lan truyền trên Facebook gần đây ghi lại cảnh người dùng dùng ứng dụng trên điện thoại để gọi vào chính máy mình, với số hiển thị là 0999999999 - một số không hề thuộc về người thực hiện cuộc gọi. Thử nghiệm được thực hiện trên cả Viettel lẫn Vinaphone, kết quả đều giống nhau: số giả hiện lên y chang số thật. Tác giả bài đăng khẳng định đây là cảnh báo, không phải hướng dẫn.
Nhưng vấn đề thực sự lớn hơn nhiều so với một ứng dụng cụ thể, hay một bài đăng trên mạng.
Người dùng có thể set bất cứ số điện thoại nào họ muốn. Người được gọi sẽ hiển thị số được tuỳ chỉnh này trên màn hình nhận cuộc gọi
Không phải hack - đây là lỗi thiết kế 50 năm tuổi
Kỹ thuật này có tên gọi là Caller ID Spoofing, tức giả mạo số điện thoại hiển thị. Nó không phải exploit mới hay lỗ hổng vừa bị phát hiện. Đây là hệ quả trực tiếp từ kiến trúc của hệ thống viễn thông toàn cầu, được thiết kế từ thập niên 1970.
Giao thức điều khiển cuộc gọi truyền thống (SS7) ra đời năm 1975 không có cơ chế xác thực số người gọi. Khi thực hiện cuộc gọi, mạng điện thoại chỉ hiển thị số mà bên gọi tự khai báo, không kiểm tra xem số đó có thực sự thuộc về họ hay không. Hệ thống được xây dựng trên nguyên tắc "tin tưởng mặc định" - điều này từng không phải vấn đề khi mạng viễn thông chỉ có vài nhà mạng nhà nước hoạt động trong môi trường kiểm soát chặt.
Sự xuất hiện của VoIP (gọi điện qua internet) đã thay đổi hoàn toàn bức tranh đó. Với VoIP, bất kỳ ai cũng có thể kết nối vào hệ thống viễn thông toàn cầu và điền số bất kỳ vào trường "From" của gói tín hiệu trước khi gửi đi. Mạng nhận cuộc gọi - kể cả Viettel hay Vinaphone - nhận tín hiệu từ đối tác quốc tế và hiển thị đúng số đó mà không có bước kiểm tra thêm.
Các app thực hiện caller ID spoofing không "hack" vào hệ thống của nhà mạng. Chúng đơn giản là hoạt động đúng theo cách hệ thống VoIP được thiết kế để hoạt động - nhưng điền vào đó số điện thoại không phải của mình.
Nhà mạng nhận và hiển thị số điện thoại mà bên kia khai báo chứ không có bước xác thực xem số được khai báo có chính xác là số mà người gọi sở hữu hay không
Mỹ đã bắt buộc triển khai chuẩn chống spoofing STIR/SHAKEN từ năm 2019, nhưng quá trình thực thi kéo dài nhiều năm và vẫn chưa hoàn chỉnh. Việt Nam chưa có lộ trình tương tự. Biện pháp đối phó đang triển khai là chương trình Voice Brandname - có cơ sở pháp lý từ Nghị định 91/2020/NĐ-CP, và được Bộ Thông tin và Truyền thông (nay là Bộ Khoa học và Công nghệ sau khi hợp nhất từ tháng 3/2025) tiên phong gắn tên định danh cho các số của cơ quan nhà nước từ ngày 27/10/2023. Đến nay, 732 số điện thoại di động của cơ quan nhà nước đã được định danh, và một số ngân hàng, doanh nghiệp cũng đã đăng ký tham gia - nhưng phạm vi còn chưa đồng đều, không phủ toàn bộ tổ chức tài chính và hoàn toàn không cover số cá nhân.
Tại sao đây là mối đe dọa nguy hiểm hơn bất kỳ thứ gì trước đây
Mọi hướng dẫn phòng chống lừa đảo qua điện thoại hiện tại đều dựa trên một giả định: số lạ mới nguy hiểm, số quen thì an toàn.
Giả định đó đang sụp đổ.
Kẻ tấn công có thể spoof đúng số "Bố", "Mẹ", "Sếp", hay "Ngân hàng MB" đã lưu trong danh bạ. Khi đó, điện thoại tự động tra danh bạ, tìm thấy kết quả trùng khớp, và hiển thị tên người thân. Không có cảnh báo nào xuất hiện. Không có dấu hiệu bất thường nào. Tất cả trông y chang một cuộc gọi bình thường từ người bạn tin tưởng.
Mức độ nguy hiểm đang tăng thêm một bậc khi kỹ thuật này bắt đầu kết hợp với giả giọng nói bằng AI.
