Lừa đảo qua mạng là gì và làm thế nào để ngăn chặn cuộc tấn công mạng này?/What Is Phishing, and How Can You Prevent This Cyberattack?

Lừa đảo qua mạng là gì và làm thế nào để ngăn chặn cuộc tấn công mạng này?

Bởi Holly Rosenkrantz

Cập nhật ngày 04 tháng 09 năm 2024

Lừa đảo qua mạng là một trong những loại lừa đảo trực tuyến lâu đời và phổ biến nhất. Sau đây là cách tự bảo vệ mình.

00:00

Bạn nhận được email từ một dịch vụ bạn sử dụng, thông báo rằng tài khoản của bạn sắp đóng. Tốt hơn hết là hãy nhấp vào liên kết trước khi nó biến mất! Nghe có vẻ hợp lý, nhưng nếu bạn nhấp vào liên kết, bạn có thể trở thành nạn nhân của một trong những trò lừa đảo mạng lâu đời và phổ biến nhất: lừa đảo. Vậy, lừa đảo chính xác là gì?

Loại gian lận mạng này đánh cắp thông tin của bạn hoặc lén đưa phần mềm độc hại (như phần mềm gián điệp hoặc phần mềm tống tiền) vào máy tính của bạn bằng cách sử dụng email như một con ngựa thành Troy để vi phạm bảo mật trực tuyến của bạn . Mục tiêu của một cuộc tấn công lừa đảo là đánh lừa bạn nghĩ rằng email đến từ một người mà bạn có thể biết, như ngân hàng hoặc công ty của bạn, và dụ bạn thực hiện hành động—nhấp vào liên kết hoặc tải xuống tệp đính kèm—trước khi quá muộn.

(Tìm hiểu về hình thức lừa đảo mới, quishing , được thiết kế để vượt qua bộ lọc thư rác.)

Mặc dù lừa đảo qua mạng là một trong những mánh khóe lâu đời nhất trong sách, nhưng các kỹ thuật được sử dụng trong các tin nhắn như vậy đang ngày càng trở nên tinh vi hơn. Đó là một viễn cảnh đáng sợ—và là một lý do chính đáng để trang bị cho mình kiến thức về hoạt động này dưới nhiều hình thức. Chúng tôi đã yêu cầu các chuyên gia an ninh mạng không chỉ trả lời “lừa đảo qua mạng là gì?” mà còn giải thích cách tránh trở thành nạn nhân của trò lừa đảo này. Có một số chiến lược, nhiều chiến lược trong số đó tương tự như các bước bạn sẽ thực hiện nếu máy tính của bạn bị hack hoặc nếu bạn đang chống lại doxxing và các cuộc tấn công vào danh sách mật khẩu của mình.

Lừa đảo là gì? (What is phishing?)

Eric Goldstein, trợ lý giám đốc điều hành về an ninh mạng tại Cơ quan An ninh mạng và Cơ sở hạ tầng, cho biết: “Lừa đảo qua mạng là một hình thức tấn công kỹ thuật xã hội sử dụng email hoặc các trang web độc hại để thu thập thông tin cá nhân hoặc lừa bạn tải xuống phần mềm độc hại”.

Được phát âm là “fishing”, thuật ngữ này gợi lên hình ảnh một cần thủ ném một lưỡi câu có mồi xuống nước. Trong trường hợp này, email lừa đảo là lưỡi câu có mồi, và kẻ lừa đảo đằng sau nó chỉ hy vọng mục tiêu sẽ cắn câu. Đối với chữ “ph” ở đầu từ, nó có thể đã bị ảnh hưởng bởi các thuật ngữ hack ban đầu như phone phreaking (hack hệ thống điện thoại).

Thực hành này có thể đã bắt đầu trên America Online (AOL) vào những năm 1990, khi tin tặc cố gắng lừa người dùng AOL cung cấp thông tin đăng nhập của họ. Ban đầu, đây là một kỹ thuật để lấy số thẻ tín dụng, nhưng nó đã phát triển rộng rãi hơn nữa.

Ngày nay, khi bạn nhấp vào email lừa đảo, nó thường cài đặt vi-rút hoặc phần mềm độc hại vào máy tính hoặc thiết bị của bạn. Nhấp vào nó trên máy tính hoặc thiết bị làm việc và vi-rút hoặc phần mềm độc hại có thể cung cấp cho kẻ tấn công quyền truy cập vào toàn bộ mạng của công ty.

