Brushing Scam là gì?

Bạn đã bao giờ nhận được một gói hàng từ Amazon, Shopee hay một sàn thương mại điện tử nào đó mà bạn hoàn toàn không đặt mua? Đừng vội vui mừng vì món quà “từ trên trời rơi xuống” này. Đây có thể là dấu hiệu cho thấy bạn đang là mục tiêu của một trò lừa đảo tinh vi gọi là Brushing Scam.

Bài viết này sẽ giải thích chi tiết Brushing Scam là gì, cơ chế hoạt động của nó và những bước bạn cần làm ngay để bảo vệ thông tin cá nhân.

Brushing Scam là gì?

Brushing Scam (tạm dịch: Lừa đảo “đánh bóng” tên tuổi) là một hình thức gian lận thương mại điện tử, trong đó người bán (thường là các gian hàng không trung thực) gửi các gói hàng giá trị thấp đến địa chỉ của những người nhận ngẫu nhiên.

Mục đích của hành động này không phải là tặng quà, mà là để tạo ra các đơn hàng ảo. Sau khi hàng được giao thành công, kẻ lừa đảo sẽ sử dụng thông tin của bạn để viết những đánh giá 5 sao (Verified Purchase) nhằm tăng uy tín và thứ hạng hiển thị cho gian hàng của họ trên các nền tảng như Amazon, eBay, v.v.

Quy trình hoạt động của trò lừa đảo Brushing

Để thực hiện trót lọt một vụ Brushing Scam, kẻ gian thường tuân theo quy trình sau:

1. Thu thập dữ liệu: Kẻ lừa đảo lấy được danh sách họ tên và địa chỉ của bạn thông qua các vụ rò rỉ dữ liệu (data breach), mua lại từ web đen hoặc các trang tìm kiếm thông tin công khai.
2. Tạo tài khoản giả: Chúng lập một tài khoản người mua giả mạo trên sàn thương mại điện tử.
3. Đặt hàng: Kẻ lừa đảo dùng tài khoản giả đó để “mua” chính sản phẩm của chúng và điền địa chỉ nhận hàng là nhà của bạn.
4. Gửi hàng giá rẻ: Để tiết kiệm chi phí, chúng thường gửi các món đồ rất nhẹ và rẻ tiền (như hạt giống, dây buộc tóc, ốp lưng điện thoại hoặc thậm chí là hộp rỗng) thay vì sản phẩm thật đắt tiền.
5. Viết đánh giá giả: Khi hệ thống báo “Giao hàng thành công”, kẻ lừa đảo sẽ dùng tài khoản giả để viết đánh giá tích cực, giúp đẩy sản phẩm lên top tìm kiếm.

Tại sao nhận “hàng miễn phí” lại nguy hiểm?

Nhiều người nghĩ rằng nhận được đồ miễn phí thì chẳng hại gì. Tuy nhiên, đằng sau gói hàng đó là những rủi ro bảo mật nghiêm trọng:

• Lộ lọt thông tin cá nhân: Việc bạn nhận được hàng chứng tỏ kẻ lừa đảo đã nắm trong tay Tên, Địa chỉ nhà và có thể là Số điện thoại của bạn. Dữ liệu này có thể bị bán tiếp cho các bên thứ ba.
• Tiền đề cho tội phạm danh tính: Đây có thể là bước “kiểm tra” (test) xem địa chỉ của bạn có chính xác không trước khi chúng thực hiện các hành vi gian lận tài chính hoặc trộm cắp danh tính quy mô lớn hơn.
• Mã độc qua QR Code: Một biến tướng nguy hiểm hơn là trong gói hàng có chứa mã QR. Nếu bạn tò mò quét mã này, nó có thể dẫn đến các trang web lừa đảo (phishing) hoặc cài phần mềm độc hại vào điện thoại của bạn.

Dấu hiệu nhận biết bạn đang bị dính Brushing Scam

Hãy cảnh giác nếu bạn gặp các trường hợp sau:

• Nhận được gói hàng không hề đặt mua (thường là đồ rẻ tiền, chất lượng kém).
• Gói hàng không có địa chỉ người gửi rõ ràng hoặc đến từ kho hàng nước ngoài.
• Bên trong gói hàng có các phiếu yêu cầu quét mã QR để nhận thưởng.

Cần làm gì khi nhận được gói hàng Brushing Scam?

Nếu bạn trở thành nạn nhân, hãy bình tĩnh và thực hiện các bước sau để giảm thiểu rủi ro:

1. Kiểm tra người thân: Xác nhận lại với người nhà xem có ai đặt món đồ đó không (để tránh hiểu lầm).
2. Tuyệt đối không quét mã QR: Nếu trong hộp có mã QR hoặc đường link lạ, đừng truy cập.
3. Kiểm tra tài khoản ngân hàng: Rà soát ngay lịch sử giao dịch xem có khoản tiền nào bị trừ vô lý không.
4. Báo cáo cho sàn thương mại điện tử: Liên hệ với Amazon, Shopee, Lazada… (nơi gửi gói hàng) để báo cáo hành vi gian lận. Họ cần biết để khóa tài khoản người bán đó.
5. Đổi mật khẩu: Để an toàn, hãy đổi mật khẩu các tài khoản mua sắm và kích hoạt bảo mật 2 lớp (2FA).
6. Xử lý món hàng: Thông thường, bạn có quyền giữ lại món hàng đó hoặc vứt bỏ. Đừng cố gắng gửi trả lại vì bạn có thể phải chịu phí ship hoặc rơi vào bẫy lừa đảo khác.

Cách phòng tránh và bảo vệ bản thân

Chúng ta không thể kiểm soát hoàn toàn việc dữ liệu bị lộ từ các công ty, nhưng bạn có thể hạn chế rủi ro bằng cách:

• Hạn chế chia sẻ thông tin: Không công khai địa chỉ nhà, số điện thoại lên mạng xã hội ở chế độ Public.
• Sử dụng dịch vụ bảo vệ danh tính: Cân nhắc các công cụ quét web đen (Dark Web scan) để biết thông tin của mình có bị rò rỉ hay không.
• Yêu cầu gỡ bỏ thông tin: Sử dụng quyền “Right to be forgotten” (Quyền được lãng quên) hoặc các dịch vụ gỡ bỏ thông tin khỏi các trang môi giới dữ liệu (data brokers).

Tổng hợp