Phishing là một công cụ đơn giản và hiệu quả mà tin tặc sử dụng để đánh lừa mọi người chuyển giao thông tin nhạy cảm hoặc tải xuống phần mềm có hại. Đây là một trong những loại tội phạm mạng lâu đời nhất nhưng cũng là một trong những loại tội phạm sáng tạo nhất; hacker liên tục phát triển các kiểu tấn công Phishing mới để khiến người dùng mất cảnh giác.
Các bài viết liên quan:
Nếu thông tin nhạy cảm của bạn có giá trị đối với bạn — và chúng tôi sẽ đoán điều đó — bạn có thể tự hỏi làm thế nào để ngăn chặn các cuộc tấn công Phishing. Để trả lời câu hỏi đó và giúp bạn bảo vệ danh tính của mình khi trực tuyến, chúng tôi sẽ giải thích Phishing trực tuyến là gì, hướng dẫn 5 loại Phishing phổ biến và đưa ra một số mẹo về cách tránh cắn mồi.
Phishing là gì?
Phishing bắt đầu từ những ngày của Internet quay số vào giữa những năm 1990. Nó được phát âm giống như cách câu cá (“ph” là tiếng lóng của hacker) do nó được so sánh với một người câu cá cố gắng bắt cá bằng cách để lại một cái móc có mồi. Mồi câu, trong trường hợp này, là liên lạc Phishing dưới dạng email, tin nhắn di động hoặc cuộc gọi điện thoại.
Phishing là cố tình gây hiểu lầm và được ngụy trang dưới dạng thông tin liên lạc được gửi từ các nguồn hợp pháp. Thông điệp được thiết kế để gây áp lực cho người đọc email phải thực hiện hành động ngay lập tức. Ví dụ: bạn có thể nhận được một email có vẻ như đến từ ngân hàng của bạn, thông báo rằng có sự cố với tài khoản của bạn. Vì lợi ích bảo mật của bạn, bạn được yêu cầu cập nhật thông tin chi tiết của mình bằng cách nhấp vào một liên kết.
Nếu bạn “cắn” và nhấp vào liên kết, bạn sẽ được đưa đến một trang là bản sao tương tự của một trang web chính hãng (bao gồm các biểu ngữ chính thức và thương hiệu) để lừa bạn nhập thông tin chi tiết của mình. Sau đó, tin tặc có thể đánh cắp thông tin nhạy cảm, bao gồm mật khẩu, số tài khoản hoặc chi tiết hộ chiếu. Với thông tin này, bọn tội phạm có thể mua hàng trực tuyến, ăn cắp tiền hoặc thực hiện hành vi trộm cắp danh tính.
Tin tốt là nếu bạn không cắn thì chiến thuật đó sẽ không thành công.
Các loại Phishing khác nhau là gì?
Một cuộc tấn công Phishing là bất kỳ nỗ lực gian lận nào nhằm tìm kiếm nạn nhân. Một số cuộc tấn công quy mô lớn hơn được gọi là chiến dịch Phishing, vì chúng thường nhắm mục tiêu vào hàng loạt người có mẫu email hoặc chiến thuật tương tự. Các chiến dịch có thể dễ hoặc khó phát hiện, tùy thuộc vào độ phức tạp của chúng.
Về các phương pháp Phishing, có năm loại Phishing phổ biến mà bạn nên biết. Điều này không có nghĩa là đây là năm loại duy nhất, nhưng chúng bao gồm một số hình thức Phishing phức tạp hơn có thể khó phát hiện hơn. Mỗi định nghĩa Phishing trong số này đều tuân theo cùng một chủ đề “câu cá”, vì vậy chúng không quá khó nhớ.
Phishing Spear
Cũng giống như việc đánh cá nhằm vào một con cá cụ thể, trò Phishing bằng giáo nhắm mục tiêu vào một cá nhân cụ thể. Thật không may, cá nhân đó có thể là bạn.
Trong một nỗ lực Phishing trực tuyến, một tin tặc nghiên cứu kỹ lưỡng một mục tiêu cụ thể và gửi thư từ được tạo riêng để đánh lừa mục tiêu đó. Các cuộc tấn công phishing thường nhằm vào nhân viên tại các tổ chức, với các email có vẻ như là từ đồng nghiệp.
Một báo cáo của Europol năm 2019 đã nhấn mạnh Phishing trực tuyến là một mối đe dọa mới nổi và nó vẫn là một trong những hình thức Phishing phức tạp hơn mà người bình thường có thể phát hiện ra.
Ví dụ về Phishing trực tuyến:
- Một email công việc gửi bạn bằng tên của bạn và có vẻ như nó được viết bởi một đồng nghiệp.
