Đã bao giờ bạn nghe tới Phishing chưa? Đây là một trong số nhiều hình thức lừa đảo tiền điện tử trên thị trường đó. Hãy đọc hết bài dưới đây để cùng tìm hiểu kỹ hơn về hình thức này nhé.

Phishing là gì?

Phishing (Tấn công giả mạo) là sự kết hợp của 2 từ: fishing for information và phreaking. Đây là một hình thức tấn công trực tuyến được biết đến đầu tiên vào năm 1987, mục đích là nhắm vào người dùng để đánh cắp thông tin cá nhân của họ như tài khoản, mật khẩu đăng nhập, mật khẩu ngân hàng, mật khẩu giao dịch, thẻ tín dụng hoặc các thông tin riêng tư khác.

Thông thường, tin tặc sẽ giả mạo thành ngân hàng, trang web giao dịch trực tuyến, ví điện tử, các công ty thẻ tín dụng để lừa người dùng chia sẻ các thông tin nhạy cảm như: tài khoản & mật khẩu đăng nhập, mật khẩu giao dịch, thẻ tín dụng và các thông tin quý giá khác.

Phương thức tấn công này thường được tin tặc thực hiện thông qua email và tin nhắn. Người dùng khi mở email và click vào đường link giả mạo sẽ được yêu cầu đăng nhập. Nếu “mắc câu”, tin tặc sẽ có được thông tin ngay tức khắc.

Phishing
Phishing

Các phương thức tấn công Phishing

Có 3 kỹ thuật mà tin tặc thường sử dụng để thực hiện một vụ tấn công Phishing như sau:

Giả mạo email

Một trong những kỹ thuật cơ bản trong tấn công Phishing là giả mạo email. Tin tặc sẽ gửi email cho người dùng dưới danh nghĩa một đơn vị/tổ chức uy tín, dụ người dùng click vào đường link dẫn tới một website giả mạo và “mắc câu”.

Những email giả mạo thường rất giống với email chính chủ, chỉ khác một vài chi tiết nhỏ, khiến cho nhiều người dùng nhầm lẫn và trở thành nạn nhân của cuộc tấn công.

Để làm cho nội dung email giống thật nhất có thể, kẻ tấn công luôn cố gắng “ngụy trang” bằng nhiều yếu tố:

  • Địa chỉ người gửi.
  • Chèn Logo chính thức của tổ chức để tăng độ tin cậy
  • Thiết kế các cửa sổ pop-up giống y hệt bản gốc (cả về màu sắc, font chữ,…)
  • Sử dụng kĩ thuật giả mạo đường dẫn (link) để lừa người dùng (VD: text là vietcombank.com.vnnhưng khi click vào lại điều hướng tới vietconbank.com.vn)
  • Sử dụng hình ảnh thương hiệu của các tổ chức trong email giả mạo để tăng độ tin cậy.

Giả mạo Website

Thực chất, việc giả mạo website trong tấn công Phishing chỉ là làm giả một Landing page chứ không phải toàn bộ website. Trang được làm giả thường là trang đăng nhập để cướp thông tin của nạn nhân. Kỹ thuật làm giả website có một số đặc điểm sau:

  • Thiết kế giống tới 99% so với website gốc
  • Đường link (url) chỉ khác 1 ký tự duy nhất. VD: reddit.com (thật) vs redit.com (giả); google.com vs gugle.commicrosoft.com vs mircosoft.com hoặc verify-microsoft.com.
  • Luôn có những thông điệp khuyến khích người dùng nhập thông tin cá nhân vào website (call-to-action).

Giả mạo giọng nói (Voice Phishing)

Voice Phishing, hay còn được gọi là lừa đảo qua điện thoại bằng giọng nói, là một hình thức lừa đảo trong đó kẻ gian sử dụng cuộc gọi điện thoại và giọng nói của mình để lừa đảo người nhận cuộc gọi. Phương pháp này nhằm mục đích chiếm đoạt thông tin cá nhân, tài khoản ngân hàng, mật khẩu hoặc thông tin nhạy cảm khác từ người nhận cuộc gọi.

