Phishing là gì? Có những phương thức tấn công Phishing nào?

“Phishing” là gì? Hình thức này đã và đang được nhiều đối tượng sử dụng để đánh cắp thông tin, lừa đảo người dùng. Vậy Phishing có nghĩa là gì? Làm cách nào để bảo vệ bản thân khỏi những hình thức lừa đảo phishing này. Hãy cùng theo dõi bài viết dưới đây để tìm hiểu với Topsanfx nhé!

Phishing là gì?

Phishing hay còn được gọi là tấn công giả mạo. Đây là một loại tấn công an ninh mạng, trong đó các đối tượng xấu sẽ gửi tin nhắn giả vờ là một người hoặc tổ chức đáng tin cậy (có thể là ngân hàng, trang web giao dịch trực tuyến, ví điện tử, hoặc các công ty thẻ tín dụng,…). Tin nhắn lừa đảo thao túng người dùng và khiến họ thực hiện các hành động như cài đặt tệp độc hại, nhấp vào liên kết độc hại hoặc tiết lộ những thông tin nhạy cảm như tài khoản, mật khẩu đăng nhập,…Những cách bảo vệ tài khoản Crypto đơn giản nhất

>> Scam là gì? Các dự án scam trong crypto

Phishing” lần đầu được biết đến vào năm 1987. Từ Phishing là kết quả của sự kết hợp của 2 từ: “Fishing for information – câu thông tin” và “Phreaking – trò lừa đảo dùng điện thoại của người khác không trả phí”. Sự giống nhau giữa “câu cá” và “câu thông tin người dùng” đã tạo ra thuật ngữ “Phishing”.

Vụ kiện lừa đảo đầu tiên đã được đệ trình vào năm 2004 chống lại một thiếu niên ở California, người đã tạo ra việc bắt chước trang web “America Online”. Với trang web giả mạo này, anh ta đã có thể có được thông tin nhạy cảm từ người dùng và truy cập các chi tiết thẻ tín dụng để rút tiền từ tài khoản của họ. Khác với email và trang web lừa đảo, còn có ‘vishing’ (lừa đảo bằng giọng nói), ‘Smishing’ (SMS lừa đảo) và một số kỹ thuật lừa đảo khác đang liên tục xuất hiện.

Các phương thức tấn công Phishing (Phishing Attack) phổ biến hiện nay

Email Phishing (Giả mạo Email)

Hầu hết các cuộc tấn công lừa đảo được gửi qua email. Những kẻ tấn công thường đăng ký các tên miền giả bắt chước các tổ chức thực và gửi hàng ngàn yêu cầu chung cho nạn nhân. 

Đối với các miền giả mạo, kẻ tấn công có thể thêm hoặc thay thế các ký tự (ví dụ: my-bank.com thay vì mybank.com), sử dụng tên miền phụ (ví dụ: mybank.host.com) hoặc sử dụng tên của tổ chức đáng tin cậy làm tên người dùng email (ví dụ: mybank@host. com).

Nhiều email lừa đảo tạo cho người dùng cảm giác việc này rất cấp bách hoặc đe dọa để khiến người dùng nhanh chóng thực hiện không cần kiểm tra nguồn gốc hoặc tính xác thực của email.

Mục đích của thư lừa đảo qua email là:

• Khiến người dùng nhấp vào liên kết đến một trang web độc hại để cài đặt phần mềm độc hại trên thiết bị của họ.
• Khiến người dùng tải xuống tệp bị nhiễm vi-rút và sử dụng tệp đó để triển khai phần mềm độc hại
• Khiến người dùng nhấp vào liên kết đến một trang web giả mạo và gửi dữ liệu cá nhân.
• Khiến người dùng trả lời và cung cấp dữ liệu cá nhân.

Whaling (săn bắt cá voi)

Các cuộc tấn công săn cá voi nhắm vào quản lý cấp cao và các vai trò có đặc quyền cao khác. Mục tiêu cuối cùng của săn cá voi cũng giống như các loại tấn công lừa đảo khác, nhưng kỹ thuật này thường rất tinh vi. Nhân viên cấp cao thường có nhiều thông tin trong phạm vi công cộng và những kẻ tấn công có thể sử dụng thông tin này để tạo ra các cuộc tấn công hiệu quả cao.

Thông thường, các cuộc tấn công này không sử dụng các thủ thuật như URL độc hại và liên kết giả mạo. Thay vào đó, họ tận dụng các thông điệp được cá nhân hóa cao bằng cách sử dụng thông tin mà họ khám phá được trong quá trình nghiên cứu về nạn nhân. 

Ví dụ: những kẻ tấn công săn cá voi thường sử dụng tờ khai thuế giả để khám phá dữ liệu nhạy cảm về nạn nhân và sử dụng dữ liệu đó để thực hiện cuộc tấn công của chúng.

Smishing và Vishing

Smishing là hình thức lừa đảo kết hợp giữa tin nhắn điện thoại (SMS) và Phishing. Còn Vishing là kết hợp giọng nói (voice) với Phishing. 