Quentin Hodgson, một nhà nghiên cứu cấp cao tập trung vào an ninh mạng tại Rand Corporation, cho biết: “Một email lừa đảo điển hình sẽ cố gắng tạo ra cảm giác cấp bách hoặc FOMO (sợ bỏ lỡ) và thường đưa ra lời đề nghị có vẻ quá tốt để có thể là sự thật… bởi vì nó là như vậy”. “Có bao nhiêu công ty thực sự có thể trả cho bạn 300 đô la để có được ý kiến của bạn hoặc gửi cho bạn một chiếc iPad miễn phí?”

Hầu hết các vụ vi phạm dữ liệu lớn đều xuất phát từ email lừa đảo. Ví dụ, vụ tấn công Colonial Pipeline nổi tiếng năm 2021 là một cuộc tấn công bằng phần mềm tống tiền trong đó tội phạm đã truy cập thông qua email lừa đảo nhắm vào một nhân viên công ty. Và vụ tấn công Sony Pictures năm 2014 đã được châm ngòi bởi một số email có vẻ như là từ Apple, được gửi đến các giám đốc điều hành của công ty.

Có những loại lừa đảo nào? (What are the types of phishing?)

Đến giờ, bạn đã vượt qua câu hỏi “Lừa đảo là gì?” Câu hỏi cấp bách tiếp theo là: Lừa đảo có những hình thức nào? Tin tặc có thể làm được rất nhiều điều chỉ với email của bạn, đó có lẽ là lý do tại sao lừa đảo qua email lại thống trị. Nhưng vẫn còn những cách khác mà kẻ xấu sử dụng để nhắm mục tiêu vào chúng ta. Khi bạn đã biết về các chiến thuật khác nhau, bạn có thể tránh chúng tốt hơn.

Lừa đảo qua email (Email phishing)

Goldstein cho biết hơn 90 phần trăm các cuộc tấn công mạng bắt đầu bằng một email lừa đảo. Có ba thành phần chính của một email lừa đảo có thể đánh lừa những nạn nhân không nghi ngờ:

• Người gửi giả: Để lừa bạn tin rằng email lừa đảo là hợp pháp, kẻ tấn công sẽ làm cho email trông như thể đến từ một người mà bạn tin tưởng, chẳng hạn như công ty thẻ tín dụng, tổ chức chính phủ hoặc nhà bán lẻ như Amazon. Đây là một hành vi mờ ám được gọi là giả mạo.
• Dòng tiêu đề gây chú ý: Kẻ lừa đảo viết dòng tiêu đề email để khiến bạn mở thư.
• Tin nhắn hấp dẫn: Nội dung của email lừa đảo nhằm mục đích khiến bạn tải xuống tệp đính kèm (chẳng hạn như tệp Microsoft Word có mã độc trong macro) hoặc nhấp vào liên kết sẽ đưa bạn đến một trang web độc hại. Tại đó, bạn có thể vô tình tải xuống phần mềm độc hại, như phần mềm quảng cáo, phần mềm gián điệp, phần mềm tống tiền hoặc vi-rút.

Lừa đảo qua mạng (Spear phishing)

Kiểu tấn công này nhắm vào một người hoặc công việc cụ thể tại một công ty hoặc tổ chức. Hodgson lưu ý rằng lừa đảo qua thư điện tử trái ngược với “một vụ nổ hàng loạt” cùng loại email đến một nhóm người nhận qua mạng của công ty với hy vọng bắt được một vài người. Thông thường, một email lừa đảo qua thư điện tử sẽ nhắm vào bộ phận tài chính của công ty, giả vờ là một người quản lý và yêu cầu chuyển khoản ngân hàng lớn ngay lập tức.

Lừa đảo CEO, một loại lừa đảo khác, nhắm vào—bạn đoán đúng rồi đấy—là CEO của một tổ chức. Mục tiêu là khiến người giữ vị trí lãnh đạo cao nhất của công ty chuyển một khoản tiền lớn cho kẻ tấn công.

Smishing

Smishing là thuật ngữ chỉ hình thức lừa đảo qua tin nhắn SMS, một loại hình tấn công trong đó kẻ lừa đảo gửi tin nhắn văn bản SMS đến điện thoại di động.

Đây có thể là hình thức lừa đảo nguy hiểm nhất hiện nay. Mặc dù mọi người đã biết về lừa đảo qua email kể từ khi “hoàng tử Nigeria” đầu tiên gửi yêu cầu tài trợ, họ có thể không cảnh giác với tin nhắn giả mạo.

Vishing

Hầu hết chúng ta đều quen thuộc với các cuộc gọi tự động —chúng ta nhận được đủ các cuộc gọi như vậy trong ngày. Nhưng đó không phải là điều tồi tệ nhất mà ai đó có thể làm chỉ với số điện thoại của bạn.

