Phishing là gì? Cách phòng chống chiêu trò lừa đảo Phishing

Phishing là một hình thức tấn công mạng vô cùng nguy hiểm, có thể gây ra thiệt hại khủng khiếp cho các cá nhân, tổ chức và doanh nghiệp. Cùng bePAY tìm hiểu tấn công Phishing là gì và một số cách nhận biết cũng như phòng chống tấn công Phishing hiệu quả trong bài viết dưới đây.

Phishing là gì?

Phishing hay Phishing Attack là gì? Phishing (Tấn công giả mạo) là hình thức tấn công mạng được hacker sử dụng để giả mạo một đơn vị uy tín nhằm lừa đảo người dùng. Thông thường, tin tặc sẽ giả mạo thành các ngân hàng uy tín, trang web giao dịch trực tuyến, ví điện tử, những công ty thẻ tín dụng hay người nổi tiếng để lừa người dùng chia sẻ một số thông tin quan trọng như: tài khoản thẻ tín dụng, mật khẩu đăng nhập tài khoản ngân hàng, mật khẩu ví giao dịch tiền điện tử và các thông tin khác.

Phương thức tấn công này thường được hacker thực hiện thông qua email và tin nhắn điện thoại. Người dùng khi mở email và click vào đường link giả mạo sẽ được yêu cầu nhập tài khoản và mật khẩu. Nếu “mắc câu”, tin tặc sẽ có được thông tin quan trọng về tài khoản tiền điện tử của bạn ngay tức khắc.

Phương thức Phishing được biết đến lần đầu tiên vào những năm cuối thế kỷ 20. Nguồn gốc của tên gọi Phishing là sự kết hợp của 2 từ: Fishing For Information (câu thông tin) và Phreaking (lừa đảo sử dụng điện thoại của người khác). Do sự giống nhau giữa việc “câu cá” và “câu thông tin của người dùng” nên thuật ngữ Phishing cũng từ đó mà ra đời.

Cách Phishing hoạt động 

Thông thường các cuộc tấn công Phishing sẽ bắt đầu bằng một email lừa đảo đến từ các hacker. Email sẽ mạo danh những tổ chức uy tín để thu hút nạn nhân. Mục đích của việc này là để nạn nhân dễ dàng cung cấp thông tin bí mật cho hacker.

Quá trình lên kế hoạch cho một cuộc tấn công Phishing bao gồm:

• Lên kế hoạch: Xác định doanh nghiệp hoặc người nổi tiếng để mạo danh. Sau đó, các hacker cũng sẽ tiến hành lấy địa chỉ email khách hàng của doanh nghiệp đó. 
• Thiết lập: Sau giai đoạn xác định, các Phisher (kẻ lừa đảo bằng hình thức Phishing) sẽ tìm cách gửi email lừa đảo và thu thập dữ liệu. Chúng thường sử dụng địa chỉ email và một website nào đó được thiết kế trông có vẻ uy tín.
• Tấn công: Các Phisher sẽ bắt đầu gửi những tin nhắn và email giả mạo đến từ một nguồn đáng tin cậy.
• Ăn cắp dữ liệu: Các Phisher sẽ tổng hợp thông tin đã thu thập được của nạn nhân.
• Tiến hành lừa đảo: Bằng thông tin đã thu thập được, các Phisher sẽ thực hiện hành động mua bán bất hợp pháp, lừa đảo thêm những người khác có liên quan tới nạn nhân hoặc thậm chí là rút tiền thẳng từ ví của họ.

>> Xem thêm: Mô hình Ponzi là gì? 6 dấu hiệu nhận biết dự án Ponzi hiện nay

Hình thức Phishing phổ biến

Sau khi tìm hiểu khái niệm và cách thức hoạt động của Phishing, bây giờ chúng ta hãy cùng khám phá tiếp một số hình thức lừa đảo “câu thông tin” người dùng phổ biến mà các hacker hay dùng nhé.

Giả mạo email

Phishing email là gì? Phishing email có thể được hiểu đơn giản là Giả mạo email. Đây là một trong những kỹ thuật cơ bản của lừa đảo Phishing. Tin tặc sẽ gửi email cho người dùng dưới danh nghĩa của một tổ chức uy tín, dụ người dùng click vào đường link dẫn tới một trang web giả mạo và yêu cầu người dùng đăng nhập tài khoản.

Những email giả mạo thường được thiết kế giống với email chính chủ, chỉ khác một vài chi tiết nhỏ. Nhiều người dùng sẽ không thể nhận ra được những điểm khác biệt nhỏ đó, dẫn đến nhầm lẫn và trở thành nạn nhân của hacker.