Trong một cuộc gọi giả mạo, kẻ lừa đảo thường sẽ giả danh mình là người đại diện của một tổ chức đáng tin cậy như ngân hàng, công ty thẻ tín dụng hoặc cơ quan chính phủ. Họ sử dụng kỹ thuật xâm nhập vào âm thanh và giọng nói để tạo ra sự mạo danh thực tế, và thường tạo ra tình huống khẩn cấp hoặc đe dọa để làm áp lực người nhận cuộc gọi.

Khi lừa đảo qua giọng nói, kẻ gian thường yêu cầu người nhận cuộc gọi cung cấp thông tin nhạy cảm như số thẻ tín dụng, mã bảo mật, tài khoản ngân hàng hoặc thông tin cá nhân khác. Họ có thể giả lập một cuộc gọi từ một ngân hàng và yêu cầu xác nhận các chi tiết tài khoản của bạn, trong khi thực tế đó là một cuộc gọi giả mạo. Kẻ lừa đảo cũng có thể yêu cầu bạn thực hiện các hành động như chuyển tiền hoặc cung cấp thông tin xác thực để xâm nhập vào tài khoản của bạn.

Voice fishing

Cách nhận biết và phòng chống Phishing

  • Cảnh giác với các email nhận được từ người lạ, đặc biệt là những email có nội dung đáng ngờ chẳng hạn như yêu cầu nhập thông tin cá nhân
  • Kiểm tra đường link trước khi thực hiện các yêu cầu như nội dung trong email. Vì các đường link này có thể sẽ dẫn bạn đến một trang web khác, hãy kiểm tra thật kỹ đường link nhưng không được nhấp vào xem có ký tự nào khác thường so với link gốc hay không. Nếu có thông tin đáng ngờ bạn nên thoát ra ngay và không nên cung cấp bất kỳ thông tin nào cho website đó. Chú ý bạn nên kiểm tra thật kỹ các ký tự, cách sắp xếp chúng để có thể phân biệt được website thật hay giả
  • Không nên click vào bất kỳ đường link nào được gửi qua email nếu bạn cảm thấy không an toàn
  • Bạn nên từ chối trả lời email từ người lạ
  • Kiểm tra SSL (Secure Sockets Layer) và chứng thư số (Digital certificate) để đảm bảo website đó an toàn, nếu SSL hiển thị màu xanh website an toàn còn màu đỏ thì ngược lại
  • Không nên gửi tin mật hoặc các thông tin riêng tư qua email
  • Nếu là doanh nghiệp nên triển khai phần mềm để lọc các tin rác, tin spam để phòng chống lừa đảo. Nên sử dụng D-Suite riêng cho doanh nghiệp để tăng cường tính bảo mật
  • Bookmark địa chỉ của những website liên quan đến vấn đề tài chính mà bạn hay sử dụng lên trình duyệt của mình

Cách phòng chống Phishing

Đối với cá nhân

Để tránh bị  hacker sử dụng tấn công Phishing để lừa đảo trên Internet, thu thập dữ liệu cá nhân, thông tin nhạy cảm của bạn. Hãy lưu ý những điểm sau :

