Phishing là gì? 7 thủ thuật để an toàn trong năm 2020

Evan Porter
Xuất bản ngày: Ngày 29 tháng 12 năm 2019
Phishing là gì? 7 thủ thuật để an toàn trong năm 2020

Trong khi những tin tặc sử dụng những thủ đoạn xâm nhập và làm máy tính của bạn nhiễm độc với phần mềm độc hại và đánh cắp thông tin giá trị nhất, một số khác chọn cách đơn giản hơn khiến bạn tự đưa thông tin ra. Cách này được gọi là “phishing” và cũng là một trong những cách hiệu quả nhất để lừa gạt những người cả tin.

Lừa đảo là một loại tội phạm công nghệ cho phép tin tặc giả mạo là người có thẩm quyền, người đại diện dịch vụ chăm sóc khách hàng, hoặc những nguồn tin cậy khác, nhằm đánh cắp thông tin cá nhân có giá trị nhất của bạn.

Tấn công phishing thường xảy ra qua email, nhưng cũng có thể xảy ra thông qua tin nhắn hoặc thậm chí qua các cuộc gọi. Vậy làm thế nào để bạn biết được đây là thật, đâu là lừa đảo?

Dưới đây là hướng dẫn đầy đủ của chúng tôi để nhận biết tấn công phishing, cách phòng vệ, và những việc nên làm nếu bạn đã bị tội phạm công nghệ nhắm đến.

Phishing là gì? 7 thủ thuật để an toàn trong năm 2020

Unsplash

Tấn công phishing hoạt động như thế nào?

Mặc dù có thể có nhiều hình thức lừa đảo, giả mạo nhưng bản chất cơ bản là tin tặc sẽ khiến bạn tự đưa ra thông tin cá nhân của mình như số thẻ tín dụng, mật khẩu, số tài khoản, và hơn thế nữa.

Có thể như thế này:

Hãy tưởng tượng rằng bạn nhận được một email khẩn từ công ty thẻ tín dụng của bạn. Dường như tài khoản của bạn đã gặp vấn đề và đã bị khoá vì lí do bảo mật.

Email đó có thể yêu cầu bạn nhấp vào trang đăng nhập để nhận dạng và mở khóa thẻ hay tài khoản của bạn.

Bạn sẽ hoàn thành toàn bộ quá trình mà không nhận ra email và trang đăng nhập đó là hoàn toàn giả mạo, và bạn đã là nạn nhân của một cuộc tấn công phishing.

Một vài ví dụ phổ biến của các email lừa đảo sẽ có những lời nhắc như:

  • Mở khóa thẻ tín dụng hoặc tài khoản ngân hàng
  • Cập nhật thông tin liên lạc chính thức của bạn
  • Khởi động lại tài khoản hoặc thành viên
  • Xác nhận đã nhận được đơn hàng
  • Nhận hoàn tiền hoặc thanh toán
  • Gửi tờ khai thuế của bạn hoặc của ai đó
  • Nhận chuyển khoản ngân hàng

Những email này có thể trông giống như đến từ bất kỳ ai; từ nhà cung cấp mạng, hay từ chính phủ và thậm chí từ sếp của bạn.

Thông thường, những yêu cầu trong những tin nhắn kia là khẩn cấp (thẻ tín dụng của bạn đã bị khóa) hoặc mang nghe rất hấp dẫn (yêu cầu hoàn tiền).

Tấn công phishing thường được thực hiện hàng loạt bằng “công cụ lừa đảo”, hoặc là bản sao ảo (clone) của những email hoặc trang web có vẻ hợp pháp. Ví dụ, một tên tội phạm có thể giả mạo trang đăng nhập của một ngân hàng nổi tiếng và sửa đổi mã để gửi cho hắn thông tin đăng nhập sau khi bạn nhập vào trang web.

Tuy nhiên, trong nhiều trường hợp hiếm hơn, vài cá nhân có thể bị nhắm đến bởi tấn công phishing có thẻ tùy chỉnh. Đây được gọi là “spear-fishing”, và thường sẽ bao gồm email cá nhân của bạn và những người mà bạn biết. Chẳng hạn như, bạn có thể nhận được một email khẩn cấp trông có vẻ như từ sếp, yêu cầu bạn gửi tờ khai thuế của mọi người trong bộ phận của bạn.