- Email từ một người nào đó trong tổ chức của bạn mà bạn chưa từng gặp, yêu cầu bạn gửi cho họ thông tin nhạy cảm.
- Email từ một người tự xưng là trong nhóm nhân sự của công ty bạn, yêu cầu bạn mở liên kết để ký vào sổ tay nhân viên mới.
Whaling
Whaling là một kiểu Phishing nhằm vào các mục tiêu lớn hay còn gọi là “cá voi”. Một số mục tiêu này có thể bao gồm CEO, chính trị gia hoặc thành viên nổi bật của tổ chức. Tin tặc có xu hướng nỗ lực và tinh vi hơn vào loại tấn công Phishing này, nhưng phần thưởng có thể rất lớn.
Ví dụ về Whaling:
- Một email được gửi đến giám đốc điều hành của một công ty từ một tin tặc giả danh khách hàng.
- Một email được gửi tới nhóm nhân sự hoặc trả lương từ một tin tặc giả danh là Giám đốc điều hành của công ty.
- Một email được gửi đến một chính trị gia hoặc một nhóm các chính trị gia bởi một tin tặc giả danh cơ quan chính phủ.
Clone phishing
Phishing nhân bản có thể là một trong những loại Phishing khó phát hiện hơn. Đó là một cuộc tấn công tinh vi, trong đó tin tặc chặn thư từ thực sự giữa hai người có thể biết rõ về nhau.
Trong một nỗ lực sao chép Phishing, tin tặc đã sao chép một email hợp pháp từ một nguồn đáng tin cậy. Đối với nạn nhân, email dường như là phần tiếp theo của một cuộc trò chuyện trước đó. Nhưng email hoặc tin nhắn sao chép cụ thể này có thể chứa một liên kết độc hại.
Ví dụ về Phishing nhân bản:
- Một email được gửi bởi một tin tặc giả danh là mẹ của bạn, yêu cầu bạn mở một liên kết để xem một bức ảnh trong kỳ nghỉ của cô ấy.
- Một email được gửi bởi một tin tặc giả vờ là một đối tác kinh doanh thân thiết, yêu cầu bạn mở một tệp đính kèm để xem một đề xuất mới.
Vishing
Vishing là Phishing qua cuộc gọi điện thoại. Cái tên là từ ghép của hai từ: “giọng nói” và “Phishing
Hing.” Cách tiếp cận cũng giống như với bất kỳ loại Phishing nào khác; để có vẻ hợp pháp nhằm lấy thông tin nhạy cảm từ nạn nhân. Luôn thận trọng nếu nhận được một cuộc điện thoại không mong muốn yêu cầu thông tin nhạy cảm.
Ví dụ về Vishing:
- Tài khoản ngân hàng bị xâm phạm. Trong kiểu tấn công trực quan này, tin tặc có thể gọi điện và cố gắng thuyết phục bạn rằng tài khoản ngân hàng của bạn đã bị xâm phạm và có nguy cơ bị tấn công mạng.
- Một lời đề nghị trong mơ. Một số tin tặc có thể gọi cho bạn một khoản vay hoặc giải thưởng để cố gắng thu thập thông tin cá nhân của bạn. Những ưu đãi này nghe có vẻ rất hấp dẫn, nhưng đừng để bị lừa — nếu điều gì đó nghe có vẻ quá tốt là đúng thì có thể là như vậy.
- Phishing thuế. Một số tin tặc có tầm nhìn giả mạo là nhân viên thu thuế, đe dọa hoặc làm mục tiêu của họ sợ hãi bằng cách nói về khoản nợ thuế còn tồn đọng và các khoản tiền phạt kếch xù.
Smishing
Smishing nghe có vẻ lạ, nhưng tất cả đều quá thật. Từ “đánh lừa” là từ ghép nối của từ “SMS” và “Phishing” —có nghĩa là, vâng, đây là một dạng Phishing trực tuyến xảy ra qua tin nhắn văn bản.
Trong một cuộc tấn công đập phá điển hình, bạn có thể nhận được một tin nhắn khó hiểu từ bạn bè hoặc thành viên gia đình, yêu cầu bạn chuyển tiền cho một hóa đơn chưa thanh toán. Tin tặc cũng có thể cố lấy thông tin cá nhân khác như chi tiết ngân hàng, số thẻ, địa chỉ email của bạn, v.v. Trong nhiều trường hợp đánh lừa, tin tặc chỉ đơn giản là cố gắng ăn cắp tiền, nhưng chúng cũng có thể đang cố gắng đánh cắp danh tính.