Tệ hơn cả những người tiếp thị qua điện thoại là những kẻ xấu sử dụng thư thoại hoặc cuộc gọi điện thoại như một cuộc tấn công lừa đảo. Trong một quá trình được gọi là vishing, một cuộc gọi điện thoại được ghi âm yêu cầu bạn nhấn một số trên bàn phím của bạn hoặc một người gọi sẽ khai thác thông tin cá nhân của bạn, có thể nói rằng họ đến từ Sở Thuế vụ (IRS), ngân hàng của bạn hoặc trường học của con bạn.

Liên kết thao tác (Link manipulation)

Trong thế giới lừa đảo phishing, thao túng liên kết giống như móc một con sâu giả vào lưỡi câu của bạn để lừa cá cắn câu. Ngoại trừ trường hợp này, con sâu dường như là một liên kết hợp lệ. Tuy nhiên, ẩn bên dưới nó là một liên kết đến một trang web độc hại.

Đây là một mẹo giúp bạn tránh vô tình nhấp vào liên kết bị thao túng: Di chuột qua liên kết, nhưng đừng nhấp ngay. Hãy nhìn vào cuối trang web của bạn để xem URL thực tế mà bạn sẽ được chuyển hướng đến. Nếu có vẻ đáng ngờ—ví dụ, nếu văn bản được liên kết ghi là “thay đổi mật khẩu Google của bạn” nhưng URL là http://www.gooooooglepaswrd.com, thì có thể đó là thao túng liên kết.

Lừa đảo nhân bản (Clone phishing)

Giả sử gần đây bạn nhận được email từ ngân hàng có tệp đính kèm hoặc liên kết. Vài tuần sau, bạn lại nhận được email tương tự. Đây chỉ là một trường hợp khác về việc các công ty gửi quá nhiều email, đúng không? Có thể không.

Với lừa đảo qua email, kẻ tấn công mạng tạo lại các email hợp lệ. Tất cả các chi tiết đều giống nhau, nhưng chúng thay thế các liên kết hoặc tệp đính kèm bằng nội dung lừa đảo. Chúng cho rằng hầu hết mọi người sẽ nhận ra email nhưng không xem xét kỹ các thay đổi. Và chúng thường đúng.

Quảng cáo độc hại (Malvertising)

Với cái tên bắt nguồn từ các từ “độc hại” và “quảng cáo”, malvertising kết hợp hai thứ mà bạn không thích nhất: các trang web độc hại và quảng cáo. Trong loại tấn công lừa đảo này, tội phạm mạng sẽ gửi cho bạn một quảng cáo giả mạo trông có vẻ hợp pháp nhưng chứa các liên kết đến các trang web phát tán phần mềm độc hại.

Lừa đảo công cụ tìm kiếm (Search engine phishing)

Hình thức tấn công lừa đảo lén lút này nhắm vào bạn khi bạn tìm kiếm. Hãy xem xét tình huống này: Bạn nhận được yêu cầu đáng ngờ về tiền trên PayPal. Chắc chắn đó là một vụ lừa đảo, bạn thực hiện tìm kiếm trên Google để biết thông tin liên hệ của PayPal. Bạn nhấp vào một liên kết, vô tình chuyển đến một trang web PayPal giả mạo, đưa bạn trực tiếp vào tay những kẻ lừa đảo, những kẻ sẽ yêu cầu tất cả thông tin cá nhân của bạn.

Đó chỉ là một ví dụ về mối đe dọa được gọi là lừa đảo công cụ tìm kiếm. Sử dụng các kỹ thuật SEO, tội phạm mạng sẽ đưa trang web lừa đảo của họ xuất hiện trên trang đầu tiên của Google. Từ đó, chúng có thể gây ra đủ loại thiệt hại: khiến bạn nhấp vào liên kết độc hại, tải xuống phần mềm độc hại hoặc gọi điện cho một trong những kẻ xấu và cung cấp thông tin cá nhân.

Dược phẩm (Pharming)

Kiểu tấn công mạng này chuyển hướng lưu lượng truy cập từ một trang web hợp pháp đến một trang web giả mạo. Mặc dù trang web có vẻ hợp pháp, nhưng nó chứa nội dung độc hại nhằm đánh cắp dữ liệu cá nhân của bạn.

Trong khi các nhà môi giới dữ liệu có thể sử dụng cookie và các công cụ khác để thu thập thông tin cá nhân nhằm bán cho các nhà quảng cáo, chiến dịch chính trị hoặc các bên quan tâm khác, thì hoạt động lừa đảo dữ liệu lại thu thập dữ liệu riêng tư mà tin tặc có thể sử dụng để đánh cắp danh tính của bạn.