“Whale-fishing” là cuộc tấn công tinh vi và nhắm vào cá nhân đặc biệt hơn, nhắm vào các mục tiêu có địa vị như CEO của một công ty lớn.

Làm thế nào để nhận biết và ngăn chặn tấn công phishing trong năm 2020

Làm thế nào để nhận biết và ngăn chặn tấn công phishing trong năm 2020

Pixabay

Tấn công phishing có thể rất đáng sợ, và phải cẩn thận bởi vì chúng có thể nhắm vào bất cứ ai và các kiểu tấn công này được thiết kế để sao chép hoàn hảo các giao dịch chính đáng hàng ngày.

Bạn không cần phải truy cập vào những trang mạng mờ ám hoặc chia sẻ các file qua các trang torrent để bị lừa đảo. Biết đâu ngày mai bạn sẽ thấy một email lừa đảo ngay trong hộp thư của mình, một email trông như gửi từ Amazon, Netflix, hoặc ngân hàng của bạn yêu cầu các thao tác khẩn cấp.

Dù vậy, tấn công phishing không quá khó để nhận ra và ngăn chặn, nếu bạn biết cần chú ý điều gì.

Sau đây là một vài mẹo để giữ cho bạn an toàn khi xem qua email và các tin nhắn khác.

1. Hãy cảnh giác với những đề nghị “Quá tốt để thành sự thật”

Hãy có sự hoài nghi đúng đắn trước những tin nhắn bạn nhận được trong hộp thư đến của mình, đặc biệt nếu bạn không biết người gửi hoặc không trong đợi nhận được thư tín trước thời hạn.

Lỗi ngân hàng có lợi cho bạn? Số tiền hoàn lại lớn đang chờ bạn trên Amazon? Cơ quan thuế muốn hoàn tiền cho bạn?

Đây là những dấu hiệu cảnh báo lớn mà bạn nên kiểm tra kỹ hơn.

Đồng thời, hãy chú ý những thư tín có nội dung cực kỳ khẩn cấp, yêu cầu phải hành động ngay mà không có thêm bối cảnh hay thông tin.

2. Kiểm tra cẩn thận đường dẫn URL và địa chỉ email

Vậy, bạn nhận được email từ Amazon yêu cầu bạn hoàn lại tiền của bạn cho việc tính phí nhầm. Trông có vẻ khó tin, nhưng bạn nên làm gì với nó?

Xem kỹ địa chỉ email của người gửi. Trông có đúng không?

Nếu ai đó tự nhận là đại diện từ Amazon và liên lạc qua email, địa chỉ email của họ sẽ là “[email protected]”, hoặc bao gồm biến thể hoặc tên miền phụ (ví dụ như support.amazon.com).

Nếu email đến từ tên miền có lỗi chính tả tinh vi (như Amazonn.com) hoặc đã được chuyển tiếp qua một tên miền không thể nhận ra hoặc vô nghĩa, đó là một dấu hiệu bạn đang gặp phải email giả mạo.

Hãy đảm bảo di chuyển con trỏ chuột lên email trước khi nhấp vào bất kỳ đường link nào, để xem đường dẫn đích đưa bạn đi đâu. Những đường dẫn này cũng phải là những địa chỉ có thể nhận dạng.

Đừng chuyển đến những trang web có URL không thể nhận diện và đừng trả lời những email được chuyển tiếp từ tên miền vô nghĩa.

3. Xác nhận tính xác thực trước khi đưa ra thông tin quan trọng

Hiếm khi một dịch vụ chăm sóc khách hàng hợp pháp nào sẽ hỏi số tài khoản đầy đủ của bạn, hoặc yêu cầu gởi các thông tin cá nhân đầy đủ khác. Thông thường, họ sẽ dùng một phần thông tin (ví dụ 4 chữ số cuối của số tài khoản hoặc địa chỉ nhà của bạn) để xác minh danh tính.

Tuy nhiên, trong một vài trường hợp, bạn thật sự cần cấp thêm thông tin.

Nếu sự tương tác có vẻ khả nghi, hãy thử xác minh tính xác thực của yêu cầu bằng mọi cách có thể.

Cách tốt nhất là gọi đến số điện thoại dịch vụ chăm sóc khách hàng công bố trên trang web chính thức của công ty và nói chuyện trực tiếp với nhân viên làm việc ở đó, hoặc tìm các phương thức liên lạc chính thức khác, hoàn toàn tách biệt với email đã nêu trên.

