Một hình thức lừa đảo công nghệ cao mang tên 'ghost tapping' hay 'chuyển tiếp token' đang xuất hiện tại Việt Nam, cho phép kẻ gian thực hiện giao dịch không tiếp xúc dù nạn nhân vẫn giữ thẻ vật lý trong ví. Bằng cách giả danh nhân viên ngân hàng hoặc cơ quan chức năng, chúng lừa người dùng cung cấp thông tin thẻ và mã OTP, sau đó dùng dữ liệu này để liên kết thẻ với các ví điện tử như Apple Pay, Google Pay hoặc Samsung Wallet trên thiết bị do chúng kiểm soát. Khi hoàn tất, hệ thống ngân hàng phát hành mã định danh thanh toán (payment token), cho phép thiết bị của kẻ gian thanh toán như thẻ thật.

Chuyên gia an ninh mạng Ngô Minh Hiếu nhấn mạnh rằng lỗ hổng không nằm ở các nền tảng ví điện tử, mà ở quy trình xác thực OTP qua SMS – vốn dễ bị lợi dụng. Mã OTP bị cung cấp thực chất là để xác nhận việc thêm thẻ vào ví số, không phải xác minh danh tính. Ông đề xuất ngân hàng cần chuyển sang xác thực trong ứng dụng chính chủ, kèm sinh trắc học và cảnh báo rõ ràng khi thêm thẻ vào thiết bị mới.

Để giảm rủi ro, ngân hàng nên áp dụng chấm điểm rủi ro theo chuỗi hành vi: một thẻ liên kết nhiều thiết bị, giao dịch dồn dập, chuyển địa điểm bất thường hoặc mua hàng xa xỉ ngay sau khi liên kết ví cần được tạm khóa tự động. Người dùng được khuyến cáo không cung cấp OTP, kiểm tra nội dung tin nhắn xác thực và chỉ thêm thẻ từ ứng dụng chính thống. Nếu nghi ngờ, cần khóa thẻ ngay lập tức.