Nỗ lực Smishing có thể có tác động sâu rộng. Vào năm 2020, một chiến dịch Phishing qua SMS đã nhắm mục tiêu vào các ứng dụng ngân hàng di động ở Bắc Mỹ. Tin nhắn đã được gửi đến một số lượng lớn người. Khi theo liên kết đi kèm, nạn nhân đã được dẫn đến một trang đăng nhập sai cho tài khoản ngân hàng trực tuyến của họ. Chiến dịch đặc biệt này đã thu hút 4.000 nạn nhân.
Ví dụ về Smishing:
- Smishing ngân hàng. Trò Phishing này cố gắng khiến bạn hành động bằng cách nói rằng tài khoản ngân hàng của bạn đã bị tấn công, trong khi trên thực tế, đây chính là âm mưu hack.
- Smishing phần mềm độc hại. Với trò Phishing này, bạn có thể nhận được một tin nhắn văn bản khuyến khích bạn tải thứ gì đó xuống điện thoại của mình, chẳng hạn như một ứng dụng. Ứng dụng này có thể trông giống như từ một nguồn đáng tin cậy, nhưng nó có thể được sử dụng để truy cập dữ liệu nhạy cảm từ điện thoại thông minh của bạn thông qua một cửa hậu.
- Smishing tiền. Những nỗ lực này có thể giống như một lời cầu xin tiền từ một người mà bạn biết. Họ đang cố gắng “điều khiển xã hội” để bạn đưa ra một quyết định tồi, tức là họ muốn làm cho bạn cảm thấy hoảng sợ hoặc tội lỗi, vì vậy bạn sẽ bị cám dỗ để gửi tiền nhanh chóng.
Những cách ngụy trang Phishing phổ biến nhất là gì?
Email Phishing chính hãng càng xuất hiện nhiều thì càng có nhiều khả năng nạn nhân sẽ mắc bẫy. Đây là lý do tại sao tin tặc bắt chước các thương hiệu nổi tiếng được nhiều người sử dụng. Một báo cáo năm 2019 của Vade Secure đã tiết lộ các thương hiệu phổ biến nhất đối với tin tặc bao gồm PayPal, Facebook, Microsoft, Netflix và WhatsApp.
Điều thú vị là báo cáo cũng xác định các cách tiếp cận phổ biến nhất mà email Phishing sử dụng để “mồi chài” nạn nhân. Thư từ thường đề cập đến “hoạt động bất thường” với tài khoản của người đó, với nhu cầu xác minh ngay lập tức. Nhưng có nhiều cách tiếp cận sáng tạo hơn, bao gồm cung cấp các giao dịch không có thật, nội dung khiêu dâm miễn phí hoặc hóa đơn yêu cầu thanh toán (ví dụ: từ Amazon).
Các sự kiện thịnh hành cũng có thể được sử dụng trong các chiến dịch. Vào năm 2020, Tổ chức Y tế Thế giới (WHO) đã bị lợi dụng trong một cuộc tấn công Phishing. Các email trông giống như những lời nhắc hữu ích từ WHO, với các hướng dẫn về cách ngăn chặn sự lây lan của coronavirus. Khai thác nỗi lo toàn cầu xung quanh vi-rút, người dùng đã theo một liên kết để truy cập tài liệu và truy cập trang đăng nhập Microsoft Outlook giả mạo. Bất kỳ thông tin chi tiết nào được nhập trên trang này đều được gửi trực tiếp đến tin tặc.
Cách nhận biết email hoặc trang web Phishing
Mặc dù bảo mật trên nhiều tài khoản email có hiệu quả trong việc phát hiện các cuộc tấn công Phishing, nhưng tin tặc ngày càng tinh vi hơn trong cách tiếp cận của chúng.
Đã qua rồi cái thời của những email được viết sơ sài với những lời hứa quá mức về việc thu về hàng triệu đô la chỉ bằng cách chuyển giao chi tiết ngân hàng của bạn. Email Phishing hiện đại có thể chứa thông tin được điều chỉnh, thương hiệu công ty hoặc URL giống như thật.
Vì vậy, làm thế nào để bạn vẫn cảnh giác trước các cuộc tấn công Phishing? Dưới đây là một số mẹo để giúp bạn:
Tìm kiếm các phần tử email chung chung
Đôi khi bạn có thể phát hiện ra một email Phishing nhờ vào phần giới thiệu chung chung của nó (“Thưa ông” hoặc “Thưa bà”) hơn là tên của bạn. Rõ ràng hơn, nếu email đến từ một công ty mà bạn không có tài khoản, thì đó có thể là từ một chiến dịch hàng loạt. Bỏ qua nó và báo cáo nếu cần thiết.