• Smishing: Những tên lừa đảo sẽ gửi cho bạn một tin nhắn văn bản và cố gắng dẫn dụ bạn nhấp vào link nào đó, và yêu cầu bạn nhập các thông tin nhạy cảm như thẻ tín dụng,…Ngoài ra, có những trường hợp kẻ lừa đảo sẽ gửi tin nhắn thông báo rằng bạn nhận được một giải thưởng, nếu bạn không nhập thông tin cá nhân thì bạn sẽ bị tính phí cho dịch vụ nào đó. 
• Trong một vụ lừa đảo bằng giọng nói (Vishing) điển hình, kẻ tấn công giả làm điều tra viên lừa đảo cho một công ty thẻ tín dụng hoặc ngân hàng, thông báo cho nạn nhân rằng tài khoản của họ đã bị xâm phạm. Sau đó, tội phạm yêu cầu nạn nhân cung cấp thông tin thẻ thanh toán, được cho là để xác minh danh tính của họ hoặc chuyển tiền vào tài khoản an toàn (thực sự là của kẻ tấn công).

Spear Phishing

Spear phishing bao gồm các email độc hại được gửi đến những người cụ thể. Kẻ tấn công thường đã có một số hoặc tất cả các thông tin sau về nạn nhân:

• Tên
• Nơi làm việc
• chức danh công việc
• Địa chỉ email
• Thông tin cụ thể về vai trò công việc của họ
• Đồng nghiệp đáng tin cậy, thành viên gia đình hoặc những người liên hệ khác và các mẫu bài viết của họ

Thông tin này giúp tăng hiệu quả của các email lừa đảo và thao túng nạn nhân thực hiện các hành động chẳng hạn như chuyển tiền.

Search Engine Phishing 

Lừa đảo công cụ tìm kiếm có nghĩa là kẻ lừa đảo sẽ sử dụng tối ưu hóa công cụ tìm kiếm (SEO) để xuất hiện tại hàng đầu trên công cụ tìm kiếm nhằm cố gắng dẫn người tìm kiếm đến một trang web giả mạo. Trang web giả mạo này được tạo ra trông giống như một trang web hợp pháp để những người nhấp vào trang web đó có thể đăng nhập vào tài khoản của họ như bình thường. Sau đó, kẻ lừa đảo sẽ đánh cắp thông tin đăng nhập.

Có một số dấu hiệu cần chú ý để cho bạn biết trang web bạn đang truy cập là trang giả mạo. Một số dấu hiệu bao gồm:

• Cửa sổ bật lên ngẫu nhiên xuất hiện
• Thiết bị của bạn quá nóng
• Thiết bị của bạn chạy chậm hơn bình thường
• Lỗi chính tả và/hoặc lỗi ngữ pháp
• Một URL trông kỳ quặc

Cách để tránh khỏi các cuộc tấn công lừa đảo – phishing

Đối với cá nhân

• Cần cảnh giác với những email có nội dung thúc giục, hối thúc bạn nhập thông tin nhạy cảm
• Không click vào bất kỳ đường link nào được gửi qua email, tin nhắn nếu bạn không chắc chắn rằng các đường link đó 100% an toàn.
• Không gửi thông tin nhạy cảm, bí mật qua email.
• Sử dụng tường lửa, các phần mềm diệt vi rút
• Luôn kiểm tra chính tả của URL trong email trước khi bạn nhấp vào, hoặc trước khi cung cấp các thông tin cá nhân nhạy cảm.
• Nếu có một liên kết trong email, trước tiên hãy di chuột qua URL. Các trang web bảo mật có chứng chỉ Lớp cổng bảo mật (SSL) hợp lệ bắt đầu bằng “https”. Cuối cùng, tất cả các trang web sẽ được yêu cầu phải có SSL hợp lệ.
• Nhiều trang web yêu cầu người dùng nhập thông tin đăng nhập trong khi hình ảnh người dùng được hiển thị. Loại hệ thống này có thể dễ bị tấn công bảo mật. Một cách để đảm bảo an toàn là thay đổi mật khẩu thường xuyên và không bao giờ sử dụng cùng một mật khẩu cho nhiều tài khoản. Các trang web cũng nên sử dụng hệ thống CAPTCHA để tăng cường bảo mật.
• Nên thay đổi cài đặt trình duyệt để ngăn các trang web lừa đảo mở ra. Các trình duyệt lưu giữ một danh sách các trang web giả mạo và khi bạn cố gắng truy cập trang web đó, địa chỉ sẽ bị chặn hoặc một thông báo cảnh báo sẽ hiển thị. Các cài đặt của trình duyệt chỉ nên cho phép các trang web đáng tin cậy mở ra.

