Phishing là gì và cách để bạn bảo vệ mình khỏi các cuộc tấn công lừa đảo

Hình thức lừa đảo phishing đang diễn ra ngày càng trắng trợn hơn trong thế giới số và thường tập trung vào đối tượng là các khách hàng của ngân hàng hoặc những dịch vụ trực tuyến. Hậu quả của các cuộc tấn công này là thông tin người dùng bị đánh cắp, gây thiệt hại về tài sản, tiền bạc,… Muốn tránh sa vào bẫy, bạn cần hiểu rõ phishing là gì và cách phòng tránh nó như thế nào để bảo vệ bản thân tốt hơn.

1. Phishing là gì?

Theo Reuters thì Phishing là phương thức lừa đảo tinh vi mới, được thực hiện để đánh cắp các thông tin riêng tư, nhạy cảm của người dùng như tên truy cập, mật khẩu và các thông tin ngân hàng, tín dụng,.... Hình thức này được thực hiện bằng cách mạo danh một cơ sở đáng tin cậy để yêu cầu người dùng cung cấp thông tin.

Phishing là một kiểu lừa đảo tinh vi để đánh cắp thông tin người dùng

Phishing thường xuất hiện dưới dạng một thực thể đáng tin cậy như một email, website, trang thương mại điện tử (ví dụ: Facebook, Paypal, eBay, Amazon, website ngân hàng,…) nhằm đánh lừa, lấy cắp thông tin của người dùng. Phishing được thực hiện qua email, tin nhắn và sẽ tập trung lừa đảo bằng cách yêu cầu người dùng điền thông tin vào một form mẫu có sẵn hoặc click vào đường link đến website giả mạo.

2. Các loại hình tấn công phishing

Sau khi đã hiểu được phishing là gì, bạn cần nắm rõ các loại phishing phổ biến để có thể nâng cao cảnh giác và có biện pháp phòng ngừa cụ thể hơn.

Theo thống kê của CNN thì có hơn 80% những vụ tấn công của phishing nhắm vào đối tượng là khách hàng thanh toán trực tuyến. Các cuộc tấn công này chủ yếu được thực hiện thông qua việc phát tán mã độc hoặc tạo đường link giả mạo để đánh cắp thông tin người dùng và sau đó tiếp tục chuyển tiền qua nhiều tài khoản trung gian để xóa truy vết.

Mạo danh thông qua email là một trong những phương thức phổ biến nhất của phishing. Theo đó, với phương thức tấn công ngày, các tin tặc sẽ tạo ra các mẫu email với phần địa chỉ có đuôi giả mạo là các website chính phủ (abc.gov.vn,…), hoặc tên các tập đoàn/công ty uy tín, nổi tiếng (facebook.com, apple.com…),… 

Khi nhận được email dạng này, người dùng sẽ dễ bị đánh lừa và thực hiện theo các yêu cầu trong email đề ra như click vào đường dẫn website mạo danh có giao diện giống y hệt website chính thống, điền thông tin vào form mẫu… Các thông tin này sau đó sẽ bị đánh cắp một cách bí mật và gửi đến cho hacker.

Email giả mạo lừa người dùng cung cấp thông tin cá nhân

Ngoài ra, hacker cũng sử dụng các đường dẫn mạo danh với tên miền “gần giống” với tên miền thật (như apple.com, clound.apple.com…) để người dùng dễ bị lầm tưởng và click chuột vào. Lúc này có hai khả năng xảy ra: 

• Một là khi nhấp chuột vào sẽ vô tình kích hoạt mã độc được chèn sẵn vào đường dẫn mạo danh. 
• Hai là sẽ mở ra một website mạo danh chứa form giả mạo.

Không chỉ vậy, có một số tin tặc còn tấn công tinh vi bằng các thủ đoạn nhằm đánh lừa bộ lọc của các nhà cung cấp dịch vụ email. Theo đó, hacker sẽ sử dụng các hình ảnh đồ họa để thay thế cho các văn bản bằng text thông thường, với mục đích gây cản trở cho bộ lọc anti-phishing của các nhà cung cấp dịch vụ email hoặc chương trình bảo mật trong việc tìm kiếm và phát hiện email có nội dung lừa đảo.

Đồng thời, còn một hình thức tấn công lừa đảo phishing khác là các cửa sổ popup, thường hiện ra với các biểu mẫu thông báo trúng thưởng hoặc đăng ký dịch vụ miễn phí để lừa đảo lấy thông tin người dùng. Lúc này cửa sổ popup thường ẩn luôn thanh địa chỉ khiến người dùng khó nhận diện được đường dẫn thực của popup.

Ngoài website và email lừa đảo, các hacker còn sử dụng cả tin nhắn (SMS, Viber, Facebook…) hoặc cuộc gọi mạo danh từ các dịch vụ tài chính để dụ dỗ, yêu cầu người dùng chuyển tiền hoặc cung cấp các thông tin nhạy cảm khác.

3. Cách xác định email hoặc tin nhắn có nội dung lừa đảo

Các email lừa đảo có chứa biểu mẫu giống y hệt biểu mẫu thật nên thoạt nhìn qua, rất ít người nhận ra được đây là “hàng giả”. Vì vậy, để đề phòng bất trắc xảy ra, bạn cần hết sức đề cao cảnh giác. 