Để ý những điểm bất thường trong âm điệu và định dạng
Bất cứ khi nào bạn nhận được thư yêu cầu bạn thực hiện hành động, hãy tự hỏi bản thân: liệu người này có thường liên hệ với tôi về những yêu cầu như vậy qua email không? Hãy cảnh giác với giọng điệu và ngôn ngữ của thư từ, kể cả những sai sót nhỏ nhặt. Có gì bất thường không? Hãy chú ý đến phần “từ” và nếu nghi ngờ, hãy trả lời trong một email mới thay vì trực tiếp.
Kiểm tra cẩn thận địa chỉ của bất kỳ liên kết nào trước khi nhấp vào nó
Hầu hết các email Phishing bao gồm
một liên kết dẫn bạn đến một trang web giả mạo. Các trang web Phishing như vậy là “cánh cổng” để bạn vô tình nhập thông tin của mình cho tin tặc. Đảm bảo kiểm tra cẩn thận địa chỉ của trang web được đề cập, ví dụ: “wwwn26.com” so với “www.n26.com”. Để ý biểu tượng khóa (trong Chrome) cho biết kết nối an toàn.
Hãy nghi ngờ các trang web được chuyển hướng
Luôn hoài nghi về các trang web được chuyển hướng (nơi URL thay đổi và bạn được đưa đến một trang khác). Nếu bất kỳ liên kết nào có vẻ đáng ngờ và bạn muốn sử dụng liên kết đó một cách an toàn, hãy mở một cửa sổ mới và truy cập trực tiếp vào trang web.
Ví dụ: nếu bạn nhận được email từ PayPal với liên kết để đăng nhập vào tài khoản của mình, bạn không cần phải truy cập trực tiếp vào PayPal trong trình duyệt của mình và đăng nhập từ đó. Nếu thư là chính hãng, bạn có thể truy cập tài khoản của mình theo cách này để biết thêm thông tin.
Các mẹo khác về cách ngăn chặn Phishing
Hãy thận trọng bất cứ lúc nào bạn được yêu cầu gửi thông tin nhạy cảm. Ví dụ: Dịch vụ khách hàng N26 không bao giờ hỏi bạn mật khẩu hoặc số thẻ tín dụng. Và luôn giữ bí mật mã thông báo 10 chữ số trên thẻ của bạn (không chụp ảnh mặt đó của thẻ).
Các mẹo khác về cách ngăn chặn Phishing bao gồm:
- Đảm bảo máy tính của bạn có phần mềm bảo mật cập nhật.
- Cài đặt tiện ích mở rộng chống Phishing trên trình duyệt web của bạn.
- Tạo một mật khẩu mạnh cho từng tài khoản của bạn và không bao giờ sử dụng cùng một mật khẩu cho các tài khoản khác nhau.
- Đảm bảo rằng điện thoại di động của bạn đã được cài đặt các bản cập nhật mới nhất.
- Kích hoạt xác thực đa yếu tố (hoặc Xác thực 2 yếu tố “2FA”) – một bước bổ sung để đăng nhập, chẳng hạn như mã được gửi đến điện thoại di động của bạn.
- Không công khai thông tin cá nhân trực tuyến vì tin tặc có thể sử dụng thông tin này.
Cách báo cáo một cuộc tấn công Phishing
Với sự gia tăng ngày càng tinh vi của Phishing, bạn vẫn có thể trở thành nạn nhân của một cuộc tấn công mặc dù đã làm tất cả những gì có thể để tránh nó. Nếu điều này xảy ra, có một số cách để báo cáo sự cố:
Liên hệ trực tiếp với nhà cung cấp email của bạn. Ví dụ: liên hệ với Bộ phận hỗ trợ của Google.
Liên hệ trực tiếp với công ty có thông tin bị bắt chước để họ biết những gì đã xảy ra.
Nếu thông tin cá nhân của bạn đã bị đánh cắp, hãy liên hệ với bộ phận tội phạm mạng của cơ quan cảnh sát địa phương của bạn.
Khách hàng của N26 có thể thông báo cho chúng tôi thông qua chức năng trò chuyện của ứng dụng hoặc trên trang web N26. Tuy nhiên, với tất cả những gì bạn cần biết về Phishing và bảo mật của tài khoản N26, chúng tôi hy vọng điều đó sẽ không xảy ra.
Phishing là một kỹ thuật phổ biến nhưng nó phụ thuộc vào việc bạn nhận thức được càng nhiều càng tốt. Vì vậy, hãy luôn cảnh giác, hãy hoài nghi và ghi nhớ bài viết này để tránh bị móc túi.