Để làm cho nội dung email giả mạo giống thật nhất có thể, kẻ tấn công luôn cố gắng “ngụy trang” bằng nhiều yếu tố sau:

• Địa chỉ người gửi (VD: địa chỉ thật là [email protected] thì địa chỉ giả mạo có thể sẽ là [email protected]).
• Chèn logo hoặc sử dụng hình ảnh thương hiệu của tổ chức để tăng độ tin cậy.
• Thiết kế cửa sổ pop-up giống hệt bản gốc (cả về font chữ, màu sắc,…).
• Sử dụng kĩ thuật giả mạo đường dẫn để lừa người dùng (VD: text là vietinbank.com.vn nhưng khi click vào thì bạn lại bị điều hướng tới viettinbank.com.vn).

Giả mạo website

Thực chất, việc giả mạo website trong Phishing chỉ là làm giả một Landing page chứ không phải toàn bộ web. Trang được làm giả thường là trang đăng nhập để “câu” thông tin của nạn nhân. Kỹ thuật làm giả website có một số đặc điểm sau mà bạn cần lưu ý:

• Thiết kế giống 99% so với website gốc.
• URL chỉ khác 1 ký tự duy nhất để bạn khó phân biệt. VD: reddit.com (thật) và redit.com (giả), microsoft.com vs mircosoft.com, google.com vs verify-google.com.
• Luôn có những thông điệp khuyến khích người dùng nhập thông tin tài khoản hoặc thông tin cá nhân vào website (CTA).

Qua mặt các bộ lọc Phishing

Hiện nay, các nhà cung cấp dịch vụ gửi email như Google hay Microsoft đều có bộ lọc Spam/Phishing để bảo vệ người dùng. Tuy nhiên, bộ lọc này hoạt động dựa trên việc kiểm tra văn bản trong email để phát hiện email đó có phải Phishing hay không. 

Hiểu được điều này, tin tặc đã cải tiến các chiến dịch tấn công Phishing lên một tầm cao mới. Chúng thường sử dụng ảnh, video để truyền tải thông điệp lừa đảo thay vì dùng văn bản như trước đây. Người dùng cần cảnh giác cao độ với những nội dung như thế này.

Lừa đảo qua cuộc gọi

Lừa đảo qua cuộc gọi thoại là một dạng Social Engineering. Hình thức này không sử dụng văn bản hay hình ảnh mà sử dụng giọng nói thông qua các cuộc gọi lừa đảo được thiết kế để lấy thông tin quan trọng như thông tin đăng nhập tài khoản tiền điện tử hay tài khoản ngân hàng. Hacker có thể giả mạo là nhân viên của tổ chức uy tín nào đó để gạ hỏi thông tin của nạn nhân. 

Rủi ro của Phishing 

Đối với doanh nghiệp:

• Khi các kẻ tấn công thâm nhập vào hệ thống doanh nghiệp, ngay lập tức chúng sẽ nắm quyền kiểm soát toàn bộ hoặc một phần hệ thống đó.
• Tiền của công ty sẽ bị kẻ gian đánh cắp.
• Thông tin của toàn bộ khách hàng cũng như nhân viên của công ty sẽ đồng loạt bị hacker đánh cắp.
• Dữ liệu bị khóa lại và không thể truy cập được.
• Ảnh hưởng đến danh tiếng và độ uy tín của công ty.

Đối với cá nhân:

• Tiền sẽ bị đánh cắp từ tài khoản ngân hàng hoặc ví tiền điện tử.
• Hacker sẽ truy cập vào ảnh, video và các tệp tin của bạn.
• Hacker sẽ tạo ra những bài đăng lừa đảo trên tài khoản mạng xã hội của bạn để “câu” thêm những nạn nhân khác.
• Hacker có thể mạo danh bạn để nhắn tin cho bạn bè hoặc thành viên gia đình để lừa đảo và chiếm đoạt tài sản.

Cách phòng chống Phishing

Đối với tổ chức

• Training cho nhân viên để tăng kiến thức đảm bảo an toàn khi sử dụng Internet. Thường xuyên tổ chức các buổi tập huấn, trải nghiệm các tình huống giả mạo để nâng cao khả năng xử lý tình huống.
• Sử dụng dịch vụ G-suite cho doanh nghiệp, không nên sử dụng dịch vụ Gmail miễn phí vì những địa chỉ mail này rất dễ bị giả mạo.
• Triển khai bộ lọc SPAM để tránh nhận thư rác, lừa đảo.
• Luôn cập nhật và kiểm tra những phần mềm mà doanh nghiệp sử dụng, tránh để lỗ hổng bảo mật bị kẻ tấn công lợi dụng.
• Chủ động mua các gói bảo mật cho những thông tin quan trọng.