  • Cảnh giác với các email có xu hướng thúc giục bạn nhập thông tin nhạy cảm. Cho dù lời kêu gọi có hấp dẫn thế nào đi chăng nữa thì vẫn nên kiểm tra kỹ càng. VD: bạn mới mua sắm online, đột nhiên có email từ ngân hàng tới đề nghị hoàn tiền cho bạn, chỉ cần nhập thông tin thẻ đã dùng để thanh toán. Có tin được không ?!
  • Không click vào bất kỳ đường link nào được gửi qua email nếu bạn không chắc chắn 100% an toàn.
  • Không bao giờ gửi thông tin bí mật qua email.
  • Không trả lời những thư lừa đảo. Những kẻ gian lận thường gửi cho bạn số điện thoại để bạn gọi cho họ vì mục đích kinh doanh. Họ sử dụng công nghệ Voice over Internet Protocol. Với công nghệ này, các cuộc gọi của họ không bao giờ có thể được truy tìm.
  • Sử dụng Tường lửa và phần mềm diệt virus. Hãy nhớ luôn cập nhật phiên bản mới nhất của các phần mềm này.
  • Hãy chuyển tiếp các thư rác đến [email protected]. Bạn cũng có thể gửi email tới [email protected] Tổ chức này giúp chống lại các phishing khác.

Đối với các tổ chức, doanh nghiệp

  • Training cho nhân viên để tăng kiến thức sử dụng internet an toàn. Thường xuyên tổ chức các buổi tập huấn, diễn tập các tình huống giả mạo
  • Sử dụng dịch vụ G-suite dành cho doanh nghiệp, không nên sử dụng dịch vụ Gmail miễn phí vì dễ bị giả mạo.
  • Triển khai bộ lọc SPAM để phòng tránh thư rác, lừa đảo
  • Luôn cập nhật các phần mềm, ứng dụng để tránh các lỗ hổng bảo mật có thể bị kẻ tấn công lợi dụng.
  • Chủ động bảo mật các thông tin nhạy cảm, quan trọng.

Một số công cụ phòng chống lại Phishing

Các vụ tấn công sử dụng hình thức Phishing ngày càng nhiều trên thị trường, vì vậy để đảm bảo an toàn một số website đã hỗ trợ tính năng chống Phishing cho khách hàng của họ, ngoài ra bạn có thể sử dụng một số công cụ sau để đảm bảo an toàn

  • Netcraft Tool: Là một công cụ giúp bạn có thể kiểm tra được thông tin một IP hoặc domain nào đó. Đồng thời công cụ này cung cấp các dịch vụ bảo mật trên internet bao gồm các dịch vụ chống gian lận, Phising,…
  • Anti – Phishing Domain Advisor: Thực chất là một phần nhỏ của Panda Cloud được phát triển riêng biệt để cung cấp thêm giải pháp bảo vệ bạn khi đang lướt web bằng cách phát hiện, ngăn chặn và cảnh báo từ các trang web lừa đảo, chèn mã độc thông qua dữ liệu nhận dạng của hệ thống Panda Security.
  • SpoofGuard: Là một công cụ giúp ngăn chặn các hình thức tấn công, đây là một plug in trình duyệt tương thích với Microsoft Internet Explore. Nền tảng này sẽ đặt một đèn cảnh báo có các màu sắc tương tự như đèn giao thông trong thanh công cụ trên trình duyệt của bạn. Đèn cảnh báo sẽ chuyển từ màu xanh lá sang màu vàng và cuối cùng là màu đỏ khi bạn truy cập vào một trang web giả mạo. Nếu bạn vẫn cố gắng đăng nhập thông tin vào trang web thì SpoofGuard sẽ lưu dữ liệu và thông báo cho bạn biết.

Lời kết

Hi vọng những thông tin chúng tôi vừa cung cấp cho bạn về hình thức tấn công Phishing đã giúp ích nhiều cho các bạn để dễ dàng nhận biết về các thủ đoạn lừa đảo. Hãy luôn cẩn thận với những hành động của mình, chỉ cần một cú click chuột vào một đường link dẫn đến website giả mạo cũng có thể khiến bạn gánh chịu nhiều tổn thất lớn.

Luôn luôn cẩn trọng với những kỹ thuật tinh vi và những dấu hiệu lạ để tránh trở thành miếng mồi béo bở của các hacker.

>>>Xem thêm: 6 Mẹo tránh lừa đảo tiền điện tử