8 kiểu tấn công giả mạo (phishing attack) bạn nên biết

Những kẻ lừa đảo sử dụng các kỹ thuật lừa đảo (phishing) để đánh lừa nạn nhân. Tìm hiểu cách phát hiện các cuộc tấn công lừa đảo (phishing attack) và giữ an toàn khi trực tuyến.

• Vai trò của phát hiện xâm nhập bằng AI trong phòng thủ mạng
• Vai trò của AI trong việc tăng cường an ninh mạng
• Lập trình mạng là gì? Hướng dẫn lập trình mạng đơn giản
• Tìm hiểu các thông tin xoay quanh lập trình ngôn ngữ tư duy
• Machine learning trong các nền tảng bảo vệ ứng dụng đám mây

Phishing (tấn công giả mạo) là một trong những mối đe dọa an ninh mạng lớn nhất trên thế giới. Đây là hình thức tấn công mạng mà kẻ tấn công giả mạo thành một cá nhân hoặc đơn vị uy tín để lừa người dùng cung cấp thông tin hoặc chuyển tiền cho chúng.

Trên thực tế, theo nghiên cứu của công ty an ninh mạng Barracuda, phishing đã trở nên tràn lan đến mức số lượng các cuộc tấn công giả mạo liên quan đến coronavirus đã tăng 667% từ tháng 1 đến tháng 3 năm nay. Điều đáng báo động hơn nữa là theo một nghiên cứu của Intel, có tới 97% người dùng không thể nhận ra email phishing.

Để tránh trở thành nạn nhân, bạn cần biết cách mà những kẻ lừa đảo có thể dùng để tấn công bạn. Dưới đây là tám kiểu phishing khác nhau mà bạn có thể gặp phải.

1. Phishing qua email (Email phishing)

Theo phương thức này, email được thiết kế để bắt chước một công ty hợp pháp. Đây là kiểu tấn công ít phức tạp nhất. Chúng không nhắm đến một người cụ thể mà thường được gửi đến hàng triệu người dùng với hy vọng rằng một số người cả tin sẽ nhấp vào liên kết, tải xuống tệp hoặc làm theo hướng dẫn trong email.

Chúng thường không được cá nhân hóa, sử dụng các cách chào chung chung như “Kính gửi chủ tài khoản” hoặc “Kính gửi khách hàng thân mến”. Chúng cũng thường gây sợ hãi với những từ như ‘KHẨN CẤP’ (URGENT) để thúc đẩy người dùng nhấp vào liên kết.

2. Spear Phishing

Đây là một loại phishing phức tạp và nâng cao hơn nhằm vào một nhóm hoặc thậm chí một cá nhân cụ thể. Nó thường được sử dụng bởi các hacker cao cấp để xâm nhập vào các tổ chức.

Những kẻ lừa đảo nghiên cứu sâu rộng về nạn nhân, lý lịch của họ hoặc những người mà họ thường xuyên tương tác để có thể tạo ra một thông điệp cá nhân hơn. Bởi vậy nạn nhân của nó thường không nghĩ rằng có gì đó không ổn.

Luôn kiểm tra địa chỉ email và định dạng của thư xem có giống những gì bạn thường nhận được từ người đó không. Ngay cả khi thư có vẻ đến từ người bạn biết, tốt nhất bạn nên gọi điện cho người gửi và xác minh lại trước khi tải xuống tệp đính kèm hoặc nhấp vào liên kết.

>>> Xem thêm: 7 cách phát hiện ứng dụng Android giả mạo

3. Whaling (săn bắt cá voi)

Đây là một kiểu phishing tinh vi và tiên tiến khác, nhắm vào một nhóm người cụ thể — các giám đốc điều hành doanh nghiệp cấp cao như quản lý hoặc CEO.

Chúng nhắc đến nạn nhân ngay trong lời chào và thông điệp có thể ở dạng trát đòi hầu tòa, khiếu nại pháp lý hoặc điều gì đó yêu cầu hành động khẩn cấp để tránh bị phá sản, sa thải hoặc các khoản phí pháp lý.

Những kẻ tấn công sẽ dành nhiều thời gian để nghiên cứu sâu rộng về nạn nhân và tạo ra một thông điệp chuyên biệt nhắm vào những người chủ chốt trong một tổ chức, những người thường có quyền truy cập vào các tài khoản hoặc thông tin nhạy cảm.