Các hệ thống tổng hợp giọng nói nhân tạo hiện tại chỉ cần một đoạn giọng ngắn để tái tạo lại giọng của một người với độ chân thực đáng lo ngại. Nguồn mẫu giọng? Video đăng lên TikTok, Facebook, YouTube - thứ mà phần lớn người dùng Việt Nam đang chia sẻ hàng ngày mà không nghĩ đến rủi ro này.
Kịch bản tấn công kết hợp trông như thế này: điện thoại hiển thị số của mẹ, người nghe nhận ra đúng giọng mẹ, mẹ nói cần tiền gấp vì sự cố. Không có cách nào phân biệt thật hay giả nếu chỉ dựa vào màn hình và tai nghe.
Luật nói gì
Luật An ninh mạng 2025 (số 116/2025/QH15, có hiệu lực từ 01/7/2026) nghiêm cấm sử dụng trí tuệ nhân tạo hoặc công nghệ mới để giả mạo video, hình ảnh, giọng nói của người khác trái quy định pháp luật.
Nếu caller ID spoofing được dùng để lừa đảo, người thực hiện có thể bị truy cứu hình sự về tội lừa đảo chiếm đoạt tài sản theo Điều 174 Bộ luật Hình sự 2015 (sửa đổi, bổ sung 2017). Mức phạt tùy giá trị tài sản bị chiếm đoạt: từ cải tạo không giam giữ với số tiền nhỏ, lên đến tù từ 12 năm đến 20 năm hoặc tù chung thân nếu chiếm đoạt từ 500 triệu đồng trở lên. Dự thảo Nghị định xử phạt hành chính về an ninh mạng đang lấy ý kiến (tháng 3/2026) còn đề xuất phạt tiền đến 100 triệu đồng với cá nhân vi phạm.
Nhưng luật xử lý được hành vi sau khi xảy ra - không ngăn được cuộc gọi.
Thứ duy nhất thực sự hiệu quả
Caller ID spoofing có một điểm yếu cố hữu không thể vượt qua: kẻ thực hiện không kiểm soát được số điện thoại mà họ đang mạo danh. Họ giả số đó ở chiều gọi đi - nhưng không thể nhận cuộc gọi ngược lại trên số đó.
Đây là cơ sở của biện pháp phòng thủ duy nhất thực sự hiệu quả: cúp máy và gọi lại chủ động.
Khi nhận cuộc gọi bất thường - dù số hiển thị là số quen, dù nội dung có vẻ khẩn cấp, dù giọng nghe quen thuộc - nếu có yêu cầu chuyển tiền hay cung cấp thông tin nhạy cảm, hãy cúp máy và tự mình gọi lại vào đúng số đó. Nếu người thân thật sự cần gì, họ sẽ nghe. Nếu không ai nghe hoặc có điều bất thường, đó là dấu hiệu đủ để dừng lại.
Một thói quen bổ sung có giá trị: thiết lập "mật khẩu gia đình" - một từ hoặc câu ngắn mà chỉ người trong nhà biết. Nếu có cuộc gọi xưng là người nhà và cần tiền gấp, hỏi mật khẩu. AI giả giọng không có cách biết mật khẩu riêng đó.
Với giao dịch tài chính qua điện thoại, dù từ bất kỳ số nào hiển thị - kể cả số ngân hàng quen thuộc - nguyên tắc chung là không thực hiện bất kỳ thao tác nào theo yêu cầu trong cuộc gọi đến. Thay vào đó, tự vào ứng dụng ngân hàng hoặc gọi đến hotline chính thức ghi trên thẻ để xác minh.
Các ứng dụng lọc cuộc gọi phổ biến như Truecaller không giúp được gì trong tình huống này: chúng hoạt động bằng cách tra cơ sở dữ liệu số spam đã báo cáo, trong khi số bị spoof chính là số người thân trong danh bạ - không ai báo cáo số đó là spam. Tính năng "Silence Unknown Callers" trên iPhone hay bộ lọc số lạ trên Android cũng vô hiệu vì số bị spoof được hệ thống xếp vào loại quen biết.
Thiệt hại từ lừa đảo trực tuyến tại Việt Nam ước tính lên đến 18.900 tỷ đồng trong năm 2024, theo báo cáo của Hiệp hội An ninh mạng quốc gia (NCA). Cuộc gọi điện thoại là một trong những kênh phổ biến nhất mà kẻ lừa đảo dùng để tiếp cận nạn nhân. Trong bối cảnh công nghệ giả mạo ngày càng dễ tiếp cận, thứ quan trọng nhất không phải là ứng dụng bảo vệ hay thiết bị - mà là thói quen xác minh trước khi hành động.