4. Sử dụng một nhà cung cấp email uy tín

Các nhà cung cấp email tốt nhất trong năm 2020 sẽ cung cấp vài cấp độ bảo vệ tấn công phishing và bảo vệ người dùng trước những email rác (spam) khác.

Ví dụ như Outlook và Gmail, có quyền truy cập vào rất nhiều kho dữ liệu về các thông báo lừa đảo và các tin nhắn độc hại. So với các nhà cung cấp nhỏ khác, Outlook và Gmail có thể lọc ra những tin nhắn độc hại trước khi bạn nhìn thấy.

Cho dù bạn chọn tên tuổi nào để đăng ký tài khoản email, hãy chắc chắn kiểm tra cài đặt chống thư rác, và nếu cần, hãy hỏi bộ phận hỗ trợ khách hàng liệu có khuyến nghị nào để bảo vệ tài khoản email trước tấn công lừa đảo.

5. Hãy thận trọng những lời kêu gọi từ thiện trước những sự kiện lớn trên thế giới

Khi có những thảm họa tự nhiên hoặc những cuộc tấn công khủng bố nổ ra, những kẻ lừa đảo thường sẽ hình thành những tổ chức từ thiện giả mạo nhằm lợi dụng lòng vị tha của ai muốn làm thiện nguyện.

Hãy luôn luôn có những thói quen sử dụng email an toàn, đồng thời cảnh giác cao trong những giai đoạn có những hoạt động gây quỹ và đừng đưa số thẻ tín dụng trừ khi bạn chắc chắn 100% mục đích đó là hợp pháp.

Nếu bạn muốn đóng góp cho hoạt động chính trị hoặc nhân đạo, hãy tìm kiếm những tổ chức đáng tin cậy để trực tiếp quyên góp.

6. Cài đặt phần mềm chống virus có bảo vệ chống lừa đảo

Những chương trình chống virus tốt nhất bao gồm các tính năng bổ sung để bảo vệ bạn khỏi lừa đảo.

Các trình này có thể bổ sung thêm lớp bảo vệ bên cạnh bảo vệ từ các nhà cung cấp email và có thể lọc ra những tin rác tốt hơn nữa bằng cách truy xuất từ thư viện những vụ tấn công phishing và các cuộc tấn công khác đã được ghi nhận.

7. Báo cáo các cuộc tấn công lừa đảo tiềm ẩn

Hãy là một công dân tốt và để cho ngân hàng, nhà cung cấp mạng, hoặc các công ty khác của bạn biết nếu có những kẻ tấn công đang tiến hành lừa đảo dưới cái tên của họ.

Ho có thể thực hiện các biện pháp bảo mật như gửi cảnh bảo hoặc điều chỉnh thiết kế trang đăng nhập để giúp nhiều người được an toàn hơn.

Kết luận – An toàn, Luôn cảnh giác

Tấn công phishing tương đối dễ tránh nếu bạn đã biết được cách nó hoạt động.

Không giống như sâu máy tính hoặc những phần mềm độc hại, phishing phụ thuộc vào bạn, việc bạn có cảnh giác hoặc tự “nạp ra” thông tin của bạn.

Cách dễ dàng nhất để giữ an toàn là không bao giờ đưa thông tin nhạy cảm hay thông tin quan trọng cho bất cứ ai trên mạng trừ khi bạn chắc chắn 100% đó là đại diện cho một nguồn tin cậy.

Đương nhiên, nói dễ hơn làm, và nhất là với những kẻ lừa đảo hiện đại biết sao chép một cách hoàn hảo những trang thanh toán, trang đăng nhập, và những cổng web quan trọng khác.

Dĩ nhiên, nếu bạn quan tâm và kiểm tra địa chỉ email và URL trước khi dùng, bạn thường sẽ có thể phát hiện ra cuộc tấn công trước khi chính mình là nạn nhân.

Giới Thiệu Tác Giả

Evan Porter
Evan Porter
Blogger ngành kỹ thuật, mê phụ kiện công nghệ, xử lý lỗi kỹ thuật ngay tại nhà

Giới Thiệu Tác Giả

Evan là tác giả với hơn chục năm kinh nghiệm xuất bản các tài liệu kỹ thuật số. Anh có trang blog của mình, mê đồ công nghệ và xử lý những lỗi kỹ thuật ngay tại nhà.