Nạn nhân sẽ được gửi liên kết đến một trang đăng nhập trông có vẻ thuyết phục, qua đó tin tặc sẽ lấy được mã truy cập hoặc thông tin đăng nhập. Một số tội phạm mạng cũng sẽ yêu cầu nạn nhân tải xuống tệp đính kèm để xem phần còn lại của trát đòi hầu tòa hoặc thư. Các tệp đính kèm này có phần mềm độc hại có thể xâm nhập vào máy tính.

4. Vishing

Vishing (kết hợp của voice – giọng nói và phishing) hoặc lừa đảo bằng giọng nói là một loại phishing nhưng thay vì gửi email, những kẻ tấn công sẽ cố gắng lấy thông tin đăng nhập hoặc chi tiết ngân hàng qua điện thoại.

Những kẻ tấn công sẽ đóng giả nhân viên từ một tổ chức hoặc nhân viên hỗ trợ từ một công ty dịch vụ, sau đó sử dụng nhiều mánh khóe để yêu cầu nạn nhân cung cấp thông tin chi tiết về ngân hàng hoặc thẻ tín dụng.

Chúng có thể thông báo cho nạn nhân về một số tiền quá hạn như thuế, tiền thắng cuộc thi hoặc đóng giả một nhân viên hỗ trợ công nghệ yêu cầu quyền truy cập từ xa vào máy tính. Chúng cũng có thể sử dụng tin nhắn được ghi âm trước và giả mạo số điện thoại, khiến một cuộc gọi từ nước ngoài trông giống như từ nội địa. Điều này được thực hiện nhằm giúp cuộc tấn công đáng tin hơn và khiến nạn nhân tin rằng cuộc gọi là hợp pháp.

Các chuyên gia khuyên mọi người không bao giờ cung cấp thông tin nhạy cảm như chi tiết đăng nhập, số CMND hoặc chi tiết ngân hàng và thẻ tín dụng qua điện thoại. Hãy gác máy và gọi ngay cho ngân hàng hoặc nhà cung cấp dịch vụ của bạn.

5. Smishing

Smishing (kết hợp giữa SMS – tin  nhắn điện thoại và phishing) là bất kỳ hình thức phishing nào liên quan đến việc sử dụng tin nhắn văn bản hoặc SMS. Những kẻ lừa đảo sẽ cố gắng dụ bạn nhấp vào một liên kết được gửi qua tin nhắn, dẫn bạn đến một trang web giả mạo. Bạn sẽ được yêu cầu nhập thông tin nhạy cảm như chi tiết thẻ tín dụng. Tin tặc sau đó sẽ thu thập thông tin này từ trang web.

Đôi khi chúng sẽ thông báo rằng bạn đã giành được giải thưởng hoặc nếu bạn không nhập thông tin của mình, bạn sẽ tiếp tục bị tính phí mỗi giờ cho một dịch vụ nào đó. Nói chung, bạn nên tránh trả lời tin nhắn từ những số mà bạn không nhận ra. Ngoài ra, tránh nhấp vào các liên kết bạn nhận được từ tin nhắn văn bản, đặc biệt nếu bạn không biết nguồn.

6. Angler Phishing

Thủ đoạn phishing tương đối mới này sử dụng phương tiện truyền thông xã hội để thu hút mọi người chia sẻ thông tin nhạy cảm. Những kẻ lừa đảo theo dõi những người đăng về ngân hàng và các dịch vụ khác trên phương tiện truyền thông xã hội. Sau đó, họ giả làm đại diện dịch vụ khách hàng của công ty đó.

Giả sử bạn đăng bài than phiền về việc tiền gửi vào tài khoản bị trì hoãn hoặc một số dịch vụ ngân hàng không tốt và nhắc đến tên ngân hàng của bạn. Tội phạm mạng sẽ sử dụng thông tin này để giả vờ rằng chúng đến từ ngân hàng và liên hệ với bạn.

Sau đó, bạn sẽ được yêu cầu nhấp vào một liên kết để nói chuyện với đại diện dịch vụ khách hàng và sẽ được yêu cầu cung cấp thông tin để xác minh danh tính của bạn.

Khi bạn nhận được thông báo như thế này, tốt nhất bạn nên liên hệ với bộ phận dịch vụ khách hàng thông qua các kênh an toàn như kênh Facebook chính thức – nó thường sẽ có một dấu hiệu tài khoản đã được xác minh.