Email lừa đảo trông như thế nào? (What do phishing emails look like?)

RD.com, qua Phishing.org

Có một số cách để phát hiện email lừa đảo. Để bắt đầu, hãy tìm các tính năng sau:

• Lỗi ngữ pháp và lỗi chính tả trong tin nhắn cũng như địa chỉ email của người gửi
• Logo công ty không chính xác
• Các liên kết độc hại (bạn sẽ biết chúng là giả mạo bằng cách di chuột qua chúng và xem xét URL thực tế)
• Người gửi quen thuộc (bạn bè, đồng nghiệp hoặc người liên hệ khác) gửi email với dòng tiêu đề chung chung hoặc câu khách, chẳng hạn như “Xem tôi tìm thấy gì này” và một liên kết
• Một dòng tiêu đề đáng sợ
• Dòng tiêu đề cung cấp thứ gì đó miễn phí
• Một thông điệp gợi lên phản ứng cảm xúc hoặc cảm giác cấp bách
• Tệp đính kèm trông có vẻ phác thảo
• Liên kết chia sẻ tệp yêu cầu bạn nhập mật khẩu vào một cửa sổ khác
• Người gửi tự nhận là hỗ trợ kỹ thuật

Một manh mối khác cho thấy email bạn vừa nhận được là một cuộc tấn công lừa đảo? Nó đến từ một tổ chức chính phủ như IRS hoặc Cơ quan An sinh Xã hội. Các yêu cầu hợp pháp từ các cơ quan chính phủ thường đến qua thư—hiếm khi là email.

Lừa đảo nhắm vào ai? (Who does phishing target?)

Tất cả chúng ta đều muốn nghĩ rằng tin tặc nhắm vào những người lớn – bạn biết đấy, những người lãnh đạo các tập đoàn lớn hoặc những người có ảnh hưởng trong các cơ quan chính phủ. Nhưng không phải vậy. Lừa đảo có thể nhắm vào bất kỳ ai: một khách hàng ngân hàng trực tuyến, một thành viên gia đình sử dụng mạng xã hội và thậm chí là bạn.

Làm thế nào để tôi ngăn chặn email lừa đảo? (How do I stop phishing emails?)

Tin tặc sẽ không ngừng gửi email lừa đảo; chúng thực sự là một mỏ vàng. Vì vậy, bạn phải tự bảo vệ mình. Để bắt đầu, hãy thực hiện các hành động quan trọng sau:

• Không nhấp vào các liên kết đáng ngờ hoặc mở tệp đính kèm email đáng ngờ.
• Đặt mật khẩu mạnh và không sử dụng lại chúng trên nhiều trang web.
• Sử dụng xác thực hai yếu tố để bảo mật tài khoản của bạn.
• Sử dụng bộ lọc thư rác để chặn các email có thể gây khó chịu hoặc nguy hiểm.
• Tránh đăng dữ liệu cá nhân như ngày sinh, số điện thoại, địa chỉ và kế hoạch nghỉ mát lên mạng xã hội công cộng .
• Tải xuống tiện ích mở rộng trình duyệt chống lừa đảo hoặc ứng dụng bảo mật để bảo vệ chống lại các cuộc tấn công lừa đảo.

Goldstein cho biết để tránh bị lừa đảo qua mạng, bạn cần lưu ý một mẹo quan trọng: Hãy dành chút thời gian suy nghĩ trước khi nhấp chuột.

Nguồn:

• Eric Goldstein , trợ lý giám đốc điều hành về an ninh mạng tại Cơ quan An ninh mạng và Cơ sở hạ tầng
• Quentin Hodgson , nhà nghiên cứu an ninh mạng cấp cao tại Rand Corporation
• FBI : “Lừa đảo và An toàn”
• Cơ quan An ninh mạng và Cơ sở hạ tầng : “Bưu thiếp an ninh chung về lừa đảo”
• Cisco : “Xu hướng đe dọa an ninh mạng: lừa đảo, tiền điện tử đứng đầu danh sách”
• Máy tính thần kinh và ứng dụng : “Chống lại các cuộc tấn công lừa đảo: tình hình hiện tại và những thách thức trong tương lai”
• Verizon Business : “Lịch sử của Lừa đảo qua mạng”

Here’s What Google Knows About You—and What You Can Do About It

Làm thế nào để biến mất khỏi Internet

Cách khôi phục tài khoản Facebook bị hack

English:

What Is Phishing, and How Can You Prevent This Cyberattack?

Sương Lam

Website: www.suonglamportland.wordpress.com

http://www.youtube.com/user/suonglam