Có thể khi mới khởi tạo tài khoản, nhà cung cấp dịch vụ sẽ gửi tới bạn một email xác nhận và yêu cầu thay đổi mật khẩu ban đầu (do ngân hàng cung cấp) nhằm tăng cường tính bảo mật. Nhưng ngoại trừ trường hợp này ra thì nếu bạn không chủ động thực hiện giao dịch chuyển tiền hay thay đổi thông tin cá nhân, các email yêu cầu thông tin khác từ nhà cung cấp đều có khả năng cao là email giả mạo.

Cũng có một số trường hợp do bị rò rỉ mật khẩu hàng loạt nên các nhà cung cấp dịch vụ sẽ gửi mail thông báo và khuyến cáo người dùng thay đổi mật khẩu để tránh thiệt hại. Nhưng lưu ý rằng, lúc đó các mail này sẽ không chứa form đăng nhập hoặc những đường link không rõ ràng. Việc thay đổi thông tin cá nhân sẽ được bạn thực hiện thủ công bằng cách trực tiếp truy cập vào website của nhà cung cấp dịch vụ, sau đó đăng nhập và thay đổi lại mật khẩu.

Email giả mạo ngân hàng HSBC

Ngoài ra, bạn cũng hãy cảnh giác với các email không chứa họ tên của mình trong tiêu đề, mà chỉ có những thông tin chung chung kiểu như “Dear customer/Kính thưa Quý khách hàng,”…

Bạn cũng cần hết sức lưu ý với các email hoặc tin nhắn chứa URL và nội dung như “Hãy click chuột vào liên kết dưới đây để truy cập/đăng nhập tài khoản của bạn", bởi những dòng thông tin như vậy có nguy cơ cao là được chèn các đường link giả mạo với biểu mẫu y hệt như thật.

Đặc biệt, các email “chính chủ” sẽ không bao giờ đưa ra các biểu mẫu bắt buộc khách hàng phản hồi hoặc yêu cầu thay đổi thông tin khẩn cấp, ví dụ như: “Nếu không phản hồi trong vòng xx giờ thì tài khoản của bạn sẽ bị đóng vĩnh viễn".

4. Các biện pháp bảo vệ bản thân khỏi phishing

Tấn công phishing cũng có kỹ thuật tương tự như các kiểu tấn công phổ biến khác và thường đánh vào tâm lý nhẹ dạ, cả tin của người dùng. Do đó, ngoài việc tìm hiểu phishing là gì, để nâng cao cảnh giác và đồng thời cũng trang bị cho bản thân những kiến thức công nghệ cần thiết, bạn cũng cần thực hiện những khuyến cáo sau:

Cần cài sẵn các chương trình bảo mật an ninh mạng để tránh phishing

- Cài sẵn các chương trình bảo mật và an ninh mạng.

- Đừng bao giờ đặt trọn niềm tin vào một email chỉ vì nhìn thấy địa chỉ hoặc đuôi email người gửi trong có vẻ uy tín, bởi chúng hoàn toàn có thể bị làm giả. Một tổ chức ngân hàng, tài chính hoặc dịch vụ giao dịch trực tuyến đáng tin cậy không bao giờ gửi yêu cầu nhập thông tin truy cập ở biểu mẫu ngay trong email gửi cho khách hàng.

- Tránh bấm vào các liên kết có trong tin nhắn. Ngân hàng cũng không bao giờ yêu cầu bạn cung cấp/khai báo thông tin cá nhân thông qua tin nhắn hoặc cuộc gọi.

- Hạn chế lưu lại thông tin nhạy cảm như: mật khẩu, số tài khoản, tên truy cập... vào các ứng dụng dễ bị xem lén, không có mã bảo vệ hoặc mã bảo vệ quá yếu.

- Cần hết sức cảnh giác với đường link đính kèm trong email. Hạn chế click chuột vào đường dẫn không rõ ràng và tuyệt đối không nhập các thông tin nhạy cảm vào các website không sử dụng giao thức bảo mật HTTPS .

- Theo mặc định, hiện nay các dịch vụ thư điện tử lớn như Gmail hay Yahoo Mail thường ẩn dữ liệu hình ảnh trong các thư dịch vụ gửi tới khách hàng để phân biệt với các email mạo danh.

- Theo dõi cẩn thận các SMS thông báo biến động số dư cũng như các mã OTP phát sinh bất thường. Nếu thấy có nguy cơ lừa đảo hãy báo ngay cho ngân hàng và yêu cầu khóa tài khoản tạm thời để bảo vệ tài khoản, ngăn chặn các giao dịch chuyển tiền bất hợp pháp.

- Các ngân hàng, tổ chức sẽ tuyệt đối không gửi kèm các file đính kèm trong email chính thức. Họ sẽ yêu cầu người dùng lên trang chủ chính thức để tải về biểu mẫu, ứng dụng hoặc file mà người dùng cần.

- Cần hết sức lưu ý các tin nhắn chứa mã yêu cầu truy cập tài khoản Facebook, Gmail,..., nếu cảm thấy bất thường hoặc nghi ngờ hãy tăng cường bảo mật.

- Hạn chế truy cập các website khiêu dâm, đánh bài online... vốn chứa nhiều rủi ro về bảo mật và các mã độc. 

Các cuộc tấn công phishing là mối đe dọa rất lớn cho người dùng Internet. Hy vọng với những chia sẻ trên đây của Mắt Bão, bạn đã hiểu được phishing là gì và biết cách để phòng chống hình thức lừa đảo tinh vi này khi sử dụng mạng Internet. Hãy ghi nhớ luôn đề cao cảnh giác và tăng cường bảo mật để hạn chế các vụ tấn công, đánh cắp thông tin có thể xảy ra nhé!

Tổng hợp Internet