>>> Xem thêm: Giới thiệu công cụ bảo vệ chống tấn công giả mạo (phishing) của Windows 11 22H2

7. CEO phishing

Hình thức phishing này gần giống như whaling. Nó nhắm mục tiêu vào các CEO và quản lý nhưng thậm chí còn ngấm ngầm hơn vì mục tiêu không chỉ là lấy thông tin từ CEO mà là mạo danh người đó. Kẻ tấn công, giả danh Giám đốc điều hành hoặc các chức danh tương tự sau đó sẽ gửi email cho đồng nghiệp yêu cầu chuyển tiền thông qua chuyển khoản ngân hàng hoặc yêu cầu họ gửi thông tin bí mật ngay lập tức.

Cuộc tấn công này thường nhằm vào một người nào đó trong công ty được ủy quyền thực hiện chuyển khoản ngân hàng, chẳng hạn như thủ quỹ, người từ bộ phận tài chính hoặc những người nắm giữ thông tin nhạy cảm. Thông báo thường có âm thanh rất khẩn cấp nhằm khiến nạn nhân không có thời gian để suy nghĩ.

8. Phishing qua Công cụ Tìm kiếm (Search Engine Phishing)

Đây là một trong những kiểu tấn công phishing mới nhất sử dụng các công cụ tìm kiếm hợp pháp. Những kẻ lừa đảo sẽ tạo ra một trang web không có thật cung cấp các giao dịch, các mặt hàng miễn phí và giảm giá cho các sản phẩm, và thậm chí cả những lời mời làm việc giả mạo. Sau đó, chúng sẽ sử dụng các kỹ thuật SEO (tối ưu hóa công cụ tìm kiếm) để các trang web của chúng được lập chỉ mục (index*) bởi các trang web hợp pháp.

Vì vậy, khi bạn tìm kiếm một thứ gì đó, công cụ tìm kiếm sẽ hiển thị cho bạn kết quả bao gồm các trang web giả mạo này. Bạn sẽ bị lừa để đăng nhập hoặc cung cấp thông tin nhạy cảm.

Một số kẻ lừa đảo đang trở nên thành thạo trong việc sử dụng các kỹ thuật tiên tiến để thao túng các công cụ tìm kiếm nhằm thu hút lưu lượng truy cập vào trang web của chúng.

Luôn cập nhật thông tin và cảnh giác

Bạn không cần biết tên của từng loại hình phishing, mà điều quan trọng là phải biết cách các thông điệp lừa đảo được tạo ra như thế nào và những kẻ tấn công sử dụng kênh nào để tiếp cận bạn.

Điều quan trọng nữa là bạn phải luôn cảnh giác và biết rằng có rất nhiều người muốn lừa để bạn cung cấp thông tin chi tiết của mình. Hãy nhớ rằng công ty của bạn có thể trở thành mục tiêu của một cuộc tấn công và bọn tội phạm đang tìm cách xâm nhập vào tổ chức của bạn.

Nhận thức về sự tồn tại của các mối đe dọa như vậy là bước đầu tiên để ngăn máy tính của bạn bị kẻ tấn công xâm nhập. 

Bạn cũng cần hiểu rằng những kẻ tấn công đôi khi lợi dụng sự hoảng sợ của người dùng để khiến họ làm theo ý của chúng. Vì vậy, khi đối mặt với một mối đe dọa, điều quan trọng là phải bình tĩnh suy nghĩ trước khi hành động. 

*Index là quá trình các công cụ tìm kiếm (ví dụ như Google) quét và đánh giá các website dựa trên nội dung mà người dùng Internet đang tìm kiếm. Và cứ sau mỗi quá trình như vậy, nó sẽ lưu lại kết quả và so sánh, sau đó đánh giá mức độ uy tín, đáng tin cậy của website đó.

>>> Nếu bạn đang có nhu cầu học lập trình trực tuyến, tìm hiểu ngay tại đây:

>>> Xem thêm chuỗi bài viết liên quan:

Nhận biết trang web lừa đảo hay giả mạo qua 15 cách căn bản

5 Robot AI giống người thật nhất thời đại

Tương lai trí tuệ nhân tạo AI trong kỷ nguyên số

Ngôn ngữ lập trình nên học khi học lập trình trí tuệ nhân tạo

Những phẩm chất cần thiết để phát triển trí tuệ nhân tạo

Sức hút từ lĩnh vực AI – Trí tuệ nhân tạo với người Việt trẻ

Vân Nguyễn (theo Makeuseof)