Đối với cá nhân

Để tránh bị hacker tấn công Phishing trên Internet để thu thập dữ liệu cá nhân hay những thông tin nhạy cảm của bạn, hãy lưu ý một số điểm sau:

• Cảnh giác với các email thúc giục bạn nhập thông tin nhạy cảm. Cho dù lời kêu gọi rất hấp dẫn thì vẫn nên kiểm tra kỹ càng. Ví dụ: bạn mới mua sắm online, đột nhiên có email từ ngân hàng gửi tới đề nghị hoàn tiền cho bạn, chỉ cần bạn nhập lại thông tin thẻ đã dùng để thanh toán. Đây là chiêu lừa đảo được các hacker sử dụng rất nhiều, bạn nên cẩn trọng nhé.
• Không click vào bất kỳ đường link nào được gửi đến từ email lạ nếu bạn không chắc chắn nó an toàn 100%.
• Không bao giờ gửi thông tin quan trọng như mật khẩu qua email.
• Không trả lời những email lừa đảo. Hacker thường gửi cho bạn số điện thoại để bạn gọi vì mục đích kinh doanh. Họ sử dụng công nghệ Voice Over Internet Protocol để ẩn các cuộc gọi của họ và bạn sẽ không bao giờ có thể tìm lại được cuộc gọi đó.
• Sử dụng Fire Wall và các phần mềm diệt virus. Hãy thường xuyên cập nhật những phiên bản mới nhất của phần mềm này.
• Hãy chuyển tiếp các thư rác mà bạn nghi ngờ lừa đảo đến địa chỉ [email protected]. Bạn cũng có thể gửi email tới [email protected] – một tổ chức được thành lập để chống lại các chiêu trò Phishing.

Những công cụ hữu ích giúp phòng chống lừa đảo Phishing

Sau đây là 3 công cụ giúp bạn phòng chống lừa đảo Phishing:

• Anti-phishing Domain Advisor

Về cơ bản, Anti-phishing Domain Advisor là một thanh công cụ giúp phát hiện và cảnh báo những trang web lừa đảo Phishing dựa theo dữ liệu của công ty Panda Security.

• SpoofGuard

SpoofGuard là một plugin tương thích với Microsoft Internet Explorer. Plugin này hoạt động như một “cảnh báo” trên trình duyệt web của bạn. SpoofGuard sẽ chuyển từ màu xanh sang màu đỏ nếu người dùng vô tình vào một website Phishing. Bên cạnh đó, nếu người dùng nhập các thông tin nhạy cảm vào một trang giả mạo, SpoofGuard sẽ ngay lập tức đưa ra cảnh báo.

• Netcraft Anti-phishing

Netcraft là một đơn vị cung cấp các dịch vụ bảo mật Internet. Những tiện ích mở rộng chống Phishing của Netcraft như Anti-phishing Extension được cộng đồng người dùng đánh giá cao với nhiều tính năng cảnh báo thông minh.

>> Xem thêm: Keylogger là gì? Cách phòng ngừa Keylogger hiệu quả nhất

Trên đây bePAY đã giải đáp cho bạn về Phishing Attack là gì và cách phòng chống tấn công Phishing. Hy vọng bài viết này đã mang đến cho bạn những kiến thức bổ ích nhất về những chiêu trò lừa đảo Phishing. Từ đó, các bạn có thể chủ động phòng tránh và hạn chế nguy cơ mất trắng khoản tiền điện tử mà mình đang đầu tư. 

FAQ

Nội dung thường thấy của các Phishing Email là gì?

Bạn phải đặc biệt cảnh giác với các email có nội dung như sau:

• “Nếu bạn không phản hồi trong vòng 48 tiếng, tài khoản của bạn sẽ ngừng hoạt động” – “If you do not respond within 48 hours, your account will be shut down.” Đây là những lời thúc giục bạn phải cung cấp tài khoản đăng nhập. Vì lo sợ tài khoản bị ngừng hoạt động nên nhiều người đã dễ dàng bị mắc bẫy.
• “Xác thực tài khoản của bạn” – “Verify your account”. Nếu như trước đó bạn đã từng làm xác thực tài khoản rồi thì email này rất đáng ngờ.

Làm sao để biết website là giả mạo?

Người dùng có thể nhận biết website là giả mạo bằng cách kiểm tra SSL (Secure Sockets Layer) và chứng thư số (Digital Certificate) của website đó. Vì hầu hết các website hợp pháp đều sử dụng giao thức bảo mật SSL và chứng thư số để bảo vệ khách hàng. Do đó, bạn có thể tìm SSL và chứng thư số để kiểm tra độ tin cậy của website.

Xem thêm các kênh thông tin của bePAY:

Facebook Twitter Youtube