Đối với tổ chức

• Cần đào tạo nhân viên xác định các dấu hiệu lừa đảo và báo cáo các sự cố đáng ngờ cho nhóm bảo mật.
• Sử dụng các giải pháp lọc email hiện đại để có thể bảo vệ khỏi phần mềm độc hại và các nội dung độc hại khác trong thư email. Các giải pháp có thể phát hiện email chứa liên kết độc hại, tệp đính kèm, nội dung spam và ngôn ngữ có thể gợi ý một cuộc tấn công lừa đảo.
• Giới hạn quyền truy cập của người dùng vào các hệ thống và dữ liệu có giá trị cao. Sử dụng nguyên tắc đặc quyền tối thiểu và chỉ cấp quyền truy cập cho những người dùng thực sự cần nó.
• Nên dùng G-suite dành cho doanh nghiệp thay cho Gmail miễn phí 

Dấu hiệu nhận biết Phishing

Đe dọa hoặc khẩn cấp

Email sử dụng tính khẩn cấp để khuyến khích hoặc yêu cầu hành động ngay lập tức. Những kẻ lừa đảo hy vọng rằng bằng cách đọc email vội vàng, không xem xét kỹ lưỡng nội dung và sẽ không phát hiện ra những điểm không nhất quán.

Kiểu tin nhắn

Một dấu hiệu ngay lập tức của lừa đảo là một tin nhắn được viết bằng ngôn ngữ hoặc giọng điệu không phù hợp. Ví dụ, nếu một đồng nghiệp ở nơi làm việc nghe có vẻ quá bình thường hoặc một người bạn thân sử dụng ngôn ngữ trang trọng, điều này sẽ gây ra sự nghi ngờ. Người nhận thư nên kiểm tra xem có bất kỳ điều gì khác có thể chỉ ra một thư lừa đảo hay không.

Yêu cầu bất thường

Nếu một email yêu cầu bạn thực hiện các hành động không chuẩn, điều đó có thể cho thấy rằng email đó là độc hại. Ví dụ: nếu một email tuyên bố là từ một nhóm CNTT cụ thể và yêu cầu cài đặt phần mềm, nhưng các hoạt động này thường được bộ phận CNTT xử lý tập trung, thì email đó có thể là độc hại.

Lỗi chính tả

Lỗi chính tả và sử dụng sai ngữ pháp là một dấu hiệu khác của email lừa đảo. Hầu hết các công ty đã thiết lập tính năng kiểm tra chính tả trong ứng dụng email của họ đối với các email gửi đi. Do đó, các email có lỗi chính tả hoặc ngữ pháp nên gây nghi ngờ vì chúng có thể không bắt nguồn từ nguồn đã xác nhận.

Sự không nhất quán trong địa chỉ web

Một cách dễ dàng khác để xác định các cuộc tấn công lừa đảo tiềm ẩn là tìm kiếm các địa chỉ email, liên kết và tên miền không khớp. Ví dụ: bạn nên kiểm tra thông tin liên lạc trước đó khớp với địa chỉ email của người gửi.

Người nhận phải luôn di chuột qua một liên kết trong email trước khi nhấp vào liên kết đó để xem đích thực của liên kết. Nếu email được cho là do Bank of America gửi, nhưng tên miền của địa chỉ email không chứa “bankofamerica.com”, thì đó là dấu hiệu của một email lừa đảo.

Yêu cầu thông tin xác thực, thông tin thanh toán hoặc chi tiết cá nhân khác

Trong nhiều email lừa đảo, kẻ tấn công tạo các trang đăng nhập giả được liên kết từ các email có vẻ là chính thức. Trang đăng nhập giả thường có hộp đăng nhập hoặc yêu cầu cung cấp thông tin tài khoản tài chính. 

Nếu nhận được email không mong muốn, người nhận không nên nhập thông tin đăng nhập hoặc nhấp vào liên kết. Để đề phòng, người nhận nên truy cập trực tiếp trang web mà họ cho là nguồn của email.

Một số câu hỏi thường gặp

Làm thế nào để xác định email lừa đảo (email phishing)?

Bạn có thể nhận biết email lừa đảo thông qua một số mẫu câu lừa đảo thường dùng như:

• “Xác thực tài khoản của bạn” / “Verify your account” 
• “Nếu bạn không phản hồi trong vòng 48h, tài khoản của bạn sẽ bị ngừng hoạt động” / “If you don’t respond within 48 hours, your account will be closed.”
• “Dear Valued Customer.” / “Kính thưa quý khách hàng”
• “Nhấp chuột vào link bên dưới để truy cập đến tài khoản của bạn” / “Click the link below to gain access to your account.”

Phần mềm anti-phishing hiệu quả

Bạn có thể sử dụng các phần mềm chống phishing chẳng hạn như: SpoofGuard, Anti-phishing Domain Advisor, Netcraft Anti-phishing Extension

Lời kết

Phishing là một hình thức phổ biến ngày nay. Mỗi cá nhân cần phải thực sự cẩn trọng để tránh bị kẻ xấu lợi dụng lừa đảo. Cảm ơn bạn đã theo dõi bài viết.

Xem thêm:

Airdrop coin là gì? Cách kiếm tiền từ Airdrop Coin

Revoke là gì? Phương pháp Revoke Metamask cụ thể nhất

Fan Token là gì? Đầu tư Fan Token nên hay không?

KYC trong crypto là gì? Xác minh KYC như thế nào?